Pandemiebekämpfung: Jetzt hat's die Corona-Warn-App auch gecheckt

Mit der neuen Version 2.0 können Nutzerinnen und Nutzer der Corona-Warn-App an Orten einchecken, die sie besuchen. Das bedeutet: Sie teilen über die App mit, dass sie sich zu einem bestimmten Zeitpunkt mit anderen an einem Ort aufgehalten haben, beispielsweise in einem Kaufhaus, Restaurant oder einer Privatfeier. Stellt sich später heraus, dass eine positiv auf Covid-19 getestete Person zur gleichen Zeit am selben Ort war, warnt die App automatisch. 

Konkret funktioniert das so: Als Erstes muss jemand mit der App einen QR-Code erstellen. Das kann die Betreiberin einer Bar genauso tun wie der Gastgeber einer privaten Veranstaltung. In dem QR-Code werden der Name der Veranstaltung und der Ort hinterlegt, so wie sie die Veranstalterin festlegt – also zum Beispiel "Aylas 30. Geburtstag" in "Aylas Wohnung". Alle Gäste können diesen QR-Code dann beim Eintreffen an diesem Ort mit ihrer App scannen. Wer den Ort verlässt, checkt wieder aus. Es gibt auch die Möglichkeit, nach einem vorher eingestellten Zeitraum automatisch auszuchecken. 

Ort und Zeit werden im Kontakttagebuch der App gespeichert – also genauso lokal, wie alle Angaben, die dort gemacht werden. Bedeutet: Wo man sich wann aufgehalten hat, wird nicht zentral erfasst. Nach 16 Tagen werden die Check-ins wieder gelöscht. Das Kontakttagebuch gibt es schon seit Monaten in der App, allerdings konnte man dort bislang nur manuell eintragen, mit wem man sich getroffen oder welche Orte man besucht hat. Gedacht war das vor allem als Gedächtnisstütze. 

Nun kann das Tagebuch mehr: Wird eine Person positiv getestet, kann sie das Testergebnis (wie bisher) in der Corona-Warn-App eingeben. Daraufhin können auch die Check-in-Orte der vergangenen Tage hochgeladen werden. Die Geräte aller anderen Nutzerinnen und Nutzer gleichen die Liste mit ihren eigenen Check-ins ab. Gibt es eine Übereinstimmung, schaltet die App auf Rot.

So sollen sogenannte Infektionscluster besser erkannt werden, also Orte, an denen sich viele Menschen anstecken. Eine solche Funktion fordern Expertinnen und Experten für die App schon seit Monaten. 

Die App ist rot – bisher hat das bedeutet, dass man eine gewisse Zeit lang in der Nähe einer infizierten Person war: so lang und nah, dass ein erhöhtes Infektionsrisiko besteht. Nach dem Update kann die rote Warnung auch bedeuten, dass man am selben Ort wie eine infizierte Person war. Das klingt sehr ähnlich, es ist aber ein Unterschied. 

Vor dem aktuellen Update wertete die Corona-Warn-App lediglich Messungen zur Nähe zwischen zwei Personen, oder genauer gesagt ihrer Smartphones aus, die über Bluetooth-Signale ermittelt wurden. War das eigene Geräte länger als fünf Minuten (bis Anfang 2021 waren es noch zehn Minuten) in der Nähe des Geräts einer infizierten Person, berücksichtigt die App den Kontakt – kommen weitere Risikofaktoren hinzu, warnt die App unter Umständen.

Neu hinzu kommt nun, dass der Aufenthalt an einem Ort über den Check-in festgestellt wird. Die App warnt, sobald eine infizierte Person zur gleichen Zeit am gleichen Ort oder kurz danach eingecheckt war. Überschneidet sich der gemeinsame Aufenthalt um weniger als zehn Minuten, ist die Warnung grün (geringes Risiko), bei mehr als zehn Minuten ist sie rot (erhöhtes Risiko). 

