Wie effektiv und sicher ist die Corona-Warn-App? Dieser Frage sind Forscher der TU Darmstadt und der Universität Würzburg auf den Grund gegangen. Denn nach wie vor ist nicht klar, wie viele Menschen die App tatsächlich nutzen und welchen Mehrwert sie für die Eindämmung der Corona-Pandemie hat. Das Forschungsteam erörterte nun daher sowohl die Wirksamkeit und die Kosten-Nutzen-Relation als auch die technologische Souveränität im Hinblick auf die App und ihrer Nutzung.
Seit Monaten beeinflusst die Corona-Pandemie das täglich Leben. Seit November befindet sich Deutschland im Lockdown Light, eine Verschärfung der momentanen Maßnahmen zur Eindämmung des Virus ist im Gespräch. Umso wichtiger ist eine sichere und schnelle Nachverfolgung der Kontakte und der damit verbundene Schutz aller Menschen. Diese Aufgabe soll die vom Robert-Koch-Institut entwickelte Corona-Warn-App übernehmen.
Corona-Warn-App wurde in Deutschland gut angenommen
Die Mitte Juni veröffentlichte Corona-Warn-App ist in Deutschland gut angenommen worden. Ende September verzeichnete das RKI 18,4 Mio. Downloads. Im Vergleich mit anderen Lösungen ist sie besonders wegen der dezentralen Datenspeicherung, der Freiwilligkeit und der Transparenz positiv aufgefallen.
Doch es mehren sich die Zweifel am Nutzen der App, besonders im Hinblick auf die Kosten. Das Forschungsteam der TU Darmstadt und der Universität Würzburg hat sich daher zum Ziel gemacht, eine kritische Auseinandersetzung zu initiieren, die die Kosten-Nutzen-Relation und die technologische Souveränität erörtert. Es hat sich gezeigt, dass vor allem Datenschutz und Sicherheitsfragen immer noch eine große Schwäche der Contact-Tracing-Apps darstellen. Gleichzeitig können sie helfen, die vollkommen überlasteten Gesundheitsämter zu unterstützen.
Um zusätzlich die wissenschaftliche Forschung voranzutreiben, wurden folgende Aspekte näher betrachtet:
- Datenübertragung via Bluetooth-Technologie und deren Tücken
- Angriffe auf die Corona-Warn-App – wie sicher sind die Daten?
- Wie viele Menschen nutzen die Corona-Warn-App?
- Dezentrale App ohne datenschützende digitale Infrastruktur
- Souveränität statt Dominanz von Google und Apple
Tracing-Apps sind nur Teil der Lösung bei Pandemie-Bekämpfung
Die Entwicklung der Corona-Warn-App hat in vielen Bereichen zu Kooperationen und Erkenntnissen geführt, die es unter anderen Umständen nicht gegeben hätte. Dabei sind die Vorteile die manuelle Nachverfolgung und das Identifizieren von Infektionsketten. Dennoch sind die Forscher der Ansicht, dass Tracing-Apps nur ein Teil der Lösung für die Covid-19-Pandemie sind.
Die Corona-Warn-App nutzt die Bluetooth Low Energy-Technologie, mit deren Hilfe zufällig generierte Identifikationsnummern (pseudonyme Bluetooth-IDs) automatisch zwischen Geräten ausgetauscht werden. Damit werden die Begegnungen zwischen den Geräten und deren Dauer erfasst. Das RKI spricht erst bei mehr als 10 Minuten langen Kontakten von einer Risiko-Begegnung. Neben der Dauer einer Begegnung spielt jedoch auch der Abstand zur getroffenen Person sowie die Umgebung, in der die Begegnung stattfindet eine Rolle.
Allerdings lässt sich mit Bluetooth Low Energy nur ansatzweise abschätzen, wie weit die Geräte voneinander entfernt waren. In einem Laborversuch hat sich gezeigt , dass es bereits durch Drehen und Kippen eines Smartphones zu Abweichungen der Signalstärke, welche als Grundlage für die Abstandsmessung benutzt wird, kommen kann. Die Corona-Warn-App erkennt nicht, wie und wo der Kontakt zustande kommt. Menschen bewegen und begegnen sich eben nicht unter Laborbedingungen, sondern in Räumen, im öffentlichen Nahverkehr oder im Freien.
Kein anderes System hat so großes Potenzial Daten zu sammeln
Obwohl die Corona-Warn-App die wahre Identität der Nutzer nicht explizit erfasst oder aufzeichnet, können die Bewegunsprofile zur Identifikation der Personen beitragen, so die Untersuchungen der Forscher. Das betrifft vor allem infizierte Personen, die ihren sogenannten Tagesschlüssel auf den App-Server hochgeladen haben. Sämtliche Bewegungsprofile sind einzigartig und es können beispielsweise anhand des nächtlichen Aufenthaltsorts Rückschlüsse auf den Wohnort gezogen werden.
Die Corona-Warn-App sammelt während der Kontakte zwischen ihren Nutzern vertrauliche und detaillierte Informationen. Die Forscher der TU Darmstadt spekulieren darüber, dass aktuell wohl kein anderes von den Behörden benutzte System das Potenzial hat, so viele Informationen zu den Kontakten von Personen zu sammeln wie die Corona-Warn-App.
Forscher konnten Datenschutzrisiken praktisch nachweisen
Gemeinsam mit Forschern der Universität Marburg und der Universität Würzburg ist es der TU Darmstadt gelungen, die bis dahin nur theoretisch beschriebenen Datenschutz- und Sicherheitsrisiken des Google und Apple-Ansatzes (Exposure Notification API) auch praktisch nachzuweisen. Ausgangspunkt für die Experimente waren zuvor veröffentlichte Berichte über mögliche Risiken im Zusammenhang mit den Entwicklungen des sogenannten „Google Apple Protokoll“ (GAP). Das Team hat getestet, ob die konzeptionell beschriebenen Angriffe in der Praxis ausgeführt werden können.
Die Experimente haben gezeigt, dass das GAP in vielerlei Hinsicht anfällig ist. Zum einen lassen sich Bewegungsprofile erstellen, die prinzipiell eine Identifikation von infizierten Personen ermöglichen können. Denn laut den Forschern können Google und Apple sowohl über die notwendigen Tools als auch die entsprechende Infrastruktur verfügen, um etwa soziale Beziehungen über sogenannte „Social Graphs“ fein-granularer abbilden zu können.
Zum anderen sind sogenannte Relay- oder Wurmloch-Angriffe möglich, wodurch der Angreifer falsche Kontaktereignisse generieren und damit die Zuverlässigkeit des gesamten Systems manipulieren kann. Hier ist es den Forschern gelungen, die pseudonymen Bluetooth-IDs zu sammeln und unbemerkt an andere – auch weiter entfernte Orte – weiterzuleiten. Der Angreifer kann so Informationen zum Aufenthaltsort duplizieren und dadurch fehlerhafte Risiko-Begegnungen injizieren. Somit kann das Kontaktnachverfolgungssystem als Ganzes beeinträchtigt werden, so die Forscher.
Der vollständige Bericht steht hier zum Download bereit.
Kontakt:
TU Darmstadt
Karolinenplatz 5
64289 Darmstadt
Tel.: +49 61511601
www.tu-darmstadt.de
