Prof. Dr. Stefan Valentin ist Professor für Mobile Netzwerke am Fachbereich Informatik der Hochschule Darmstadt. Er befasst sich seit vielen Jahren mit Funktechniken zur Lokalisierung und hat zum Thema Corona-Tracing-Apps die französische Regierung beraten. Im impact-Interview erklärt er, wie die deutsche Warn-App funktioniert – und warum er sie nicht installieren würde.

Von Christina Janssen, 10. Juni 2020

impact: Herr Valentin, viele europäische Länder haben schon eine Corona-App – Frankreich, Italien, Österreich und die Schweiz zum Beispiel. Jetzt ist es auch in Deutschland so weit. Warum so spät?

Valentin: Ich denke, das hat drei Ursachen: Zum einen wurde in Deutschland zu Beginn ein Ansatz verfolgt, der sich als ineffektiv herausgestellt hat. Zum zweiten hatte die Bundesregierung zunächst verständlicherweise andere Prioritäten wie den Infektionsschutz, den Ausbau der Test- und Behandlungskapazitäten und die Organisation des Lockdowns. Und drittens wurde hierzulande eine ausführliche und kritische Diskussion über den Datenschutz geführt, was ich grundsätzlich für sehr wichtig halte. Die Debatte war aber meines Erachtens verfrüht, weil man zu diesem Zeitpunkt die Grundfunktionen der App weder genau genug definiert noch praktisch getestet hatte.

impact: Wer hat die deutsche „Corona-Warn-App“ entwickelt?

Valentin: Die App wurde von SAP mit Unterstützung der Deutschen Telekom entwickelt, greift aber maßgeblich auf Googles und Apples gemeinsame Softwarebasis für Tracing-Apps zurück.

impact: Gesundheitsminister Jens Spahn setzt auf Freiwilligkeit und wirbt dafür, die App zu nutzen. Was leistet sie?

Valentin: Oberflächlich betrachtet ist die App sehr einfach: Sie registriert andere Smartphones in der Nähe und speichert sie als Kontakte. Wer positiv auf Corona getestet wird, kann seine App – freiwillig – auf „infiziert“ einstellen. Dann warnt die App alle Kontakte der letzten 14 Tage. Die betreffenden Personen können sich dann ihrerseits testen lassen. Sie erfahren nicht, von wessen App die Warnung kam. Umgekehrt weiß auch die infizierte Person nicht, an wen Warnungen verschickt wurden. Auch an Gesundheitsamt und Robert Koch-Institut gehen keine Informationen.

impact: Welche Technologie steckt dahinter?

Valentin: Die App nutzt den Bluetooth Funkstandard, bei dem Geräte regelmäßig in ihrer Nachbarschaft nach möglichen Verbindungen suchen. Normalerweise findet darüber ein Smartphone beispielsweise ein Headset, aber auch Smartphones untereinander können sich so erkennen. Darauf aufbauend haben Apple und Google gemeinsam eine Basis-Software für Corona-Apps entwickelt. Diese neue Grundlage – sie heißt „Exposure Notification Framework“ – erledigt viele Kernfunktionen der App: Sie misst die Abstände zwischen zwei Smartphones, berechnet Risikowerte, speichert die Kontakte und überträgt Testergebnisse an einen zentralen Server.

impact: Wie genau „erkennt“ mein Handy das Smartphone meiner besten Freundin, mit der ich spazieren gehe, das meines Kollegen im Büro oder des Schaffners im Zug?

Valentin: Bluetooth sendet – ähnlich wie ein Leuchtturm – regelmäßig kurze Radiosignale und lauscht auf Signale anderer Smartphones in Reichweite. Aus der Stärke des Empfangssignals kann grob geschätzt werden, wie weit der Sender entfernt ist. Empfängt Ihr Handy jetzt ein Bluetooth Signal aus der Umgebung, schätzt es den Abstand und speichert diesen, die Kontaktzeit und die anonyme Kennung des Senders lokal auf dem Smartphone. Auf einen zentralen Server werden nur die anonymen Kennungen derer hochgeladen, die ihre App auf „corona-positiv“ eingestellt haben. Auf diese „Positiv-Listen“ greift die App regelmäßig zu und vergleicht sie mit der lokalen Kontaktliste. Gibt es eine Überschneidung, hatte man möglicherweise einen „Corona-Kontakt“. Die App erhöht dann den Risikowert – abhängig vom gemessenem Abstand, Zeitpunkt und Dauer des Kontakts. Erreicht man den roten „Risikobereich“, wird man aufgefordert, sich testen zu lassen.

impact: Wo liegen die Schwächen dieses Systems?

