Eines hat die Corona-Krise auf jeden Fall hervorgebracht: eine Flut von Experten und Tatendrang für unkonventionelle Hilfsmittel sowie Ratschläge. Die Menschen haben einfach mehr Zeit – zum Grübeln, Recherchieren, Besserwissen und Erfinden. Aber Vorsicht – auch bei Apps!

von Felix Duček

Wie brillant wäre es doch, nicht nur mit Softskills – insbesondere der rhetorisch durchtrainierten Politiker – und mit Softpower, sondern auch mit Software dieses hartgesottene Virus bekämpfen zu können.

Natürlich laufen diese Bemühungen schon auf Hochtouren. Warum auch nicht? Software statt Hardware ist smarter und beliebig zu vervielfältigen und damit vor allem billiger. Besonders billig ist die werbe- und datenfinanzierte Billig-Software: Eine App hier, eine App da, meine Daten dort. Das haben mittlerweile die Internet-Riesen, Big-Data-Analysten, die Werbeindustrie und sogar die Regierungen entdeckt. Erinnert sich noch jemand an den Skandal mit "Ada, deiner Gesundheitshelferin" auf dem Smartphone? Ach nein, das ist Schnee vom vergangenen Jahr, das war ja noch vor der Corona-Krise. Deine Gesundheitshelferin Ada verpetzte gern ihre Patienten an US-Datenbanken, sodass die Techniker-Krankenkasse schließlich ihre Empfehlung der App widerrief.

Nun, mit der Anwendungsreife technischer Innovationen im Allgemeinen und mit neuer Software im Besonderen ist es eine eigenartige Sache. Was im Prinzip denkbar ist und im (Software-)Labor funktioniert, braucht bisweilen Jahre, um in der Praxis einsetzbar zu sein. Und braucht selbst dann permanent neuerliche Immunisierung gegen Missbrauch: Da brauchen wir gar nicht nur über den Transrapid vom Münchner Hauptbahnhof zu grinsen, der jetzt nach Schanghai fährt, denn seit Jahrzehnten lässt uns – mindestens halbjährlich – Bill Gates über Microsoft Windows mit Bugfixes grüßen.

Auch hierzulande ist der Innovationsdrang größer als bisweilen die Fähigkeiten. Was Software für die Öffentlichkeit betrifft, sei für die letzten Jahre nur erinnert an die Elektronische Gesundheitsakte (neben den Ärzten, Krankenkassen und Patienten insbesondere für Versicherungskonzerne hochinteressant), an die Blamage bei der großspurigen Einführung eines "sicheren" elektronischen Notar-Postfaches, an die "erfolgreichen" Tests mit automatischer Gesichtserkennung am Berliner S- und Fernbahnhof Südkreuz, aller begehrte Schwerpunktthemen auf den Kongressen des Chaos Computer Clubs für ernüchternde Sicherheitsanalysen.

Was wäre nicht alles möglich? Man stelle sich in der aktuellen Corona-Krise vor, Horst Seehofer hätte angewiesen, anstelle biometrischer Merkmale von tatsächlichen Fahndungssubjekten (oder vermeintlichen Gegnern der freiheitlich-demokratischen Grundordnung) einfach mal die Kameras des BMI auf Detektion erhöhter Körpertemperatur umzurüsten. Das war übrigens vor fast 20 Jahren in Tokyo und Hongkong bereits Stand der Technik in der Einreisehalle der internationalen Flughäfen, nicht so im Frühjahr 2020 in Berlin-Tegel. Oder warten Kameras dieser Art alle am BER in Berlin-Schönefeld auf die Zertifizierung der Brandschutz-Installation für das "Gesamtkunstwerk"?

Nun schießen also im Deutschland der Innovationen auch Software-Apps im Kampf gegen die Corona-Pandemie förmlich wie Pilze aus dem Boden. Es gibt – wie immer – auch Mahner und Bedenkenträger, aber in dieser Stunde der Gefahr müssen wir alle solidarisch zusammenhalten und jede Strohhalm-App sofort downloaden und freischalten, unsere Kontaktdaten, Annäherungen an womöglich später als infiziert Entlarvte, den Klang unseres einzigartigen Hüsteln und Röchelns, am besten noch das ganze Adressverzeichnis samt Medien- und Podcast-Vorlieben (wegen der Gefährdung durch Fake News, versteht sich) an einen bombensicheren Cloud-Server transferieren.