Der Vorteil dabei ist, dass so auch Personen gewarnt werden, die zwar im gleichen Raum wie eine infizierte Person waren, aber nicht länger in ihrer Nähe. Gerade bei längeren Aufenthalten in geschlossenen Räumen können aber genau solche Situationen wegen der Verbreitung von Aerosolen ein großes Infektionsrisiko darstellen. Nutzerinnen und Nutzer sollen in der App sehen können, ob eine Warnung durch das Bluetooth-System oder durch das Check-in-System ausgelöst wurde und in letzterem Fall auch nachvollziehen können, auf welchen Ort sich die Warnung bezieht.

Tatsächlich hat in den vergangenen Wochen eine andere App mit einer Check-in-Funktion für große Diskussionen gesorgt. Die App Luca, hergestellt und betrieben von einem Berliner Unternehmen, wirkt auf den ersten Blick sehr ähnlich: Auch hier sollen Gäste am Eingang von Restaurants und anderen Orten einchecken, indem sie einen QR-Code scannen, und auch das soll der Warnung dienen, wenn im selben Restaurant eine infizierte Person saß.

Es gibt aber wesentliche Unterschiede in der Funktionsweise beider Apps. Bei Luca werden die Check-in-Daten auf einem zentralen Server verschlüsselt gespeichert. Im Infektionsfall werden die Namen und Kontaktdaten aller Personen, die zur fraglichen Zeit im Restaurant saßen, an das zuständige Gesundheitsamt übermittelt, das diese dann warnen kann. Luca ist gewissermaßen die digitale Version der Papierlisten, in denen Restaurantgäste ihre Kontaktdaten eintragen müssen. 

Bei der Corona-Warn-App spielt das Gesundheitsamt keine Rolle. Die Informationen, welche Orte jemand besucht hat, bleiben nur auf dem Gerät gespeichert. Erst wenn sich herausstellt, dass jemand positiv getestet wurde, werden pseudonyme Kennungen verbreitet, die dann jedes Gerät mit der eigenen Check-in-Historie abgleicht. 

Das mag nach einem technischen Detail klingen, aber es bedeutet, dass die Corona-Warn-App direkt warnt, ohne dass ein Gesundheitsamt daran beteiligt wäre. Sobald jemand sein positives Testergebnis in der App einträgt, werden alle gewarnt, die zur selben Zeit am selben Ort waren. Dazu sind auch keine persönlichen Daten wie Name oder Telefonnummer nötig. 

Tatsächlich wird in der hitzigen Diskussion um die Luca-App schon seit Wochen die grundsätzliche Frage diskutiert, ob es sinnvoll wäre, auf ein Warnsystem zu setzen, das ohne Mitwirken der Gesundheitsämter auskommt. 

Dafür spricht: Warnungen funktionieren über die Corona-Warn-App deutlich schneller, quasi in Echtzeit. Das ist wichtig, denn: Je mehr Zeit zwischen dem Kontakt mit einer infizierten Person und der Warnung liegt, desto größer die Gefahr, dass man das Virus in der Zwischenzeit weitergibt. Außerdem könnte die Clusterwarnung über die Corona-Warn-App die Gesundheitsämter entlasten, die sich dann nicht durch die Luca-Daten wühlen müssten, deren Nutzen zuletzt immer wieder in Zweifel gezogen wurde. So ist das Fazit eines Luca-Modellversuchs in Weimar: "Nach erster Beurteilung durch das Gesundheitsamt waren von 655 angefragten und übermittelten Kontakten im Projektzeitraum '0' Kontakte relevant."

Vor allem aber bleibt die Corona-Warn-App auch weiter dezentral: Es gibt keine Stelle, an der nachvollzogen werden kann, wer wo welche Person traf oder welchen Ort besucht hat – die Angaben werden lokal auf den Smartphones gespeichert und Warnungen nur ausgetauscht, wenn eine Infektion vorlag. 

