Die Corona-Warn-App – Ein IT-Projekt in der Öffentlichkeit

Die Corona-Warn-App – Ein IT-Projekt in der Öffentlichkeit

Knapp drei Monate nach dem Kick-off ist das aktuell meist diskutierte IT-Projekt des Landes live gegangen: die deutsche Corona-Warn-App (CWA). Das letzte vergleichbare IT-Projekt hierzulande, das eine ähnliche Debatte auslöste, war wohl das deutsche LKW-Mautsystem Toll Collect. Wenngleich die CWA nur einen Bruchteil der öffentlichen Ressourcen von Toll Collect in Anspruch nimmt, entbrannte doch eine ähnliche Diskussion um Nutzen, Funktionen und vor allem Sicherheitsbedenken. Waren es bei Toll Collect die großflächig installierten Kameras, so ist es bei der CWA vor allem das Kontakt-Tracing, das zu Diskussionen führt.

Doch messen die Kritiker hier tatsächlich alles mit gleichem Maß? Es gibt unzählige Apps, die im Vergleich zur CWA eine noch viel größere Verbreitung erreichen und sich mit Blick auf die Einhaltung von Datenschutzvorgaben bzw. Datenverwendung nicht im Ansatz einer solchen öffentlichen Debatte ausgesetzt sehen. Es scheint vielmehr ein Grundmuster erkennbar zu sein, nach welchem der eigene Staat weniger Vertrauen genießt als private Großkonzerne. Dieses Muster und seine Gründe zu diskutieren soll jedoch an dieser Stelle nicht unsere Aufgabe sein. Neben den Sicherheitsbedenken sieht sich die CWA auch sehr hohen Erwartungen in Hinblick auf die Eindämmung der Corona-Pandemie ausgesetzt, die sie wohl nur als „eierlegende-Wollmilch-App“ erfüllen könnte, wie Sascha Lobo zutreffend in SPON kommentierte.

Respekt beim Blick auf die CWA aus IT-Projekt Sicht

Wer einmal Teil eines IT-Projektes mit einer sehr großen Zahl von Stakeholdern aus den unterschiedlichsten Bereichen, einer Top Management Attention und natürlich auch knapper Zeitplanung war, wird unsere erste Einschätzung vom CWA-Projekt teilen: Respekt für das Projektteam. Ein solches im öffentlichen Interesse stehendes Projekt zu verantworten und durchzuführen ist eine Mammut-Aufgabe. Ähnlich wie der Fußball-Bundestrainer sieht man sich Millionen von Kommentatoren gegenüber, denen es gewöhnlich nicht schwerfällt, erfolgreichere Wege und Taktiken zu finden.

Wir haben uns ebenfalls die CWA und deren Spezifikation angesehen und nehmen eine eigene Einschätzung vor. Dabei orientieren wir uns als Maßstab an vergleichbaren B2B und B2C IT-Projekten.

Gelungene Dokumentation und Methodik

Was die App leistet, ist hinreichend auf der Projektwebseite dokumentiert und wurde durch zahlreiche Medien und Experten in den letzten Tagen bereits beleuchtet. Mit Blick auf die Dokumentation gefällt uns dabei insbesondere die konsequente Verfolgung des Open-Source-Gedankens: Alle notwendigen Details zum Projekt sind offen und aktuell zugänglich. Wer annähernd gleichwertige Dokumentationen von weitaus verbreiteteren Apps (WhatsApp, TikTok, Facebook, …) sucht, wird nicht fündig werden. Bei der Entscheidung für eine transparente Dokumentation hatte das CWA-Projekt zwar wenig Wahlmöglichkeiten, doch hat es seine Hausaufgaben aus unserer Sicht in vollem Umfang erledigt. Mit Blick auf die Vertrauensbildung einer solchen App ist die öffentliche und umfangreiche Dokumentation – die bereits früh von vielen Seiten wie etwa dem CCC gefordert wurde – ein wesentlicher Erfolgsfaktor. Die vorliegende CWA-Dokumentation, bestehend u. a. aus Projektzielen, User Stories, Lösungsarchitektur und natürlich dem Quellcode, darf aus unserer Sicht methodisch gern weitere App-Projekte inspirieren.

Neben der transparenten Dokumentation gefällt uns auch der offene und konstruktive Umgang mit dem Feedback der Open Source Community. Issues und Anmerkungen, die im Forum gemeldet wurden, sind auf Gehör bei den Projektmitgliedern gestoßen. Auch dies ist eine vertrauensbildende Maßnahme.

