Apple und Google sind Konkurrenten im Smartphone-Markt, aber haben sich zusammengetan, um eine Plattform für Corona-Apps zu entwickeln. Und sie bauen diesen Werkzeugkasten aus, während Behörden und Entwickler über das richtige Konzept für solche Anwendungen streiten.
Cupertino/Mountain View (dpa) - Google und Apple verstärken die Datenschutz-Vorkehrungen bei ihrer geplanten Infrastruktur für Corona-Warn-Apps. Die Nachbesserungen sollen es noch schwieriger machen, einzelne Nutzer zu überwachen.
Dazu gehöre, dass nun auch mit dem Bluetooth-Funk verbundene Zusatzdaten wie etwa die Signalstärke verschlüsselt werden, erklärten die beiden Unternehmen am Freitag. Dadurch soll es unmöglich werden, einzelne Gerätemodelle an solchen Merkmalen zu erkennen.
Die Corona-Apps sollen helfen, die Ansteckungen einzudämmen, wenn die Ausgehbeschränkungen gelockert werden. Sie sollen erfassen, welche Smartphones einander nahegekommen sind - und Nutzer warnen, wenn sich später herausstellt, dass sie sich neben infizierten Personen aufgehalten hatten.
Die Entfernung soll beim Konzept von Apple und Google anhand der Bluetooth-Signalstärke gemessen werden. Die Smartphones sollen zudem per Bluetooth Krypto-Schlüssel austauschen, die sich alle 10 bis 20 Minuten ändern. Damit soll man Begegnungen nachvollziehen können, ohne dass ein Einzelner nachverfolgbar wäre. Diese Schlüssel sollen nun gänzlich zufällig erzeugt werden, um die Sicherheit zu verbessern. Die maximale gemessene Begegnungszeit wird auf 30 Minuten beschränkt und in 5-Minuten-Schritten ermittelt.
Von Google kommt das dominierende Smartphone-System Android; Apple entwickelt die iOS-Software seiner iPhones. Damit sind die US-Konzerne als einzige in der Position, die nötigen Schnittstellen direkt in die Betriebssysteme einzubauen - und damit eine effiziente Basis für Warn-Apps zu liefern.
Gleichzeitig kann es schwierig sein, andere Konzepte ohne ihre Kooperation umzusetzen. So fordert Frankreich von Apple, aus Datenschutzgründen eingeführte Einschränkungen für den Bluetooth-Betrieb im Hintergrund aufzuweichen, damit die von der Regierung ins Auge gefasste Corona-App funktioniert.
Ein Kernpunkt des Konzepts von Apple und Google ist, dass die Feststellung, ob man sich in der Nähe eines infizierten Nutzers aufhielt, ausschließlich auf den Smartphones erfolgen soll. Sie laden sich dafür mindestens einmal am Tag Listen von Krypto-Schlüsseln herunter, die infizierten Personen gehören. Dabei bleibt deren Identität für Apple, Google und die anderen App-Nutzer unbekannt.
Die am Freitag bekanntgegeben Änderungen zielen auch darauf, Entwicklern und Behörden mehr Spielraum bei der Gestaltung der Corona-App zu geben. So können sie über eine neue Schnittstelle Grenzwerte für Signalstärke und die Zeit, die Geräte nebeneinander verbringen, festlegen. Anders gesagt: Google und Apple liefern die technischen Werkzeuge, aber die Gesundheitsbehörden entscheiden, wann sie von einer Ansteckungsgefahr ausgehen.
Apple will die Schnittstellen zunächst für alle iPhones verfügbar machen, die mit der Betriebssystem-Version iOS 13 laufen, bei Google ist es Android 6. Zu den jüngsten Änderungen gehört auch ein Austausch des Verschlüsselungs-Algorithmus - das solle vor allem die Batterielaufzeit verbessern.
Aktuell gibt es auch in Deutschland Streit unter Entwicklern von Corona-Apps, weil einige einen Ansatz mit zentralisierter Datenspeicherung verfolgen. So warnte am Freitag der Chaos Computer Club davor. Die Initiative Konzept PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing), zu deren Teilnehmern das Robert Koch-Institut gehört, sei nicht in der Lage gewesen, "schnell eine halbwegs funktionierende und datenschutzfreundliche Lösung zu liefern", schrieb das Netzwerk an das Bundeskanzleramt. Zuvor hatte die "Frankfurter Allgemeine Zeitung" darüber berichtet.
"Die Bundesregierung hat großes Vertrauen in das System, was derzeit bei Fraunhofer getestet wird", sagte die stellvertretende Regierungssprecherin Ulrike Demmer. Das Fraunhofer-Institut erstellt eine Machbarkeitsstudie zum vom Chaos Computer Club kritisierten PEPP-PT-Konzept. Am Ende werde das Bundesamt für Sicherheit in der Informationstechnik hier eine Empfehlung abgeben, sagte Demmer. "Bei einem zentralen Server müssen Sie demjenigen vertrauen, der ihn pflegt, also in diesem Fall dann möglicherweise einer staatlichen Stelle. Bei einem dezentralen System müssen Sie Apple und Google vertrauen, die das dann pflegen."