Wie viele andere höre auch ich täglich den NDR-Info Corona-Podcast mit Christian Drosten. Mir gefällt besonders gut, wie Drosten immer wieder betont, dass er - trotz seines immensen Wissens auf seinem Fachgebiet - nicht die letzte Instanz ist und auf anderen Fachgebieten vielleicht auch manchmal keine Ahnung hat.
Nun werden in Regierungs- und anderen Kreisen die Rufe nach einer "Corona-App" immer lauter und auch Christian Drosten spricht sich für eine solche App aus (Update: und nochmal). So eine App würde die Bewegungs- und Bluetoothsignaldaten eures Handys auslesen, speichern und "anonymisiert" weiterreichen (warum ich anonymisiert in Anführungszeichen setze, ist eine andere Geschichte). Wenn ihr nun positiv getestet werdet, könnt ihr das der App mitteilen, woraufhin alle anderen, die die App installiert und sich in den letzten 14 Tagen in eurer Nähe befunden haben, eine entsprechende Warnmeldung bekommen und sich testen lassen und ggf. in Quarantäne begeben können. Klingt ganz sinnvoll und andere Staaten haben mit mehr oder weniger freiwilligen Maßnahmen diesbezüglich wohl auch gute Erfahrungen gemacht, heißt es.
Wenn ich mir allerdings anhöre, dass diese App einerseits dann wahlweise von digitalen Vollpfosten entwickelt wird oder von Unternehmen, die Arm in Arm mit den Folterknechten der CIA und anderen Geheimdiensten unsere Welt bespitzeln, wird mir ganz anders. Andererseits ist gerade der Bluetooth-Standard komplett kaputt und unsicher und ein ständig eingeschaltetes Bluetooth reißt euch ein scheunentorgroßes Sicherheitsloch in eure digitale Sicherheit.
Die Hacker dieser Welt hätten sicher eine große Freude an einer solchen App. Ich glaube, mir wäre es lieber, der Staat reißt sich per ordre de mufti meine Bewegungsdaten direkt von meinem Provider an sich, als dass ich mir freiwillig einen solchen Trojaner installieren würde. Ja, ich weiß natürlich, dass die Handymasteinwahldaten nicht hinreichend genau für eine solche Anwendung wären. Trotzdem: ich werde auf meinen Telefonen nicht den ganzen Tag Bluetooth einschalten, schon gar nicht, wenn ich mich damit in der Öffentlichkeit bewege.
Update: Corona-App der Telekom ist katastrophal unsicher
Update 2 (20.04.2020): Die ganze Chose entwickelt sich zum Fail des Jahres (mehr dazu).
Update 3 (22.04.2020): Corona-Datenspende-App des RKI: CCC warnt vor diversen Schwachstellen:
Das RKI hole sich die Daten der meisten Nutzer "wider Erwarten nicht vom Smartphone", sondern direkt von den Anbietern von Fitnessarmbändern und Smartwatches wie Fitbit, Garmin, Polar, Withings oder Google Fit, wundern sich die CCC-Sicherheitsexperten [...] Die Behörde habe so über einen Zugangscode potenziell Zugriff auf Klarnamen der Anwender sowie deren Körperdaten "noch vor Beginn der Spende".
Tolle Wurst. Und auch sonst bestätigt diese App alle meine Befürchtungen.
Update 4 (4.6.2020): jetzt ist die App ansatzweise und sie scheint nicht so schlimm geworden zu sein wie vor 6 Wochen befürchtet.
Die SAP-Entwickler haben mit Unterstützung der Telekom und unter Bezugnahme auf Verbesserungsvorschläge unzähliger unabhängiger Helfer eine beeindruckende Leistung vorgelegt. Nicht nur haben sie es geschafft, eine komplizierte App und deren Server-Infrastruktur für zwei Betriebssysteme im Rekordtempo bereitzustellen, das Ganze passiert auch noch unter Beachtung gängiger Best Practices der App-Entwicklung und für die Veröffentlichung von Open-Source-Code. Bei dem Corona-Warn-App-Projekt handelt es sich um das erste Mal in der Geschichte der Bundesrepublik, dass so etwas im Auftrag der Regierung so schnell und in solchem Ausmaß gelingt. Wenn Sicherheitsforscher, Datenschutz-Experten und unabhängige Entwickler bis zur Veröffentlichung der Apps keine gravierenden Probleme mit dem Quellcode finden, gibt es erst mal keinen Grund, dass irgendjemand der deutschen Umsetzung des COVID-19-Contact-Tracing-Konzeptes gegenüber Misstrauen hegen muss.
Trotzdem: Bluetooth ist kaputt und ich werde den Teufel tun, das auf meinem Handy ständig eingeschaltet zu lassen (schon alleine wegen des massiven Batteriebedarfs).
(Bild: Christoph Schulz [CC BY-SA 2.0])
covid-19