Valentin: Meine größte Sorge ist die Abstandsmessung. Sie ist derzeit einfach nicht verlässlich, zugleich aber die Basis des gesamten Tracing-Verfahrens. Es gibt physikalische Effekte und technische Grenzen, die es sehr schwierig machen, mit Bluetooth-Signalstärke den Abstand genau genug zu messen. Einige Beispiele: Wenn sich ein Handy neben anderen Gegenständen in einer Handtasche befindet, wird möglicherweise die Antenne abgedeckt und das Signal gedämpft. Außerdem werden Funksignale reflektiert und verstärken sich an zufälligen Positionen im Raum oder schwächen sich ab. Schließlich ist jede Antenne richtungsabhängig, d.h. sie empfängt Signale nicht aus allen Richtungen gleich stark. Im Labor haben wir gesehen, dass deshalb ein tatsächlicher Abstand von einem Meter häufig massiv überschätzt wird. Schätzfehler von 15 Metern waren da keine Seltenheit, was für Corona-Tracing absolut inakzeptabel ist. Mich irritiert, dass diese grundlegenden Effekte jedem Nachrichtentechniker bekannt sind, die App-Entwickler jedoch annehmen, dass das alles schon irgendwie funktionieren wird. Hier brauchen wir interdisziplinäre Forschung, um die Fehlerquote deutlich zu reduzieren.

impact: Es kursieren interessante Beispiele dafür, wie durch die App Fehlalarme zustande kommen könnten: Wenn ich als Radfahrerin an einer Ampel neben einem Autofahrer anhalte, registrieren sich die Apps durchs Autofenster, ich werde mich aber wohl kaum mit Corona anstecken können…

Valentin: Das Problem ist: Nicht jeder über Bluetooth gemessene Kontakt ist epidemiologisch relevant. Bluetooth-Signale durchdringen fast ungedämpft Leichtbauwände und Plexiglas, die Corona-Infektionströpfchen aber nicht. Das Smartphone kann diese schützenden Schichten deshalb nicht erkennen. Dieser Unterschied wird die Fehlerquote der App weiter erhöhen.

impact: Wie sicher ist die App in puncto Datenschutz, droht uns jetzt COVID-1984?

Valentin: Die App soll niemanden lokalisieren. Genau deshalb wird Bluetooth zur Abstandsmessung eingesetzt und eben nicht GPS, Mobilfunk oder WLAN. Allerdings soll WLAN in der App zu einem anderen Zweck genutzt werden: zur Verbesserung der Messqualität. Über den WLAN-Netznamen wäre dann doch eine Lokalisierung möglich. Hier muss man den App-Entwicklern vertrauen, dass die Werte weder gespeichert noch extrahiert werden, was im Quellcode der App, den wir bereits genau angesehen haben, auch nicht vorgesehen ist. Glücklicherweise haben die Entwickler der deutschen App ihren Quellcode schon Ende Mai veröffentlicht. Viele Fachleute und interessierte Laien haben seitdem die Möglichkeit des öffentlichen Code-Reviews genutzt. Dabei sind keine größeren Probleme bei der Informationssicherheit und dem Datenschutz aufgefallen.

impact: Das klingt gut, gibt es einen Haken?

Valentin: Leider ja: Die Entwickler haben viele Funktionen aus der neuen Basis-Software von Google und Apple übernommen – und deren Quellcode ist nicht öffentlich. Damit sind grundlegende Funktionen der App nicht überprüfbar. Man muss hier Google oder Apple vertrauen.

impact: Es geht um hochsensible Daten – und da sollen wir ausgerechnet Google und Apple vertrauen?

