Anzeige

Coronavirus

Besitzer eines Smartphones von Apple oder mit dem Betriebssystem Android bekommen beim Aktualisieren der System-Software Hinweise darauf, dass Apple und Google die Funktion von offiziellen Corona-Warn-Apps möglich machen wollen. 

Das führt bei Anwendern zur Verwirrung, denn die App lässt noch auf sich warten.

BEHAUPTUNG: Google hat heimlich seine Android-Smartphones ohne Update um die Schnittstelle für die geplanten Corona-Warn-Apps erweitert, über die Regierungen ihre Bürger ausspionieren können.

BEWERTUNG: Die Behauptungen sind falsch. Die technische Vorbereitung von Android und iOS erfolgte nicht «heimlich», sondern wurde von beiden Konzernen am 10. April öffentlich angekündigt. Außerdem kann man über die App keine Anwender ausspionieren. Es wurde ein umfassendes Datenschutzkonzept umgesetzt, bei dem keine Geodaten oder Kontaktdaten erfasst oder übertragen werden. Die Programmierung der App erfolgt transparent als «Open Source» und kann überprüft werden.

FAKTEN: Zur Eindämmung von Infektionsketten wird in vielen Ländern an Apps gearbeitet, die Kontakte von Smartphone-Anwendern technisch erfassen, um diese später kontaktieren zu können, falls einer sich mit dem Coronavirus infiziert haben sollte. In Deutschland wird seit Februar über die Funktionen und das Datenschutzkonzept diskutiert. Erste Überlegungen, für die Ermittlung solcher Begegnungen auch Geodaten via GPS oder Mobilfunk zu verwenden, wurden schnell wieder verworfen, auch weil Datenschützer erhebliche Bedenken äußerten.

Danach standen drei Konzepte zur Auswahl (PEPP-PT, D3-PT und TCN), die im Kern das gleiche Ziel verfolgen, nämlich Bluetooth-Funk zu verwenden, um bei einem Kontakt die räumliche Nähe und die Dauer des Treffens zu ermitteln. Das soll so funktionieren: Wenn sich zwei Smartphones mit installierter App näher als etwa anderthalb Meter kommen, tauschen sie anonymisierte Zahlencodes aus, die alle 15 oder 20 Minuten verfallen und durch einen Kurzzeit-Code ersetzt werden.

Unter Wissenschaftlern, Datenschützern und IT-Unternehmern wurde lange um das Speicherkonzept gestritten. PEPP-PT bevorzugte eine zentrale Speicherung der anonymisierten Kontaktdaten. D3-PT und TCN sprachen sich für ein dezentrales Konzept aus, bei dem die Kontaktdaten auf den Smartphones verbleiben und nur die anonymisierte Liste der Infizierten auf einem zentralen Server landet. Der Konflikt wurde durch die Initiative von Apple und Google entschieden, die die Nutzung ihrer Programm-Schnittstellen (APIs) für eine Corona-Warn-App nur bei einer dezentralen Speicherung der Kontaktdaten gestatten.

Insbesondere beim iPhone ist eine Tracing-App auf diese APIs angewiesen, um ständig Bluetooth-Signale senden und empfangen zu können, wenn die App im Hintergrund aktiv ist und nicht nur auf einem entsperrten iPhone im Vordergrund läuft. Apple untersagt aus Datenschutzgründen bislang eine so intensive Bluetooth-Funkerei. Am 21. Mai veröffentlichte Apple das Betriebssystem-Update iOS 13.5, mit dem auch ein «COVID-19-Kontaktprotokoll» eingeführt wurde. Das Protokoll ist zunächst ausgeschaltet und kann erst dann aktiviert werden, wenn eine autorisierte Anwendung wie die geplante Corona-Warn-App des Bundes installiert wird.

