Corona-Tracking: SAP und Deutsche Telekom veröffentlichen erste Details zur Tracing- und Warn-App
Die deutsche Corona-App soll alsbald unter einer Open-Source-Lizenz vorliegen. Eine erste Vorab-Dokumentation steckt den Weg dorthin ab.
Im Auftrag der Bundesregierung entwickeln SAP und die Deutsche Telekom momentan eine Contact-Tracing-App im Rahmen von Apples und Googles Exposure-Notification-Framework. Die sogenannte Corona-Warn-App und alle von ihr genutzten Serverkomponenten sollen im Vorfeld der für kommenden Monat geplanten Veröffentlichung der App unter der Apache-2.0-Lizenz als Open-Source-Software auf GitHub bereitgestellt werden.
Nun haben die Projektverantwortlichen erste Dokumente dazu herausgegeben, wie die App später funktionieren soll.
Fragen zur Einbeziehung der Testergebnisse offen
Im Großen und Ganzen folgt die Corona-Warn-App, wie zu erwarten war, den Vorgaben von Apples und Googles API. Nutzer erhalten zufällige IDs, die sich regelmäßig ändern und alle Daten werden auf dem eigenen Smartphone des Nutzers gespeichert. Erst wenn ein Anwender sich gegenüber der App als positiv getestet identifiziert, kann er freiwillig seine Kontakt-IDs an die zentralen Server übermitteln, die diese dann an alle anderen App-Nutzer weiterleiten. Wenn man sich als positiv getestet melden will, benötigt man eine TAN, die vom Gesundheitsamt mit dem Testergebnis mitgeteilt wird. Das soll verhindern, dass Anwender sich fälschlich als positiv melden und so das System sabotieren.
Interessanterweise soll die App auch dafür nutzbar sein, einen Hinweis darauf zu erhalten, dass beim behandelnden Arzt das eigene Testergebnis vorliegt. Die Dokumentation von SAP und Telekom erklärt dabei allerdings bisher nicht, wie genau die App es schafft, einen Nutzer, der nur durch temporäre, pseudozufällige IDs bekannt ist, mit einem spezifischen Testergebnis (das ja mit konkreten Patientendaten gekoppelt ist) in Verbindung zu bringen, ohne die Anonymität des Nutzers der App aufzuheben. Apples und Googles Dokumentation behandelt diesen Teil des App-Designs unseres Wissens gar nicht, da er außerhalb des Horizonts dessen liegt, für das ihre API zuständig sein soll – vor allem wohl auch deswegen, weil unterschiedliche Länder diesen Teil des Tracing-Prozesses sehr unterschiedlich handhaben.
RKI kann Risiko-Score nachjustieren
Laut der vorliegenden Dokumentation soll das Robert-Koch-Institut (RKI) in die Lage versetzt werden, serverseitig "die Parameter zur Risiko-Score-Bestimmung" im laufenden Betrieb der App einzustellen. Mit anderen Worten: Das RKI soll in die Lage versetzt werden zu steuern, wie viele App-Nutzer gewarnt werden, wenn sich eine Kontaktperson als positiv getestet meldet. Über diesen Mechanismus wird also gesteuert, wann das System einen Bluetooth-Kontakt als gefährlich ansieht. Diese Abwägung ist wichtig für den Erfolg einer solchen App, die tatsächlich gefährdete Personen warnen soll, ohne dabei so viele Fehlalarme auszulösen, dass die Anwender das Vertrauen in die Technik des digitalen Contact Tracing verlieren.
Corona-Tracking: Wie Contact-Tracing-Apps funktionieren, was davon zu halten ist
Bisher lässt sich über die konkrete Umsetzung der Corona-Warn-App durch SAP und die Telekom wenig sagen. Dazu werden sich Software-Entwickler sowie Datenschutz- und Krypto-Experten den Quellcode von App und Server-Infrastruktur anschauen müssen. Bisher scheint sich die Entwicklung, soweit möglich, allerdings an den Vorgaben des Frameworks von Apple und Google zu orientieren.
(fab)