Die Schweizer Corona-Warn-App kommt, wie der Bundesrat am Mittwoch informierte. Sie ist als Ergänzung zur herkömmlichen personenbezogenen Kontaktverfolgung geplant. Die Anwendung stammt vom Software-Konsortium DP-3T. Dieser Beitrag gibt Antworten auf die wichtigsten Fragen.
Das Wichtigste in Kürze:
Das ist eine andere Bezeichnung für Contact-Tracing-App, in den Medien ist auch von Corona-Warn-App die Rede.
Die Entwickler der «Schweizer Lösung» DP-3T, um die es in diesem Beitrag geht, verwenden die Bezeichnung Proximity-Tracing-App. So ist auch eine Abgrenzung zum herkömmlichen Contact Tracing (durch Menschen) möglich.
«Proximity Tracing» bezieht sich auf die Funktionsweise: Durch das Erfassen von Bluetooth-Signalen wird die Annäherung von zwei Mobilgeräten (Usern) bestimmt.
Der Bundesrat hat diese Woche über das Vorgehen beim Contact Tracing informiert. Bundesratssprecher André Simonazzi fasste am vergangenen Mittwoch via Twitter die wichtigsten Massnahmen zusammen, die sich auch auf die digitale Kontaktverfolgung per Smartphone beziehen. Es sind allerdings noch einige Fragen zu den Abläufen ungeklärt.
Der Bund habe ein Konzept erarbeitet, um die Epidemie langfristig einzudämmen, schreibt Simonazzi. Dazu gehörten mehr Tests und Contact Tracing, sowohl auf herkömmliche Weise, per Telefon und durch Gespräche, aber auch über eine Proximity-Tracing-App, die erst lanciert werden soll.
«Alle Personen mit Symptomen sollen sich testen lassen können und nicht nur, wie bisher, die besonders gefährdeten oder hospitalisierten Personen», twitterte der Bundesratssprecher am Mittwochnachmittag.
Aber: Es müssen sich in Zukunft auch Personen schnell testen lassen können, die über die Proximity-Tracing-App auf eine mögliche Infektion hingewiesen werden. Denn sonst bliebe das Problem der unbemerkten Infektionen. Bekanntlich sind Infizierte schon ansteckend, wenn sie noch keine Krankheitssymptome aufweisen. Und genau da ist digitales Contact Tracing dem herkömmlichen Vorgehen überlegen, weil Betroffene frühzeitig gewarnt werden und sich umgehend in Selbstquarantäne begeben können bis zum Test.
Die Roadmap der Entwickler sieht vor, dass die App bis am 11. Mai fertig gestellt ist. Dies hat das Bundesamt für Gesundheit in einer Mitteilung bestätigt. Am gleichen Tag sollen bekanntlich in der Schweiz die «Lockdown»-Massnahmen massiv gelockert werden und Restaurants öffnen.
Ab dem 11. Mai soll zudem in allen Kantonen die flächendeckende Rückverfolgung von Neuinfektionen wieder aufgenommen werden, wie der Bundesrat mitgeteilt hat.
Dass die App bereits am 11. Mai in den App Stores von Apple und Google verfügbar sein soll, ist nun offiziell bestätigt. Der Bund muss aber noch Vorarbeit leisten. Vor der Lancierung gilt es für die Gesundheitsbehörden eine Server-Infrastruktur einzurichten. Damit müssen positive Covid-19-Testresultate überprüft werden können (Authentifizierung).
Zudem wird befürchtet, dass politische Diskussionen die geplante Inbetriebnahme der Smartphone-App per Mitte Mai 2020 verzögern könnten (siehe nächster Punkt).
Update: Marcel Salathé hat bestätigt, dass Schweizer Smartphone-User die App am 11. Mai herunterladen können. «Die Idee war, dass man das am 11. Mai kann», sagte der Epidemiologe an der Medienkonferenz am Freitag.
Bis dahin gelte es bei der Anwendung auch noch die Programmierschnittstellen (API) von Apple und Google zu integrieren. Und da müsse man derzeit noch etwas auf Apple und Google warten, was eher ungewöhnlich sei. «Wir waren da etwas schneller», sagte Salathé mit einem Schmunzeln.
In der zweiten Hälfte des Monats Mai soll dann «die finale Version» der Schweizer Corona-Warn-App bereit sein.
Der geplante Einsatz einer Corona-Warn-App wirft sowohl rechtliche als auch ethische Fragen auf.