Google und Apple stellen ebenfalls ausführliche Dokumentationen der notwendigen Exposure Notification API zur Verfügung. Sie gaben zudem bekannt, dass nur registrierte staatliche Gesundheitsbehörden jene Schnittstellen in der Smartphone Firmware nutzen dürfen, die für die CWA benötigt werden.

Die Projektdauer sollte nicht allein mit Blick auf den Programmieraufwand beurteilt werden

Viele Diskussionen entbrannten um die Projektdauer. Mit Blick auf das Ziel der App, den Verlauf der Corona-Pandemie durch eine schnellere Nachverfolgung und Unterbrechung der Infektionsketten einzudämmen, wäre eine Veröffentlichung bereits im April oder Mai mit Sicherheit hilfreich gewesen. Blickt man wiederum auf die sehr große Zahl der einzubindenden Stakeholder und den damit verbundenen Koordinationsaufwand, erscheint die benötigte Zeit bis zum Release in einem anderen Licht. Ein solches Projekt kann es sich nicht leisten, die Anforderungen von Politik und Behörden, Wissenschaft und Gesundheitswesen, IT-Fachleuten und Anwendern nicht zu hören. Es mag Beispiele aus anderen Ländern geben, in denen der Prozess der fachlichen Klärung und Spezifikation wesentlich schneller abgeschlossen wurde. Doch wie jedes andere Projekt sah sich das CWA-Team hier im Zielkonflikt zwischen Zeitplan und Qualitätsanspruch. Hält man sich zudem vor Augen, dass die grundsätzliche Architekturentscheidung zwischen einem zentralen und dezentralen Ansatz im Laufe des Projekts – wohl auch durch den Einfluss von IT- und Datenschutzexperten – noch einmal geändert wurde, dann ist die Bereitstellung der App nach knapp drei Monaten anerkennenswert.

Die Architektur unterstreicht den Fokus auf Datenschutz

Schaut man auf die technische Architektur des Systems, dann ist sie, wie für eine auf Web-Technologie basierte Anwendung üblich, solide aufgebaut. Die Skalierungsmöglichkeiten sollten auch bei einem höheren Verbreitungsgrad der Anwendung nicht an ihre Grenzen stoßen.

Bei der Architektur der App wurde der Fokus auf Datenschutz gelegt. Obwohl das DP-3T-Protokoll zum Tracing grundsätzlich schon auf Anonymität bedacht ist, wurden noch weitere Maßnahmen ergriffen, um eine Aufhebung der Anonymisierung zu verhindern. Dazu gehört z. B. die Verschlüsselung der Datenablage auf dem Mobilgerät, die ein Auslesen der Daten durch Fremdanwendungen oder Memory Dumps schützen soll. Hierfür ist eine fehlerfreie Implementierung der Crypto-Bibliothek notwendig. Mit SQLCipher setzt die CWA eine kommerziell entwickelte Bibliothek ein. Nachdem diese aber Open Source verfügbar ist, kann ein schnelles Bugfixing erwartet und somit die Fehlerfreiheit erzielt werden.

Datenschutz über Anonymisierung für den Preis von erhöhtem Datenvolumen

Eine weitere interessante Mechanik der CWA zur Erreichung umfangreicher Anonymisierung ist die Verwendung von Pseudo-Traffic. Unabhängig davon, ob ein Anwender seine IDs aufgrund eines positiven Tests zum Server lädt oder nicht, lädt die Anwendung in unregelmäßigen Abständen gewisse Pseudo-Ids zum Server hoch. Auf diese Weise wird verschleiert, ob ein Nutzer positiv getestet wurde und daher Daten in Richtung Server überträgt. Eine Volumenanalyse innerhalb eines Netzwerks wird damit keine verwertbaren Informationen ergeben. Dies geschieht zu Lasten des Daten-Traffics, was Kosten bei Server-Betreibern und – je nach Anbindung und Vertrag – auch beim Nutzer verursacht. Erste Mobilfunkprovider haben daher bereits angekündigt, das erzeugte Datenvolumen der CWA nicht über den jeweiligen Tarif des Kunden abzurechnen („Zero Rating“).