Die Initiative für PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) wirbt über www.pepp-pt.org bereits höchsterfolgreich für ihre Smartphone-App. Die Europäische Kommission der EU rühmt sich zeitgleich, nun sofort mit 2,5 Mio. Euro aus dem Etat des Europäischen Forschungsrates (ERC) die Entwicklung einer COVID-19 Sounds App zu fördern. Selbst Virologen wie Christian Drosten outen sich vor Begeisterung als Freizeit-Experten im Software-Engineering und loben derlei Ankündigungen in höchsten Tönen.

Während die Husten-App "nur" die Stimme, Atemgeräusche und Husten analysiert (Woher soll die App eigentlich wissen, wie sich derselbe Mensch im gesunden Zustand anhörte?) und natürlich alles in einer ganz großen, völlig solidarischen Cloud speichert, soll die PEPP-PT-App vorsorglich mal schon über einige Vergangenheit aller Kontakte der (zunächst freiwilligen) App-Nutzer detailliert Buch führen und bei Bedarf dann Warnungen über alle und an alle früher erfolgte Kontakte versenden, soweit sie erfasst wurden.

Ähnliches verspricht die bereits seit Ende März von BS Software Development und von der Telekom Healthcare Solution flugs präsentierte Android- und iOS-App mit dem griffigen Namen "COVID-19". Die bietet jedem Freiwilligen sofortige Information – per App an ihn selbst und parallel an ein Corona-Testzentrum – wenn sein bei einem Arzt vorgenommener Abstrich-Test ein positives Ergebnis zeitigte. Dazu erhält der App-Nutzer parallel beim Einreichen seiner Labordaten einen individuellen, anonymisierten QR-Code, über den dann nach Abschluss der Laboranalyse das Testresultat abgerufen werden kann.

Das hörte sich zunächst gut an, bis ein IT-Nerd das Ganze im TLS/SSL-Tunnel genauer unter die Lupe nahm und Alarm schlug. Infolge eines veralteten Zertifikats konnte jeder Versierte den Datenaustausch trotz Transportverschlüsselung im Klartext mitlesen, auch die 42-stellige Patienten-ID, wenn auch keine personenbezogenen Daten. Daneben wurde auch noch – wenig einfallsreich – auf dem Server das "COVID_STANDARDPASSWORT" erkennbar. Da all das unbemerkt sowohl durch den Patienten als auch durch den Server für die App möglich war, hätte also in jedem WLAN oder Firmennetzwerk, über den die Nutzer die App bedienten, frei Haus diese Kommunikation mitgelesen werden können.

Wenig beruhigend fällt dabei auf, dass der Entwickler und Anbieter der App beteuerte, "das gesamte Verfahren wurde auf Sicherheit und Datenschutz vorab auditiert." Dennoch sei bei der Implementierung "…einem Techniker leider der beschriebene Zertifikatsfehler unterlaufen." Das renommierte Magazin für Computertechnik c't beschreibt das Malheur in der jüngsten Ausgabe noch ausführlicher, nicht ohne anzumerken, dass die Telekom die Formulierung "gemeinsame Entwicklung der Telekom und BS- Software Development" in der Presseerklärung vom 31. März mittlerweile ersatzlos gestrichen hat und sich unterdessen heimlich, still und leise von dem Projekt selbst distanziert und die Telekom Healthcare Solution lediglich noch als Cloud-Partner nennt.

Bleibt die Erkenntnis, dass auch bei Pandemien ein im wahrsten Sinne des Wortes "gesundes Misstrauen" gegenüber flächendeckender Datenerhebung, obendrein auf "solidarisch" freiwilliger Basis, angebracht bleibt, denn das Internet ist für manchen noch Neuland.