Schweizer Rechtsexperten sind sich uneins, ob das Eidgenössische Epidemiengesetz (EpG) eine ausreichende Rechtsgrundlage ist für das digitale Contact Tracing. Der Bundesrat vertritt diesbezüglich eine klare Haltung (siehe Update).
Die Juristen Kerstin Noëlle Vokinger und Urs Gasser schreiben in einem NZZ-Gastkommentar, es bedürfe einer konkreten gesetzlichen Grundlage, wenn der Staat eine aktive Rolle beim digitalen Contact-Tracing spielen wolle:
Die Nationale Ethikkommission (NEK) hatte am 6. April 2020 eine Stellungnahme zu rechtlichen und ethischen Fragen bezüglich des digitalen Contact Tracings «als Instrument der Pandemiebekämpfung» veröffentlicht. Darin geht es unter anderem auch um die Freiwilligkeit (siehe unten).
Mitglieder des Eidgenössischen Parlaments wollen sich in die Diskussion um die geplante Schweizer Corona-Warn-App einbringen. Das Thema wird an der ausserordentlichen Session vom 4. bis 7. Mai in Bern behandelt.
Die Staatspolitische Kommission des Nationalrats (SPK-NR) hat eine entsprechende Motion eingereicht. Titel: «Gesetzliche Grundlagen zur Einführung der Corona-Warn-App».
Update: Der Bundesrat sieht die gesetzliche Grundlage als gegeben durch das Epidemiengesetz. Eine Notverordnung sei weder notwendig noch vorgesehen. Weiter hält die Landesregierung in einer Antwort auf die Motion fest:
Das ist noch nicht bekannt.
Der Bundesrat wird sich erst am 8. Mai mit der Kommunikationsstrategie befassen, dies geht aus der Antwort auf eine Motion zur Proximity-Tracing-App hervor. Darin heisst es:
«Das muss noch definiert werden», sagte Daniel Koch vom Bundesamt für Gesundheit (BAG) an der Medienkonferenz am 1. Mai. Dies müsse der Bund insbesondere mit den kantonsärztlichen Diensten anschauen.
Das unabhängige Software-Konsortium DP-3T.
Das Kürzel steht für «Decentralized Privacy-Preserving Proximity Tracing». Wissenschaftler und IT-Experten verfolgen bei dem Projekt einen dezentralen Ansatz, das heisst, die sensitiven Daten bleiben auf den Smartphones der User.
Offiziell gestartet ist DP-3T am 4. April 2020.
Federführend sind die Eidgenössisch-Technischen Hochschulen Lausanne (EPFL) und Zürich (ETHZ). Beteiligt sind auch Forschungseinrichtungen im Ausland. Es liefen bereits Tests und Experimente mit Angehörigen der Schweizer Armee.
Das epidemiologische Konzept ist unter Leitung des Schweizer Epidemiologen Marcel Salathé erarbeitet worden. Er ist Vorsitzender einer Expertengruppe der Swiss National COVID-19 Science Task Force – das Gremium berät den Bund in allen wichtigen Belangen zur Seuchenbekämpfung.
Bei der technischen Umsetzung der Proximity-Messungen über Bluetooth hat der Westschweizer IT-Manager Edouard Bugnion eine besondere Rolle gespielt: Der VMWare-Mitgründer kontaktierte schon am 21. März Apple, um eine Lösung für ein entscheidendes Usability-Problem anzuregen, wie CNBC in einem spannenden Hintergrundbericht schreibt.
What an amazing opportunity to have a real-world dry run of our #DP3T app with 100 people. We're excited to crunch the data tomorrow! https://t.co/ktvbDsgMeC
— Mathias Payer (@gannimo) April 30, 2020
Die App-Versionen für iPhones und für Android-Smartphones werden von der Schweizer IT-Firma Ubique entwickelt. Das Zürcher Unternehmen hat auch schon massgeblich die SBB-App und die Alert-Swiss-App mitentwickelt.
Die wichtigsten Dokumente zur Funktionsweise, Datenschutz und weitere theoretische Ausführungen etc. sind über die Programmier-Plattform github.com verfügbar.
Gemeinst ist damit ein dezentralisiertes Contact-Tracing-System, das auf einer Proximity-Tracing-App aufbaut, wie sie das Schweizer Konsortium DP-3T entwickelt.
Die neusten Zugänge auf der Liste sind Lettland, Finnland und Irland, mit Ankündigungen in dieser Woche.
