1/ Ein kleiner Thread für Journalistïnnen und alle, die sich mit dem dezentralen #CoronaApp-Ansatz beschäftigen wollen. Es ist in der Tat nicht so ganz einfach zu verstehen.

So funktioniert eine Corona-App mit den Apple/Google-Schnittstellen (vereinfacht) :

2/ Es wird Bluetooth verwendet. Dies funktioniert nur im nahen Umfeld eines Geräts. Über Signalstärken lässt sich Abstand einschätzen. Apple/Google arbeiten an Schnittstellen für ihre Betriebssysteme, die eine Hintergrundsuche per BT ermöglichen.

3/ Auf jedem Gerät wird ein Tagesschlüssel (TS, eine Zeichenfolge) generiert. Dieser wird NICHT mit anderen Geräten getauscht . Alle ~15 Min (!) wird, ausgehend vom Tagesschlüssel, ein Kurzschlüssel (KS) generiert. Dabei gilt: man kann aus dem TS den KS bilden, nicht andersrum!

4/ Wenn zwei Geräte für eine gewisse Zeit einen definierbaren Schwellwert bei der Signalstärke überschreiten, werden nur die KS untereinander (ohne Server!) ausgetauscht und der ungefähre Zeitpunkt vermerkt . Die TS werden nicht getauscht!

5/ Wenn Person positiv getestet wird, kann er dies in der App vermerken. Gleichzeitig muss er das Testergebnis belegen, z. B. durch einen Scan eines QR-Codes vom Gesundheitsamt . Dann werden die TS der letzten Tage von an den Server der lokalen Corona App hochgeladen.

6/ Wichtig zu wissen: Apple/Google bieten keine eigene App an, sondern liefern nur Schnittstellen. Die lokale App wäre also die deutsche App. Wichtig auch: wer sich hinter einem TS als Person verbirgt, bleibt dem App-Anbieter unbekannt (wenn sie sich an die Regeln halten).

7/ Der App-Anbieter verteilt dann mehrmals am Tag an alle Nutzerïnnen die Liste an TS, die positiv getestet wurden . Mit dieser Liste selbst kann niemand etwas anfangen. Aber: aus den TS lassen sich (siehe Tweet 3) ja KS generieren!

8/ Smartphone checkt nun lokal im Hintergrund, ob sich aus der TS-Liste irgendeine KS generieren lässt, mit der man in den letzten Tagen Kontakt hatte. Wenn ja, erscheint eine Meldung mit dem ungefähren Zeitpunkt des Kontakts . Die Person sollte dann bevorzugt getestet werden.

9/ Die TS und KS allein sind wertlos, beide werden aber nur einzeln rausgegeben (KS an Geräte in der Nähe, TS nur bei Positivtest an Server). Schnittstellen erlauben, dass App-Anbieter den Schwellwert (siehe Tweet 4) mitbestimmen können (zB anpassen, wenn neue Infektionswelle).

10/10 Fazit: Ansatz ist geschickt, Angriffsvektoren gering (klar aber auch: nichts ist 100% sicher). Problem bleibt Bluetooth: für Abstandsmessung ist es eigentlich nicht ausgelegt. Wie gut das alles funktioniert, bleibt abzuwarten und wird man im Laufe d. Sommers sehen. Geduld!

10+1/10 Ich habe häufiger die Frage erhalten, ob die Datenmenge nicht sehr groß sei, die jeden Tag an alle Nutzerïnnen verschickt werden müsste (siehe Tweet 7). Hier habe ich die Frage beantwortet: https://twitter.com/henningtillmann/status/1254746611110105089?s=21 https://twitter.com/henningtillmann/status/1254746611110105089

10+2/10 Apple/Google haben Schnittstellen um Risikoeinschätzung erweitert. Diese hängt von Signalstärke, Dauer, Zeitpunkt u App-spezifischen Faktoren ab . Interessant: Mindestdauer ist 5 Minuten. Kontakte von (siehe Tweets 5-8) erhalten somit eine Einschätzung.

10+3/10 Damit dieser Thread eine Sammlung zu dem Thema „Dezentrale #CoronaApp“ bleibt, hefte ich folgenden Thread an. Hier geht es um die Bedeutung der Schnittstellenerweiterung von Apple/Google (siehe Tweet 10+2) im Detail: https://twitter.com/henningtillmann/status/1256193000201486336?s=21 https://twitter.com/henningtillmann/status/1256193000201486336

10+4/10 Apple/Google haben Beispiel- #CoronaApp online gestellt und klare Regeln festgelegt:
Starke Beschränkung beim Sammeln pers. Daten
Nur TS (im Positiv-Fall) dürfen verarbeitet werden
Keine Ortspeicherung, kein Tracking, kein Adressbuch

https://www.google.com/covid19/exposurenotifications/

10+5/10 Die deutsche #CoronaApp ( #CoronaWarnApp) nimmt Formen an. In diesem Thread habe ich mir das Konzept von SAP/Telekom angeschaut. Der erste Quellcode für den Server (empfängt/verteilt positive TS) ist auch hier online: https://github.com/corona-warn-app/cwa-server https://twitter.com/henningtillmann/status/1262380632040185856?s=21 https://twitter.com/henningtillmann/status/1262380632040185856

10+6/10 Die Schnittstellen sind nun für die breite Masse verfügbar. Beim iPhone muss auf iOS 13.5 aktualisiert werden (ab iPhone 6s, 2015). Auf Android-Geräten werden die Schnittstellen automatisch im Hintergrund installiert. Es wird mindestens Android 6 (2015) benötigt.

10+7/10 Alle Codebestandteile der #CoronaWarnApp, sowohl für den Server als auch für die mobilen Apps (iOS und Android), sind nun verfügbar. Einen ersten Blick auf das Look & Feel der App gibt es hier: https://twitter.com/henningtillmann/status/1266848913228804098

Code auf GitHub: https://github.com/corona-warn-app 

10+8/10 #CoronaWarnApp-Datenschutzerklärung ist nun verfügbar.

Verantwortlich ist RKI
Mindestalter ist 16
Freiwilligkeit u. Datensparsamkeit werden betont
Android: „Standortermittlung“-Berechtigung (leider ein Android-Problem, kein GPS).

PDF: https://www.coronawarn.app/assets/documents/cwa-privacy-notice-de.pdf

10+9/10 Die #CoronaWarnApp ist nun verfügbar. Alle in dem Thread beschriebenen Eigenschaften gelten für die App, da sie nach dem Apple/Google-Konzept funktioniert.

iOS: https://apps.apple.com/de/app/corona-warn-app/id1512595757
Android: https://play.google.com/store/apps/details?id=de.rki.coronawarnapp