Corona-Tracking: SAP und Deutsche Telekom veröffentlichen erste Details zur Tracing- und Warn-App
Die deutsche Corona-App soll alsbald unter einer Open-Source-Lizenz vorliegen. Eine erste Vorab-Dokumentation steckt den Weg dorthin ab.
Im Auftrag der Bundesregierung entwickeln SAP und die Deutsche Telekom momentan eine Contact-Tracing-App im Rahmen von Apples und Googles Exposure-Notification-Framework. Die sogenannte Corona-Warn-App und alle von ihr genutzten Serverkomponenten sollen im Vorfeld der fĂŒr kommenden Monat geplanten Veröffentlichung der App unter der Apache-2.0-Lizenz als Open-Source-Software auf GitHub bereitgestellt werden.
Nun haben die Projektverantwortlichen erste Dokumente dazu herausgegeben, wie die App spÀter funktionieren soll [1].
Fragen zur Einbeziehung der Testergebnisse offen
Im GroĂen und Ganzen folgt die Corona-Warn-App, wie zu erwarten war, den Vorgaben von Apples und Googles API [2]. Nutzer erhalten zufĂ€llige IDs, die sich regelmĂ€Ăig Ă€ndern und alle Daten werden auf dem eigenen Smartphone des Nutzers gespeichert. Erst wenn ein Anwender sich gegenĂŒber der App als positiv getestet identifiziert, kann er freiwillig seine Kontakt-IDs an die zentralen Server ĂŒbermitteln, die diese dann an alle anderen App-Nutzer weiterleiten. Wenn man sich als positiv getestet melden will, benötigt man eine TAN, die vom Gesundheitsamt mit dem Testergebnis mitgeteilt wird. Das soll verhindern, dass Anwender sich fĂ€lschlich als positiv melden und so das System sabotieren.
Interessanterweise soll die App auch dafĂŒr nutzbar sein, einen Hinweis darauf zu erhalten, dass beim behandelnden Arzt das eigene Testergebnis vorliegt. Die Dokumentation von SAP und Telekom erklĂ€rt dabei allerdings bisher nicht, wie genau die App es schafft, einen Nutzer, der nur durch temporĂ€re, pseudozufĂ€llige IDs bekannt ist, mit einem spezifischen Testergebnis (das ja mit konkreten Patientendaten gekoppelt ist) in Verbindung zu bringen, ohne die AnonymitĂ€t des Nutzers der App aufzuheben. Apples und Googles Dokumentation behandelt diesen Teil des App-Designs unseres Wissens gar nicht, da er auĂerhalb des Horizonts dessen liegt, fĂŒr das ihre API zustĂ€ndig sein soll â vor allem wohl auch deswegen, weil unterschiedliche LĂ€nder diesen Teil des Tracing-Prozesses sehr unterschiedlich handhaben.
RKI kann Risiko-Score nachjustieren
Laut der vorliegenden Dokumentation soll das Robert-Koch-Institut (RKI) in die Lage versetzt werden, serverseitig "die Parameter zur Risiko-Score-Bestimmung" im laufenden Betrieb der App einzustellen. Mit anderen Worten: Das RKI soll in die Lage versetzt werden zu steuern, wie viele App-Nutzer gewarnt werden, wenn sich eine Kontaktperson als positiv getestet meldet. Ăber diesen Mechanismus wird also gesteuert, wann das System einen Bluetooth-Kontakt als gefĂ€hrlich ansieht. Diese AbwĂ€gung ist wichtig fĂŒr den Erfolg einer solchen App, die tatsĂ€chlich gefĂ€hrdete Personen warnen soll, ohne dabei so viele Fehlalarme auszulösen, dass die Anwender das Vertrauen in die Technik des digitalen Contact Tracing verlieren.
Corona-Tracking: Wie Contact-Tracing-Apps funktionieren, was davon zu halten ist
Bisher lĂ€sst sich ĂŒber die konkrete Umsetzung der Corona-Warn-App durch SAP und die Telekom wenig sagen. Dazu werden sich Software-Entwickler sowie Datenschutz- und Krypto-Experten den Quellcode von App und Server-Infrastruktur anschauen mĂŒssen. Bisher scheint sich die Entwicklung, soweit möglich, allerdings an den Vorgaben des Frameworks von Apple und Google zu orientieren.
(fab [3])
URL dieses Artikels:
https://www.heise.de/-4721652
Links in diesem Artikel:
[1] https://github.com/corona-warn-app/cwa-documentation
[2] https://www.heise.de/hintergrund/Corona-Tracking-Wie-Contact-Tracing-Apps-funktionieren-was-davon-zu-halten-ist-4709903.html
[3] mailto:contact@fab.industries
Copyright © 2020 Heise Medien