Lokale Speicherung von Tracing-Daten und Testergebnissen

Das CWA-Projektteam hat sich zum Ziel gesetzt, konsequent sehr hohe Datenschutzprinzipien einzuhalten. Dies bedeutet unter anderem, nur zwingend notwendige Daten zu speichern und diese dann ausschließlich im Kontext zu verarbeiten, in dem sie erfasst wurden. Unter diesem Aspekt könnte man das Abrufen und Speichern von Testergebnissen in der App noch einmal diskutieren. Schließlich liegen mit den Kontakt-Tracing-Daten und den Testergebnisdaten zwei sehr schützenswerte Datenobjekte vor. Die Testergebnisse selbst werden dabei aber gar nicht explizit benötigt. Das Vorliegen von positiven Testergebnissen wird letztlich nur als Voraussetzung gesehen, die erfassten Kontakt-Tracing-Daten auf den CWA-Server zu laden, damit in Folge die entsprechenden Endgeräte über einen möglichen Kontakt mit einem Infizierten informiert werden können.

Wenn nun aber die expliziten Testergebnisse für die Funktion der App gar nicht notwendig sind und alternative Verfahren möglich und letztlich auch schon implementiert sind (TAN-Verfahren), stellt sich die Frage nach der Notwendigkeit des Testabrufes. Interessant wäre zu erfahren, welche Argumente trotzdem für die Integration des Testergebnisabrufs gesprochen haben.

Was passiert mit den gespeicherten Kontakt-IDs nach einem Gerätewechsel?

Ein Corner Case ist der Gerätewechsel eines Nutzers. Aus Gründen der Anonymisierung ist es zu begrüßen, dass es kein Verfahren gibt, IDs von einem Gerät auf ein anderes zu übertragen. Für den Nutzer bedeutet dies jedoch für den Risikobewertungszeitraum von 14 Tagen die App auf dem alten und dem neuen Smartphone parallel zu betreiben, wenn eine lückenlose Risikoeinschätzung gewünscht ist.

Interoperabilität mit anderen nationalen Corona-Apps

Spannend bleibt es bei der internationalen Integration. Nicht alle Staaten verwenden in ihren Corona-Apps die Exposure APIs von Google und Apple und dürften somit mit dem DP-3T-Protokoll nicht kompatibel sein. Aber auch Staaten, die eine DP-3T kompatible Anwendung bereitgestellt haben, werden sehr wahrscheinlich über eine zur CWA abweichende Backend-API verfügen, was die Zusammenarbeit der Apps unterschiedlicher Staaten erschwert.

Hier ergibt sich eine Chance z. B. für die EU, einen einheitlichen Standard zu moderieren, um mit Blick auf die bevorstehende Reisesaison die Zielerreichung der nationalen Apps zu unterstützen.

Der Maßstab für die Zukunft

Inwieweit die CWA ihr medizinisches Ziel der Pandemieeindämmung erreicht, wollen und können wir nicht beurteilen. Wir sehen in der CWA vielmehr interessante methodische und technologische Ansätze, die ein neues Paradigma für öffentlich verfügbare Apps einläuten können:

  • Konsequentes Verfolgen des Open-Source-Gedankens: Volle Transparenz über Funktionalität fördert Vertrauen.

  • Einhaltung hoher Anforderungen an Datenschutz und -sicherheit: Auch auf Kosten der Effizienz durch z. B. hohen Daten-Traffic („Datenschutz by Design“).

  • Gemeinsames Handeln aller notwendigen Stakeholder: Viele unterschiedliche Institutionen haben zusammengearbeitet, um in kurzer Zeit ein gemeinsames Ziel zu erreichen. Die Telekom als einer der beiden Auftragnehmer lobte die partnerschaftliche Zusammenarbeit aller Beteiligten in den höchsten Tönen. Ein Beispiel, das Schule machen muss.

Da das Vertrauen der Anwender in die CWA der wichtigste Erfolgsfaktor ist und die Transparenz helfen soll dieses Vertrauen herzustellen, liegt die Verantwortung für den Erfolg nicht allein bei den vermeintlich direkt verantwortlichen Projektbeteiligten, sondern bei allen Akteuren der öffentlichen Debatte. Wir alle entscheiden mit, wie und ob in Zukunft ein Projekt mit Transparenz gewinnen kann.

Trotz einiger Optimierungsmöglichkeiten setzt dieses Projekt aus unserer Sicht Maßstäbe. Vergleichbare Apps, mit sehr hoher Reichweite und öffentlichem Interesse, haben allein mit Blick auf Transparenz und Datenschutz deutlichen Nachholbedarf.

Mehr zum Thema

Können wir Sie unterstützen? Kontaktieren Sie unsere Experten!

Mit Q_PERIOR steht Ihnen ein starker Partner zur Seite.
Wir freuen uns auf Ihre Herausforderung!