Corona-Warn-App

Blick hinter die Kulissen

Ausgabe-Nr.: 22/2020

SAP-Development-Director Eyk Kny: „Wir stellen sicher, dass nur die wirklich benötigten Daten gesammelt werden. Die App fordert vom Nutzer keinerlei persönliche Daten wie Name, Alter oder Anschrift. Es werden ausschließlich verschlüsselte Codes verarbeitet.“

Die Entwicklung der Corona-Warn-App ist nun nach langer Wartezeit abgeschlossen. Die Bundesregierung beauftragte die beiden Unternehmen SAP und Deutsche Telekom mit diesem Projekt. Die eingeweihten Akteure gewähren detaillierte Einblicke in die Anwendung, die entgegen vielen Befürchtungen absolut datenschutzkonform sein soll.

„Die App misst über Bluetooth den Abstand zwischen Personen. Sie ermöglicht, dass die Mobilgeräte sich die Kontakte merken, die die festgelegten Kriterien (Nähe und Zeit) erfüllt haben. Dazu tauschen die Geräte untereinander temporär verschlüsselte Identitäten aus. Werden Nutzer der Corona-Warn-App positiv auf das Corona-Virus getestet, können sie auf freiwilliger Basis ihre Kontakte durch die App informieren lassen. Dabei werden im Infektionsfall die verschlüsselten IDs des Infizierten allen Mobiltelefonen der App-Nutzer zur Verfügung gestellt“, erklärt Martin Fassunge,  Projektleiter und Senior Development Manager bei der SAP SE in Walldorf, die Funktionsweise der App.

Die SAP stellt über eine Plattform die Software-Technologie zur Verfügung. Die Deutsche Telekom bringt dagegen ihre „Stärken im Hinblick auf Prozesse rund um die Netzwerk- und Mobilfunk-Technologie mit ein und kümmert sich um den sicheren und effizienten Betrieb“ (Peter Lorenz, Leiter der Portfolio Unit Digital Solutions bei T-Systems International GmbH). Die App soll die gesammelten Daten dezentral auf dem Smartphone des Anwenders speichern. Die beiden Unternehmen lassen verlauten, dass jeder Entwicklungsschritt mit dem Bundesamt für Sicherheit in der Informationstechnik abgestimmt war und mit der Datenschutz-Community zusammengearbeitet wurde.

„Wir möchten den Zeitraum zwischen einem Test, bei dem jemand positiv getestet wird (Index Case), und dem Zeitpunkt, zu dem er darüber informiert wird, so kurz wie möglich halten. So wird das Infektionsrisiko für andere so gering wie möglich gehalten. Wie wir das schaffen? Indem wir den kompletten Ablauf vom Arzt bis zum Labor und zurück zum Patienten digitalisieren“, sagt Jürgen Müller, Vorstands-Mitglied und Chief Technology Officer bei der SAP SE.

Jürgen Müller, SAP-Vorstands-Mitglied und Chief Technology Officer: „Ich bin fest davon überzeugt, dass wir durch den offenen, agilen und transparenten Entwicklungsprozess das Vertrauen der Menschen gewinnen und dies wiederum zu einer hohen Akzeptanz der App führt. Dadurch können wir die Infektionsketten so früh wie möglich durchbrechen, ohne auf unser Recht auf Datenschutz und Sicherheit verzichten zu müssen.“

Der Nutzer steht über die Corona-Warn-App folglich direkt mit dem Verifizierungsprozess der Laborergebnisse und der Runtime-Umgebung in der Open Telekom Cloud in Verbindung (-> Grafik 1). Die Anwendung wird nativ für die Betriebssysteme iOS von Apple und Android von Google entwickelt. Für Geräte von Apple wird eine Betriebssystem-Version von mindestens 13.5 benötigt, damit das System funktioniert. Für Android werden die Funktionen in die Google-Play-Dienste integriert, sodass nur diese spezielle Anwendung aktualisiert werden muss.

Zur Entwicklung der App wurde das ‚Exposure Notification Framework (ENF)‘ von Apple und Google verwendet. Dieses nutzt die Technologie ‚Bluetooth Low Energy (BLE)‘. Dabei fungieren die einzelnen Smartphones als ‚Beacons‘, die ständig ihre eigene temporäre ID aussenden, während sie gleichzeitig nach IDs anderer Smartphones suchen. Um einen vollständigen Datenschutz zu gewährleisten und die Verfolgung von Bewegungsmustern der Nutzer zu verhindern, sind die gesendeten IDs nur temporär und ändern sich alle 15 Minuten. Neue IDs werden von einem Schlüssel abgeleitet, der sich täglich durch ein kryptografisches Verfahren ändert.

Die gesammelten IDs anderer Anwender werden lokal auf jedem einzelnen Smartphone innerhalb des ENF gespeichert. Wenn ein Nutzer positiv auf SARS-CoV-2 getestet wurde, kann dieser der App eine Verifizierung seines positiven Tests zur Verfügung stellen, indem er die eigenen pseudonymisierten IDs teilt. Dadurch werden dessen temporäre Schlüssel der letzten 14 Tage auf einen Server hochgeladen. Auf diesem Server werden alle Schlüssel der Personen, die positiv getestet wurden, aggregiert. Die Liste aller IDs wird im Anschluss allen betroffenen Smartphones, auf denen die Corona-Warn-App installiert ist, bereitgestellt. Um damit Millionen von Smartphones erreichen zu können, werden die aggregierten Daten über ein ‚Content Delivery Network (CDN)‘ zur Verfügung gestellt.

„Wir stellen sicher, dass nur die wirklich benötigten Daten gesammelt werden. Die App fordert vom Nutzer keinerlei persönliche Daten wie Name, Alter oder Anschrift. Es werden ausschließlich verschlüsselte Codes verarbeitet. Wir definieren auch, wo die Daten gespeichert werden sollen. Zum Beispiel auf den mobilen Endgeräten. Und auch wann sie wieder zu löschen sind“, betont Eyk Kny, der bei SAP als Development Director für die Architektur der Lösung verantwortlich ist.

Neben dem Datenschutz stellen auch die Schnittstellen zu der API von Apple und Google einen kritischen Punkt dar, da sich diese ständig weiterentwickeln. Daran muss sich die Architektur der App kontinuierlich anpassen. Außerdem besitzt die Interoperabilität mit den Applikationen anderer Länder Einfluss auf die Gestaltung. Zum Beispiel hinsichtlich der Anbindung entsprechender Roaming-Funktionalitäten.

„Ich bin fest davon überzeugt, dass wir durch den offenen, agilen und transparenten Entwicklungsprozess das Vertrauen der Menschen gewinnen und dies wiederum zu einer hohen Akzeptanz der App führt. Wir werden alle von einer App profitieren, die uns warnt, wenn wir uns in der Nähe einer Person befunden haben, die sich nachweislich mit SARS-CoV-2 infiziert hat. Dadurch können wir die Infektionsketten so früh wie möglich durchbrechen, ohne auf unser Recht auf Datenschutz und Sicherheit verzichten zu müssen“, resümiert Müller.

 

Weitere Artikel dieser Ausgabe