Valentin: Die Antwort ist einfach: Sie haben keine Wahl, denn Google und Apple haben nicht nur die meisten Grundfunktionen der App programmiert, sondern könnten im Betriebssystem Daten aus der App auch mit Ihren persönlichen Daten zusammenführen und an Dritte weiterleiten. Das Risiko, dass das en masse passiert, halte ich zwar für gering. Aber technisch ist es möglich und könnte zum Beispiel auf Anfrage von Behörden geschehen. Die Nutzung der Lösung von Apple und Google halte ich aber auch aus anderen Gründen für problematisch. Die beiden Firmen haben nun aus ihrem Oligopol bei mobilen Betriebssystemen ein Monopol beim Corona-Tracing gemacht. Damit sind die beiden Konzerne gegenüber allen anderen Beteiligten – der Bundesregierung, dem Robert Koch-Institut, den einzelnen Nutzerinnen und Nutzern – in einer extrem starken Position.

impact: Verstößt es gegen die guten Gepflogenheiten, den Quellcode nicht zu veröffentlichen?

Valentin: In der Tracing-Community war es bisher gute Praxis, Quellcode und Dokumentation möglichst komplett der Öffentlichkeit zur Verfügung zu stellen. So konnte beispielsweise Australien auf Basis von Singapurs OpenTrace sehr schnell seine eigene App entwickeln, die auf relativ große Akzeptanz stößt. Seit Mitte Mai stellen nun leider immer mehr Apps auf Apples und Googles geschlossene Lösung um. Ich sehe es deshalb sehr kritisch, dass sich die Entwickler der deutschen Tracing-App hier ohne Not von Google und Apple abhängig gemacht haben. Man gibt damit nicht nur die Kontrolle ab, sondern behindert auch den offenen Austausch auf diesem Gebiet.

impact: Warum hat Deutschland es nicht gemacht wie Australien und sich an einer guten, für alle transparenten Vorlage bedient?

Valentin: Ich denke, primär aus Zeitgründen. Es ist eine fast schmerzhafte Ironie, dass man in Deutschland so lange über Datenschutz diskutiert, bis man Apple und Google das Feld überlässt. Hier hätte ich mir ein klares Bekenntnis zu freier Software gewünscht. Andere Länder haben das besser gemacht.

impact: Dient die App auch der Wissenschaft, können Epidemiologen sie nutzen, um sich für die Zukunft besser zu wappnen?

Nein, denn im Fall der deutschen App erkauft man sich den Vorteil eines hohen Datenschutzes mit erheblichen Nachteilen für die Wissenschaft: Weder die Gesundheitsämter noch das RKI und die Epidemiologen erhalten irgendwelche Daten. Damit kann die Corona-Warn-App weder zur Kontrolle noch zur Erforschung der Pandemie eingesetzt werden. Was mich in Anbetracht der schon erwähnten technischen Schwierigkeiten besonders stört: Wieder entzieht sich die App der Überprüfbarkeit, denn ohne Statistiken etwa zu Fehlerrate oder Nutzerzahl pro Landkreis kann man nicht direkt beobachten, ob sie wirkt. Hoffentlich werden wir in den Infektionszahlen einen Effekt sehen, aber das ist dann eben nur eine Koinzidenz.

impact: Die Gesundheitsämter brauchen derzeit Tage oder Wochen, um mögliche Infektionskandidaten zu informieren. Wie schnell geht es mit einer App?

Valentin: Nach dem aktuellen Design sollte das binnen einer Stunde nach Einlesen des Testergebnisses erledigt sein. Das ist der Hauptvorteil der App.

impact: Wie viele Menschen müssen die App installieren, damit sie ihren Zweck erfüllen kann?

Valentin: Laut einer theoretischen Studie an der Universität Oxford müssen 60 Prozent der Bevölkerung, in Deutschland 48 Millionen, die App installieren, um die Ausbreitung der Pandemie zu stoppen. Das gelingt allerdings nur, wenn die benachrichtigten Kontakte dann auch sofort in Quarantäne gehen. Das ist bisher nicht geplant und kann, wie gesagt, mit dem dezentralen Ansatz der deutschen App auch nicht überprüft werden.

impact: Was passiert, wenn es zu wenige sind – Stichwort Scheinsicherheit?