Grossbritannien hat sich für den von über 500 Wissenschaftlern kritisierten zentralen Datenbank-Ansatz entschieden. In Frankreich sieht es ebenfalls danach aus. Allerdings gibt es Widerstand gegen das vom staatlichen Forschungsinstitut Inria entwickelte zentrale Protokoll «ROBERT». Der endgültige Entscheid ist diese Woche aufgeschoben worden. Die Franzosen wollen wie die Schweiz am 11. Mai die Läden wieder öffnen und Ausgangsbeschränkungen aufheben.
Apple und Google unterstützen die «Schweizer Lösung» beim Contact Tracing. Apple-CEO Tim Cook und Alphabet-Boss Sundar Pichai haben eine historisch einmalige Kooperation vereinbart, um den sicheren Datenaustausch zwischen Android-Smartphones und iPhones zu gewährleisten. Dafür stellen sie Programmierschnittstellen (APIs) zur Verfügung. Die offizielle Bezeichnung der APIs ist «Exposure Notification».
Die beiden führenden Techkonzerne haben sich bei der dezentralen Software-Architektur von DP-3T inspirieren lassen. Der Googler Dave Burke, Vice President Android Engineering, sagte an einer Videokonferenz:
Am 30. April hat Apple eine Beta-Version von iOS 13.5 veröffentlicht mit der oben erwähnten Programmierschnittstelle (API) fürs Contact-Tracing bei iPhones. Google hat ausserdem ausgewählten Entwicklern Zugriff auf die gleiche Funktionalität per Google Play Service Beta ermöglicht.
Apple und Google wollen am Freitag, 1. Mai, Beispielcode veröffentlichen, der Entwicklern zeigen soll, wie sie mit dem System Anwendungen erstellen können. Zugang haben nur speziell autorisierte Corona-Warn-App-Entwickler.
Die Schweizer Corona-Warn-App ist mit der Apple-Google-API kompatibel und soll damit effizienter laufen, sie funktioniert aber laut App-Entwickler Mathias Wellig auch ohne.
In den kommenden Monaten soll das Contact Tracing direkt in die Betriebssysteme iOS und Android integriert werden, damit es auf möglichst vielen Geräten verfügbar ist und um es noch effizienter zu machen (Stromverbrauch). Dann wird es die nationalen Apps noch brauchen, um die Verifizierung von Covid-19-Fällen (über einen staatlichen Server) und die Alarmierung von potenziell Betroffenen sicherzustellen.
Sicher falsch ist die oft gehörte Behauptung, dass die App nur etwas bringe, wenn sie von 60 Prozent der Bevölkerung respektive der Smartphone-Nutzer installiert wird.
Die Verfasser einer viel zitierten Oxford-Studie schreiben:
Auch eine nur «mässige» Akzeptanz der Contact-Tracing-App könne noch dazu führen, dass sich die Notwendigkeit eines zweiten Lockdowns verzögere.
Das ist grundsätzlich möglich, wie DP-3T-Verantwortliche versichern. Zumindest in europäischen Ländern, die ebenfalls ein auf dem DP-3T-Protokoll basierendes Contact-Tracing-System lancieren. Allerdings sind noch viele Fragen ungeklärt.
Die mit der Medienarbeit beauftragte Presse-Agentur hat watson folgende Stellungnahme zukommen lassen:
Ja.
Die Freiwilligkeit ist immer wiederholt von den Verantwortlichen beim DP-3T-Konsortium betont worden. Und am Mittwoch hat dies auch der Bundesrat offiziell bestätigt.
Offen ist, ob und wie der Bundesrat die rechtlichen Rahmenbedingungen regelt. So müsste unter anderem verhindert werden, dass zum Beispiel einzelne Unternehmen ihre Mitarbeiter oder Kunden zwingen, die App zu benutzen.
Die Nationale Ethikkommission (NEK) hat in einer Stellungnahme Anfang April gefordert, dass die staatliche Corona-Warn-App auf Freiwilligkeit basieren müsse:
Die NEK-Haltung zur Freiwilligkeit wird von verschiedenen Rechtsexperten kritisiert. Es müsse auch eine Nutzungspflicht diskutiert werden, fordern die Juristen Lukas Abegg und Raffael Knecht in einem vielbeachteten Blog-Beitrag.