Die Clustererkennung über die Corona-Warn-App hat allerdings auch einige Nachteile: Das System der Corona-Warn-App funktioniert nur, wenn viele mitmachen. Erstens müssen Menschen selbst ihr positives Testergebnis in der App melden. Das tun bisher nicht alle. Zuletzt haben laut Robert Koch-Institut mehr als 60 Prozent der Nutzerinnen und Nutzer der Corona-Warn-App ihr positives Testergebnis mit der Öffentlichkeit geteilt. Noch geringer wird der Anteil von gemeldeten Positivtests über die Corona-Warn-App, wenn man sie ins Verhältnis zur Gesamtzahl aller Infektionen setzt – denn noch immer nutzt die App längst nicht jeder und jede. Das ist ein Problem – denn nur wenn möglichst viele positiv Getestete über die App ihre Kontakte warnen, ist es aussagekräftig, ob die App nun grün oder rot anzeigt. Dagegen, die Warn-App für die Clustererkennung zu verwenden, spricht auch, dass sie es ihren Anwenderinnen und Anwendern mal wieder nicht leicht macht: Zumindest nach aktueller Gesetzeslage – genügt ein einfacher Check-in über die Corona-Warn-App in einem Restaurant nicht, man muss dort weitere Daten hinterlassen (siehe unten). 

Das noch größere Problem ist allerdings: Die Warnung der Corona-Warn-App bleibt unverbindlicher. Wer einen Risikokontakt hatte, wird lediglich per App aufgefordert, sich testen zu lassen und in Quarantäne zu begeben. Das Gesundheitsamt wird hier nicht einbezogen, vielmehr setzt die App im Grunde auf das Verantwortungsgefühl ihrer Nutzerinnen und Nutzer. Das könnte ein Schwachpunkt sein, denn möglicherweise nehmen manche Menschen eine Quarantäneanordnung aus dem Gesundheitsamt ernster als eine App-Warnung. 

Es gibt keine Nutzungspflicht für Apps, weder für Luca noch für die Corona-Warn-App. Allerdings ist es vorstellbar, dass Check-in-Apps zur Quasi-Voraussetzung werden, um Läden, Restaurants und andere Orte betreten zu können. In Niedersachsen zum Beispiel müssen die Modellregionen, in denen Lockerungen getestet werden soll, zwingend an einem "app-basierten System der digitalen Kontaktnachverfolgung (z.B. Luca-App)" teilnehmen. 

Auch wenn die Corona-Warn-App und Luca Ähnliches leisten – die eine soll die andere nicht ersetzen. Das Gesundheitsministerium teilt ZEIT ONLINE auf Anfrage mit, die Corona-Warn-App sei eher für private Anlässe gedacht, Luca hingegen für Restaurants und ähnliches. Weiter heißt es darin, es solle QR-Codes geben, die beide Apps lesen können. 

Allein mit der Corona-Warn-App in einem Restaurant einzuchecken, wird aber wohl nicht möglich sein – zumindest nicht ohne eine Gesetzesänderung. Denn in den Corona-Verordnungen der Bundesländer steht, dass die Betreiber von Restaurants und anderen öffentlichen Orten im Infektionsfall persönliche Daten an die Gesundheitsämter weitergeben müssen. Das geht mit der Corona-Warn-App nicht, solche Daten sind dort gar nicht hinterlegt. Und das bedeutet: Zusätzlich zum Check-in mit der Corona-Warn-App müssten zum Beispiel Restaurantbesucherinnen entweder auf Papierlisten, der Luca-App oder anderen digitalen Tools ihre Kontaktdaten hinterlassen, so wie dies schon im vergangenen Sommer praktiziert wurde. 