Valentin: Tracing-Apps – so sie denn funktionieren – helfen dann trotzdem. Sie würden die Ausbreitung der Pandemie nicht stoppen, aber verlangsamen. Dieser positive Effekt fällt dann allerdings erheblich kleiner aus. Deshalb möchte ich sehr deutlich sagen, dass wir auf keinen Fall die Schutzmaßnahmen lockern sollten, bloß weil jetzt die App da ist. Wer meint, dass uns die App zum Beispiel wieder Großveranstaltungen erlauben kann, überschätzt deren technische und epidemiologische Möglichkeiten.

impact: Kann Deutschland die nötige Quote erreichen?

Valentin: Prinzipiell schon, denn die Corona-Warn-App ist auf 60 Millionen aktive Nutzer ausgelegt und wir haben mit circa 58 Millionen Smartphones in Deutschland genügend Geräte, um die besagte Quote von über 60 Prozent zu erreichen. Allerdings bin ich da pessimistisch, denn auch Länder, in denen die Menschen weniger skeptisch gegenüber neuen Technologien sind als wir Deutschen, haben bisher nur deutlich niedrigere Quoten erzielt.

impact: Haben Sie Verständnis für die Skepsis vieler Nutzer in Deutschland? Sie haben abschreckende Beispiele wie China vor Augen, wo über die App auch persönliche Daten gesammelt werden.

Valentin: Ich verstehe das absolut. Und Überwachungssysteme, die wir heute bauen, könnten in Zukunft auch in Deutschland missbraucht werden. Allerdings zeigt das deutsche Beispiel auch, was passiert, wenn zu viel Funktionalität dem Datenschutz geopfert wird. Man bekommt eine dysfunktionale App, die sich bereitwillige Nutzerinnen und Nutzer vielleicht deshalb nicht installieren, weil sie außer Fehlalarmen nichts bringt. Bestenfalls hat man damit keinen Effekt. Schlimmstenfalls überlastet man Gesundheitsämter und Testcenter mit falsch-positiven Meldungen oder wiegt App-Nutzer in falscher Sicherheit, so dass sie den Infektionsschutz vernachlässigen. Hier hätte ich mir mehr Balance und Sachlichkeit gewünscht.

Das Thema Corona-App spielt auch in Ihren Lehrprojekten eine Rolle. Woran arbeiten Sie gerade mit Ihren Studierenden?

Wir untersuchen seit März die Verfahren zur Abstandsmessung und haben in unseren Experimenten die Probleme von Tracing-Apps inzwischen gut isoliert. Derzeit arbeite ich mit einzelnen Masterstudenten an einer Verbesserung der Messverfahren mit statistischen Methoden. Unsere Algorithmen implementieren wir auf handelsüblichen Smartphones, aber auch in speziellen Bluetooth-Chips. Dazu kommt ein Praktikum mit sechs Bachelorstudenten, in dem wir Tracing-Apps weltweit beobachten und gegeneinander antreten lassen werden. Ich bin schon sehr gespannt, welche App unseren „Tracing Benchmark“ gewinnen wird.

Wie können Tracing-Apps für künftige Pandemien oder andere Anwendungen optimiert werden, an welchen technischen Entwicklungen arbeiten Sie und Ihre Kolleginnen und Kollegen?

Zunächst einmal hoffe ich, dass in fünf Jahren genügend neue Smartphones mit modernem Bluetooth hergestellt und verkauft sind. Seit Januar 2019 haben wir im Bluetooth Standard Mechanismen, um die Richtwirkung der Antennen zu kompensieren. Leider sind diese bisher in kaum einem aktuellen Smartphone verbaut. Langfristig sollte man über aufwändigere Funktechnologien nachdenken, die z.B. kurze Impulse versenden, um Distanz mittels Laufzeit zu messen. Auch der Kompromiss zwischen Datenschutz und Funktionalität sollte systematisch, rational und am besten wissenschaftlich diskutiert werden. Ich hoffe, dass dann auch der Nutzen für die Allgemeinheit höher sein wird.

Sie beschäftigen sich seit acht Jahren mit dem Thema Bluetooth Tracking. Ihr persönlicher Standpunkt: Sollte man die App installieren?

Ich würde die deutsche App im aktuellen Zustand nicht installieren, weil ich sie für dysfunktional halte. Eine App, die auf komplett offenem Quellcode basiert – Basisfunktionen inbegriffen – und deren Funktionalität von einem interdisziplinären Team von Experten erfolgreich in aller Öffentlichkeit validiert wurde, würde ich mir sehr gerne installieren.