Bild: dpa Google und Apple verstärken die Daten­schutz-Vorkeh­rungen bei ihrer geplanten Infra­struktur für Corona-Warn-Apps. Die Nach­bes­se­rungen sollen es noch schwie­riger machen, einzelne Nutzer zu über­wa­chen. Dazu gehöre, dass nun auch mit dem Blue­tooth-Funk verbun­dene Zusatz­daten wie etwa die Signal­stärke verschlüs­selt werden, erklärten die beiden Unter­nehmen am Freitag. Dadurch soll es unmög­lich werden, einzelne Gerä­te­mo­delle an solchen Merk­malen zu erkennen.

Die Corona-Apps sollen helfen, die Anste­ckungen einzu­dämmen, wenn die Ausgeh­be­schrän­kungen gelo­ckert werden. Sie sollen erfassen, welche Smart­phones einander nahe­ge­kommen sind - und Nutzer warnen, wenn sich später heraus­stellt, dass sie sich neben infi­zierten Personen aufge­halten hatten.

Entfer­nung messen per Blue­tooth-Signal­stärke

Die Entfer­nung soll beim Konzept von Apple und Google anhand der Blue­tooth-Signal­stärke gemessen werden. Die Smart­phones sollen zudem per Blue­tooth Krypto-Schlüssel austau­schen, die sich alle zehn bis 20 Minuten ändern. Damit soll man Begeg­nungen nach­voll­ziehen können, ohne dass ein Einzelner nach­ver­folgbar wäre. Diese Schlüssel sollen nun gänz­lich zufällig erzeugt werden, um die Sicher­heit zu verbes­sern. Die maxi­male gemes­sene Begeg­nungs­zeit wird auf 30 Minuten beschränkt und in 5-Minuten-Schritten ermit­telt.

Von Google kommt das domi­nie­rende Smart­phone-System Android; Apple entwi­ckelt die iOS-Soft­ware seiner iPhones. Damit sind die US-Konzerne als einzige in der Posi­tion, die nötigen Schnitt­stellen direkt in die Betriebs­sys­teme einzu­bauen - und damit eine effi­zi­ente Basis für Warn-Apps zu liefern.

Gleich­zeitig kann es schwierig sein, andere Konzepte ohne ihre Koope­ra­tion umzu­setzen. So fordert Frank­reich von Apple, aus Daten­schutz­gründen einge­führte Einschrän­kungen für den Blue­tooth-Betrieb im Hinter­grund aufzu­wei­chen, damit die von der Regie­rung ins Auge gefasste Corona-App funk­tio­niert. Apple und Google konkretisieren Pläne für API für Corona-Apps

Mehr Spiel­raum für Entwick­lern und Behörden

Ein Kern­punkt des Konzepts von Apple und Google ist, dass die Fest­stel­lung, ob man sich in der Nähe eines infi­zierten Nutzers aufhielt, ausschließ­lich auf den Smart­phones erfolgen soll. Sie laden sich dafür mindes­tens einmal am Tag Listen von Krypto-Schlüs­seln herunter, die infi­zierten Personen gehören. Dabei bleibt deren Iden­tität für Apple, Google und die anderen App-Nutzer unbe­kannt.

Die am Freitag bekannt­ge­ge­benen Ände­rungen zielen auch darauf, Entwick­lern und Behörden mehr Spiel­raum bei der Gestal­tung der Corona-App zu geben. So können sie über eine neue Schnitt­stelle Grenz­werte für Signal­stärke und die Zeit, die Geräte neben­ein­ander verbringen, fest­legen. Anders gesagt: Google und Apple liefern die tech­ni­schen Werk­zeuge, aber die Gesund­heits­be­hörden entscheiden, wann sie von einer Anste­ckungs­ge­fahr ausgehen.

Apple will die Schnitt­stellen zunächst für alle iPhones verfügbar machen, die mit der Betriebs­system-Version iOS 13 laufen, bei Google ist es Android 6. Zu den jüngsten Ände­rungen gehört auch ein Austausch des Verschlüs­se­lungs-Algo­rithmus - das solle vor allem die Batte­rie­l­auf­zeit verbes­sern.

Chaos Computer Club meldet Bedenken an

Aktuell gibt es auch in Deutsch­land Streit unter Entwick­lern von Corona-Apps, weil einige einen Ansatz mit zentra­li­sierter Daten­spei­che­rung verfolgen. So warnte am Freitag der Chaos Computer Club davor. Die Initia­tive Konzept PEPP-PT (Pan-European Privacy-Preser­ving Proxi­mity Tracing), zu deren Teil­neh­mern das Robert Koch-Institut gehört, sei nicht in der Lage gewesen, "schnell eine halb­wegs funk­tio­nie­rende und daten­schutz­freund­liche Lösung zu liefern", schrieb das Netz­werk an das Bundes­kanz­leramt. Zuvor hatte die "Frank­furter Allge­meine Zeitung" darüber berichtet.

"Die Bundes­re­gie­rung hat großes Vertrauen in das System, was derzeit bei Fraun­hofer getestet wird", sagte die stell­ver­tre­tende Regie­rungs­spre­cherin Ulrike Demmer. Das Fraun­hofer-Institut erstellt eine Mach­bar­keits­studie zum vom Chaos Computer Club kriti­sierten PEPP-PT-Konzept. Am Ende werde das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik hier eine Empfeh­lung abgeben, sagte Demmer. "Bei einem zentralen Server müssen Sie demje­nigen vertrauen, der ihn pflegt, also in diesem Fall dann mögli­cher­weise einer staat­li­chen Stelle. Bei einem dezen­tralen System müssen Sie Apple und Google vertrauen, die das dann pflegen."