Durch das technische Grundgerüst gilt das System der Corona-Warn-App als sicher und privatsphärefreundlich. Fachleute sprechen von einem dezentralen Ansatz, weil die Daten hauptsächlich auf dem eigenen Smartphone gespeichert werden. Das heißt, es ist für Kriminelle, Geheimdienste oder anderweitig Neugierige schwierig bis unmöglich, in großem Stil sensible Daten über Aufenthaltsorte zu erbeuten. Das liegt vor allem an der Architektur: Die App operiert nicht mit persönlichen Daten, man muss nirgends einen Namen oder eine Telefonnummer eingeben und IDs, die aufzeichnen, welche Geräte sich für welchen Zeitraum nah gekommen sind, werden lokal auf dem Gerät gespeichert. Das sind große Vorteile gegenüber Luca. 

Das heißt aber nicht, dass die Corona-Warn-App unverwundbar wäre. Die Entwickler von SAP weisen in ihrer Dokumentation der App selbst auf einige Bedrohungen hin.  

So lasse sich zum Beispiel anhand der Warnungen, die ja öffentlich sein müssen, relativ leicht die Information ablesen, an welchen Orten wie viele infizierte Personen eingecheckt haben. Zunächst sind die Orte zwar nicht identifizierbar, in den Daten steht nicht der Name des Restaurants, sondern nur eine pseudonyme Kennung. Kennt man aber den QR-Code des Ortes, lässt dies laut den Machern der App auch Rückschlüsse auf die ID der Veranstaltung zu. Die Macher raten daher dazu, die QR-Codes häufig auszutauschen. 

Mit einem ähnlichen Vorgehen könnte man zumindest einige Informationen auch über Nutzerinnen und Nutzer der App sammeln. Zwar lässt sich kaum herausfinden, welche konkrete Person an einem Ort eingecheckt hat – denn die App erhebt ja keine Namen und Telefonnummern. Es werden aber pseudonymisierte Personen-IDs mit Orts-IDs verknüpft. Das bedeutet: Werden im Fall einer gemeldeten Infektion Warnungen verschickt, könnten Angreifer daraus extrahieren, dass ein Nutzer unbekannten Namens eine Reihe von Orten besucht hat. Die Macher haben technische Maßnahmen ergriffen, um derartige Rückschlüsse weiter zu erschweren, wenn auch nicht unmöglich zu machen. 

Ein weiteres Angriffsszenario ist, dass Menschen gezielt falsche Warnungen erzeugen, etwa um Besucherinnen und Besucher von bestimmten Orten zu verängstigen. Dazu müsste man in den Ort einchecken, wofür man den QR-Code benötigt, und dann einen positiven Covid-19-Test in die App eingeben. Einen solchen in der App zu melden, ohne infiziert zu sein, dürfte aber zumindest schwierig werden. Damit eine solche Attacke zumindest nicht im großen Stil angewandt werden kann, ist die Zahl der Orte, an denen eine Person pro Tag einchecken kann, begrenzt.  

Verglichen mit dem Privatsphärenrisiko, das andere Check-in-Apps darstellen, sind diese Gefahren vermutlich verhältnismäßig gering – und doch weisen die Macher der App zumindest auf diese Möglichkeiten hin.

Die Corona-Warn-App soll in nächster Zeit weitere Updates bekommen. So sollen etwa auch Ergebnisse von Schnelltests in der App angezeigt werden. Dabei geht es nicht darum, andere zu warnen, sondern um einen einfachen Nachweis eines negativen Tests – der zum Beispiel die Voraussetzung sein könnte, um ein Geschäft oder einen Konzertraum betreten zu dürfen. Man führe Gespräch mit Unternehmen, deren Tests dann in die App integriert werden könnten, heißt es von der Bundesregierung. Die Funktion soll Ende April zur Verfügung stehen.

Außerdem wird wohl der digitale Impfnachweis unter anderem in die Corona-Warn-App integriert werden. Zuletzt wurde berichtet, ein solcher Impfpass solle noch vor den Sommerferien zur Verfügung stehen.