Die Tracing-App braucht hierzulande noch mehr Zeit – auch wenn es inzwischen eine Einigung auf eine technische Lösung gibt. Mit der App sollen Kontakte von Menschen nachverfolgt werden, die positiv auf das Corona-Virus getestet worden sind. Das Österreichische Rote Kreuz setzt solch eine datenschutzfreundliche App fürs Contact Tracing allerdings schon seit Anfang März ein.
Die App wurde seither kontinuierlich verbessert, wie Experten loben. “Die meisten der Verbesserungsempfehlungen, die wir vorgelegt haben, sind sehr rasch umgesetzt worden”, meint Thomas Lohninger von der Plattform Grundrechtspolitik Epicenter Works in Wien.
Die österreichische App setzt neben den Funkstandard Bluetooth Low Energy auch auf Ultraschall-Signale, die über den Lautsprecher eines Smartphones ausgesendet werden. Dadurch kann die Messung von Abständen zwischen zwei Smartphones wesentlich genauer werden.
Bisher arbeitet die österreichische App noch mit zwischengeschalteten Servern beim Austausch von Kontaktmeldungen. Doch das soll auf den direkten Austausch zwischen Smartphones umgestellt werden.
Token und Schlüssel bringen Sicherheit
“Das Problem war da bislang der Austausch eines öffentlichen Schlüssels, weil der wegen seiner Länge nicht direkt von Smartphone zu Smartphone gesendet werden konnte”, beschreibt Christian Kudera von der SBA Research gGmbH in Wien das Problem. Er hat die Rot-Kreuz-App gemeinsam mit den Experten von Epicenter Works und dem Datenschützer Max Schrems genau unter die Lupe genommen.
Sind zwei Smartphones für längere Zeit nahe beieinander, so tauschen sie Kontaktinformationen aus. Allerdings bestehen diese Kontaktdaten aus zwei Bestandteilen: einem Token, der die reine Warninformation enthält, dass ein womöglich kritischer Kontakt stattgefunden hat. Und einem öffentlichen Schlüssel. Der Token wird von Smartphone zu Smartphone direkt ausgetauscht, der öffentliche Schlüssel bisher noch über einen Server.
Er sichert die Kontaktdaten ab. Ein zweiter Schlüssel, ein privater Schlüssel, der bei der App-Installation direkt auf dem Handy erstellt wird, sorgt dafür, dass jedes Smartphone nur die Warnmeldungen lesen kann, deren zugehörige Token zuvor über den öffentlichen Schlüssel verschlüsselt wurden.
Der Getestete bleibt anonym
Im Infektionsfall schickt der Getestete seinen Token und eine Bestätigung des Arztes an den Benachrichtigungsserver. Das war ursprünglich eine per SMS versandte TAN. Die wird ebenfalls durch einen Token ersetzt. Deshalb kann der Smartphone-Besitzer auch nicht über die Telefonnummer identifiziert werden.
Der Benachrichtigungsserver wird vom Österreichischen Roten Kreuz beaufsichtigt. Dass das ÖRK hier tätig wurde, war eigentlich aus der Not geboren. Die österreichische Regierung wollte nämlich gleich zu Beginn der ersten Covid-19-Erkrankungen eine Warn- und Tracing-App einführen. Doch aus Sorge, dass eine staatliche App keinerlei Akzeptanz gefunden hätte, ist das ÖRK eingesprungen und hat das IT-Unternehmen Accenture mit der App-Entwicklung beauftragt.
Die europaweite Koordination dieser App könnte über das Internationale Komitee vom Roten Kreuz erfolgen. Dann wären auch beim Benachrichtigungsserver keine nationalen Behörden eingebunden. Und im Vergleich zu den in Deutschland diskutierten Lösungen gebe es einen entscheidenden Vorteil, sagt Datenschützer Max Schrems: “Die App ist sogar schon seit einiger Zeit im Einsatz.”
3 Kommentare
Kommentar Funktionen
Definitely believe that which you said. Your favorite justification seemed to be on the net the simplest thing to be aware of. I say to you, I definitely get annoyed while people think about worries that they just don’t know about. You managed to hit the nail upon the top and defined out the whole thing without having side-effects , people can take a signal. Will probably be back to get more. Thanks|
super, hört sich doch genau so an, wie man es haben will. Wieso macht das Gesundheitsministerium da nicht mit?
Wäre doch auch im Hinblick auf mögliche Urlaubsfahrten nach Österreich super.
Warum nicht gleich Europaweit.
NIH: Not Invented Here. Außerdem können wir nur Technik, während uns die Design- und Projektkompetenz insbesondere in der Politik fehlt. Das deutsche Drama um eine datenschutztechnisch perfekte Lösung entspringt dem selben naiven Technikwunderglauben, der uns bereits die Blockchain-Strategie der Bundesregierung sowie das Großprojekt Gaia-X beschert hat. Dummerweise sucht diesmal ein echtes Problem nach Lösungsbeiträgen und nicht wie sonst überschätzte Lösungsvorschläge nach vage passenden Problemskizzen.
Ich wünsche den Österreichern weiter viel Erfolg. Mit ihrem agilen Vorgehen und dem Roten Kreuz als vertrauenswürdiger Institution als Träger können sie es weit bringen. Vielleicht sollten sie ein Spendenkonto einrichten und die Europäer mit ihren Kreditkarten abstimmen lassen, welcher Lösung und welcher Institution sie trauen.