Ein Jahr Corona-Warn-App – ein Rückblick
„Egal, wie viele Infektionsketten wir durchbrechen, wir retten Leben“, das war der Leitgedanke von Prof. Dr. Cas Cremers, leitender Wissenschaftler am CISPA, als er sich vor gut einem Jahr in die Arbeit am Projekt DP-3T (Decentralized Privacy-Preserving Proximity Tracing) stürzte. Auf dessen Grundlage entstand einige Wochen später die deutsche Corona-Warn-App. Der Aufwand hat sich mehr als gelohnt, wie eine erste Einschätzung des Robert-Koch-Instituts und des Bundesgesundheitsministeriums zur Wirksamkeit der Corona-Warn-App zeigt: Über 110.000 Nutzer:innen wurden nach einer Warnung der App positiv getestet und konnten durch dieses Wissen sich und andere schützen.
Über 31 Millionen Mal (Stand August) wurde die Corona-Warn-App mittlerweile aus den deutschen App-Stores heruntergeladen. Freiwillige Datenspenden von Nutzer:innen der App und eine Online-Befragung liefern dem RKI, das der Herausgeber der App ist, neue Daten zur Wirksamkeit. Eine umfassende Evaluation steht noch aus, doch ein erstes Zwischenfazit fällt positiv aus: Mehr als Hunderttausend Infektionsketten sind laut RKI mit ihrer Hilfe unterbrochen worden. Um den schwierige Spagat zwischen Benutzbarkeit und Datensicherheit zu schaffen, arbeiteten fast 40 Forscher:innen am CISPA an der App mit. Sie berieten die von der Bundesregierung mit der Entwicklung beauftragten Firmen T-Systems und SAP während des Entwicklungsprozesses in Sicherheitsaspekten.
Doch von Anfang an: Als Cas Cremers ins Projekt DP-3T einstieg, stand bereits die Kernidee einer sogenannten Proximity-Tracing-App, mit der in der Pandemie Kontakte nachvollzogen werden können. Forscher:innen aus Europa arbeiteten in DP-3T mit Hochdruck gemeinsam daran, aus dieser Idee auch ein wirksames Instrument zur Pandemiebekämpfung zu entwickeln. „Es kamen letztlich zwei Technologien infrage, mit denen sich Kontakte nachvollziehen lassen: GPS und Bluetooth“, erklärt Cremers. Da GPS sehr grob ist und in Innenräumen nicht funktioniert, sei letztlich Bluetooth übriggeblieben. Per Funktechnik werden damit auf kurze Distanz Signale von Gerät zu Gerät übertragen – allerdings ist das sehr akkuintensiv. Ein weiteres Problem für die Forscher:innen war, dass Bluetooth eigentlich nicht dafür gemacht ist, Distanzen zu messen. „Bei der Frage des Ansteckungsrisikos spielen die aber eine große Rolle“, sagt Cremers. Rückschlüsse auf die Distanzen lasse die Signalstärke zu, die variiere aber von Gerät zu Gerät. Außerdem muss eine App, die Bluetooth nutzen will, normalerweise im Vordergrund geöffnet sein – auch das wäre nutzerunfreundlich und stünde einer effektiven Kontaktnachverfolgung entgegen. Alles Herausforderungen, mit denen sich die Forscher:innen unter enormem Zeitdruck auseinandersetzen mussten.
DP-3T verfolgte von Anfang an einen dezentralen und quelloffenen Ansatz, bei dem die Daten nur auf den Geräten gespeichert werden und nicht auf einem zentralen Server landen. Diese Entscheidung war in der Forschungs-Community nicht unumstritten. So tendierten einige Wissenschaftler:innen im Konsortium Pan-European Privacy-Preserving Proximity Tracing, kurz PEPP-PT, unter dessen Dach sich zu Beginn mehrere Forschungsprojekte zusammengeschlossen hatten, zu einer zentralen Lösung. Aus Sicht vieler Wissenschaftler:innen, auch aus dem DP-3T-Team, hätte dies allerdings zu einer unnötigen und riskanten Speicherung privater Daten geführt und das Vertrauen in die Lösung verringert.
Die Forscher:innen von DP-3T entwickelten letztlich ein datenschutzkonformes Bluetooth-Protokoll, mit dem sie allen genannten Problemen begegneten. Mithilfe des stromsparenden Bluetooth low energy sendet das Smartphone einen regelmäßig wechselnden Code aus, sucht nach den Codes anderer Smartphones und speichert diese lokal auf dem Gerät. Die Codes der Nutzer:innen sind jeweils nur für zehn bis 20 Minuten gültig und werden kryptografisch von Schlüsseln abgeleitet, die sich alle 24 Stunden ändern. Nur, wenn Nutzer:innen positiv getestet werden, laden sie die Liste mit den temporären Schlüssel der letzten 14 Tage auf den Server hoch. Die dann als positiv gelabelten Schlüssel dieser Person fügt der Server in eine Liste ein, die wiederum regelmäßig zum Abgleich von allen Apps abgerufen wird. Das Exposure-Notification-System prüft lokal, ob Codes denen auf der Warn-Liste entsprechen. Hatte eine Person Kontakt, wird nach einer Risikoeinschätzung, je nach Dauer und Nähe des Kontaktes, eine Handlungsempfehlung gegeben. Bei alledem bleiben die Nutzer:innen anonym und nur die Daten von positiv Getesteten, die dafür ihr Einverständnis gegeben haben, werden jemals hochgeladen.
Die komplizierte Abwägung zwischen Effektivität, Benutzerfreundlichkeit und Datenschutzkonformität sowie der enorme Zeitdruck prägen für Cremers den intensiven Entstehungsprozess von DP-3T und der Corona-Warn-App. Mit dem Ergebnis ist er mehr als zufrieden und noch immer erfreut, dass sich Deutschland für einen Privacy-by-Design-Ansatz entschieden hat, bei dem Privatsphäre quasi ab Werk mitgedacht wird. Mittlerweile ist das Exposure-Notification-System von Google und Apple, das auf der Arbeit von DP-3T basiert, in 41 Ländern und Staaten weltweit im Einsatz.