Google lieferte die Funktion am selben Tag für die Android-Smartphones aus, allerdings nicht in Form eines klassischen Android-Updates, sondern über eine Aktualisierung der «Google Play Services». Mit diesem Vorgehen ist Google nicht auf eine Kooperation der Smartphone-Hersteller wie Samsung oder Lenovo angewiesen, die zum Teil Monate benötigen, um ein Android-Update zur Verfügung zu stellen. Bei älteren Geräten verteilen die Hardware-Hersteller die Software-Aktualisierungen oft nur noch in größeren Abständen oder gar nicht mehr. Das von Google für das Covid-19-Update gewählte Verfahren sorgt aber auch dafür, dass Android-Smartphones ohne «Google Play Services» wie die neuesten Huawei-Smartphones oder das Fairphone 3 mit der Android-Variante «/e/OS» die neuen APIs nicht nutzen können.

Wie beim iPhone können die «COVID-19-Kontaktbenachrichtungen» auch bei Android nur dann aktiviert werden, wenn eine autorisierte App installiert wird und auf die Technologie zugreift. Durch die Aktualisierung der «Google Play Services» alleine werden keine anonymisierten Kontakt-IDs über Bluetooth gesendet oder empfangen.

Die Behauptung, mit dem Update von iOS oder den «Google Play Services» könne die Regierung genau verfolgen, wo und mit wem man sich treffe, ist in mehrfacher Hinsicht falsch. Durch die Updates ohne die Installation einer geeigneten App alleine passiert zunächst nichts. Und auch nach der Installation einer autorisierten Corona-Warn-App, die die neuen technischen Möglichkeiten in iOS oder den «Google Play Services» ausnutzt, ist diese Behauptung nicht richtig. Es werden von der Corona-Warn-App keine Ortsinformationen erfasst oder übertragen. Die Kontaktdaten liegen auf keinem Server, der von der Regierung theoretisch oder in der Praxis erreicht werden könnte, sondern nur auf dem Smartphones der Anwender. Und die per Bluetooth übertragenen Kontaktdaten werden ein zweistufiges Anonymisierungsverfahren durchlaufen, so dass man auf den übertragenen Kurzzeitschlüsseln nicht auf den Besitzer des Smartphones schließen kann.

Christoph Dernbach, dpa


Weitere Artikel

Apple Event "Spring Loaded" - was erwartet uns?

Apple stellt neue Produkte wegen der Corona-Pandemie wieder nur bei einem Online-Event vor. Erwartet wird nach Medienberichten am Dienstag (ab 19.00 Uhr MESZ) vor allem ein neues Modell des Tablet-Computers iPad Pro.
Justitia

Das neue Telekommunikationsgesetz wird zur Ausbaubremse

Der Bundestag will in dieser Woche die Novelle des Telekommunikationsgesetztes (TKG) beschließen. Zum aktuellen Gesetzesvorschlag erklärt Bitkom-Präsident Achim Berg:
Smartphone

Corona-Jahr 2021: 300 Milliarden Kurznachrichten in Deutschland

Es vibriert, es plingt, es piept: Wer in Deutschland ein Smartphone oder Handy nutzt, bekommt durchschnittlich 13 Kurznachrichten pro Tag.
Google Chrome Leak

Zwei in einer Woche: Neue Zero-Day-Schwachstelle in Google Chrome

Zum zweiten Mal innerhalb einer Woche wurde ein Proof-of-Concept (PoC)-Exploit für eine Zero-Day-Schwachstelle in Google Chrome veröffentlicht. Anfang vergangener Woche veröffentlichte ein Forscher einen PoC für eine One-Day-Schwachstelle in der von Google…
Bewerbung

Darum wird Talent Experience Management in der Post-Covid-Ära wichtig

Für jede freie Stelle den idealen Kandidaten finden - im Zeitalter von Home Office und Remote Work ist das für viele Arbeitgeber eine Herausforderung. Insbesondere Unternehmen, die international nach Talenten suchen, müssen beim Recruiting immer innovativer…
Cyber Attack

Zahl der Cyberattacken auf Firmen steigt - deutsche Betriebe besonders betroffen

Hacker greifen immer häufiger Firmen an und betreiben dabei immer größeren Aufwand. Damit wollen die Cyberkriminellen oft Lösegelder erpressen. Deutsche Firmen berichten in einer aktuellen Umfrage von besonders hohen Schäden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.