Schnittstellen von Apple und Google für Corona-Warn-Apps

Es ist soweit: Gut sechs Wochen, nachdem Apple und Google angekündigt hatten, eine gemeinsame technische Basis für die Entwicklung von Apps für die Corona-Kontaktverfolgung zu schaffen, veröffentlichen beide Internetriesen neue Versionen ihrer Betriebssysteme Android und iOS. Beide Updates enthalten die angekündigte Schnittstelle (API), die für die Entwicklung von Corona-Warn-Apps erforderlich ist.

Die neue Bluetooth-Schnittstelle ermöglicht es, dass Smartphones, die sich begegnen, anonyme IDs miteinander austauschen. Anhand der IDs können im Falle einer Covid-19-Infektion Kontakte und damit Infektionsketten nachverfolgt werden. So können Nutzer nachträglich gewarnt werden, wenn sie sich in der Nähe einer infizierten Person aufgehalten haben.

Die IDs ändern sich ca. alle 10-20 Minuten, so dass anhand der Bluetooth-Signalstärke Begegnungen von Smartphones protokolliert werden, ohne dass dabei Bewegungsprofile entstehen. Die IDs werden dezentral auf jedem Smartphone generiert, nicht durch einen zentralen Server. Apple und Google vertreten ausdrücklich den dezentralen Ansatz der Datenspeicherung und -verarbeitung, um die Anfälligkeit für Datenmissbrauch zu reduzieren.

Der Entwicklungs-Zugriff auf die API ist streng geregelt: Weltweit haben 22 Länder sowie mehrere US-Bundesstaaten den Zugang zur Schnittstelle beantragt. Pro Land darf nur eine App auf die Schnittstelle zugreifen. Außerdem ist die Schnittstelle deaktiviert, wenn sie mit dem Betriebssystemupdate auf die Smartphones ausgeliefert wird. Der Benutzer muss sie manuell aktivieren, damit eine Corona-Warn-App auf sie zugreifen kann. Überdies darf die Schnittstelle nicht auf Standortdaten zugreifen.

Die deutsche Corona-Warn-App wird im Auftrag der Bundesregierung von der Deutschen Telekom und SAP entwickelt und ist für Mitte Juni angekündigt. Die App wird OpenSource entwickelt, d.h. der Programmcode wird offen gelegt und kann durch die Allgemeinheit überprüft werden. Experten können den Quellcode also auf Schwachstellen, mögliche Sicherheitslücken und Funktionen überprüfen, die missbräuchlich genutzt werden könnten. Die App sowie alle verwendeten Serverkomponenten sollen vorab auf der Softwareentwicklungsplattform GitHub veröffentlicht werden. Telekom und SAP haben bereits ein Konzept sowie ersten Code auf GitHub bereit gestellt.