In ihrem NZZ-Gastbeitrag gehen die Juristen Kerstin Noëlle Vokinger und Urs Gasser auf ein weiteres Szenario ein: Sollte trotz staatlicher Empfehlung der Erfolg einer Contact-Tracing-App ausbleiben, bestehe die Verlockung, die Bürger zur Nutzung zu verpflichten, um einen weiteren wirtschaftsschädigenden Lockdown zu vermeiden. Nach ihrer vorläufigen Einschätzung wäre ein solches Vorgehen rechtswidrig.
Die Schweizer Corona-Warn-App sieht die Verifizierung von Covid-19-Erkrankungen vor, um Fehlalarme, ob in krimineller Absicht oder aus Versehen, zu verhindern.
Zum Beispiel könnten App-User, die nachweislich infiziert sind, in der App einen Bestätigungs-Code eingeben. Und dessen Authentizität würde über eine Server-Abfrage geprüft, bevor die «Kontakte» alarmiert werden können.
Am Donnerstag hat DP-3T eine Analyse zur sicheren Authentifizierung von Testresultaten veröffentlicht und skizziert drei mögliche Vorgehensweisen. Über die Umsetzung müssen die staatlichen Gesundheitsbehörden entscheiden, die dann ja auch die nötige Infrastruktur (Server) betreiben.
Hier ist anzumerken, dass Covid-19 eine meldepflichtige Krankheit ist. Wenn jemand positiv getestet wurde, müssen die zuständigen Stellen dies dem Bund melden. Eine Identifizierung über die App ist aber nicht möglich.
Über den verschlüsselten Datenaustausch zwischen Smartphones werden Bluetooth-«Kontakte» registriert und ausschliesslich auf den Mobilgeräten gespeichert. Dies entspricht dem dezentralen Proximity-Tracing von DP-3T, das in verschiedenen Ländern angestrebt wird.
Es wird nicht erfasst, wer sich wo mit wem getroffen hat: Die App erfasst keine Standortdaten oder Informationen zur Identität, sondern nur, ob sich andere Smartphones (Apps) längere Zeit (mehrere Minuten) und in einem Abstand unter 2 Metern bei einer positiv getesteten Person befinden.
Nach medizinischer Bestätigung einer Infektion eines App-User (durch einen Covid-19-Test) erfolgt ein Verifizierungs-Prozess, um Fehlalarme zu verhindern (siehe oben).
Nun geht es ans digitale Contact Tracing, denn es sollen nachträglich alle App-User anonym gewarnt werden, die mit der positiv getesteten Person (Handy) in engerem Kontakt waren.
Mit einer Benachrichtigung per App werden Betroffene aufgefordert, die angezeigte «Infoline Coronavirus» anzurufen, um mit Fachleuten die weiteren Schritte abzuklären.
Update 2. Mai 2020: Ja. DP-3T hat nun «Vorschau-Apps» veröffentlicht für Android-Geräte und iPhones (iOS). Diese Test-Versionen sind nicht in den App-Stores verfügbar. Wer sie ausprobieren möchte, muss sie zuerst kompilieren.
Fresh from the oven: our Swiss-branded #DP3T preview apps (developed with @ubique_ch). Note that development and security reviews continue! https://t.co/I7xmiPOB3n https://t.co/a5ChdsTtB1 pic.twitter.com/xRLOIJvpRE
— Mathias Payer (@gannimo) May 2, 2020
Damit zur älteren Einschätzung:
Bei der bislang verfügbaren App für Android-Smartphones und iPhones handelt es sich um eine Demo-App der Entwicklerfirma Ubique. Es ist quasi ein Vorläufer der geplanten offiziellen Schweizer Corona-Warn-App.
Wie watson aus absolut verlässlicher Quelle weiss, wird der Bund eine neue App lancieren. Benutzeroberfläche und Funktionsweise erinnern jedoch an die Next-Step-App, die das Zürcher IT-Unternehmen Ubique entwickelt hat. Das Protokoll für die nationale Warn-App entwickelt DP-3T weiter.
Die eigenen Daten seien allein für die Benutzer einsehbar, schreibt der Bundesrat in einer Mitteilung. Es würden keine Personendaten oder Ortsangaben genutzt. Es gilt der Software-Grundsatz «Privacy by Design», das heisst, es werden möglichst wenige Daten erhoben.
Auch der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger begrüsst den dezentralen Ansatz, wie ihn Apple, Google und die Schweiz mit ihrer Contact-Tracing-App verfolgen, weil die Daten nur lokal gespeichert werden. Damit verringert sich das Risiko der Profilbildung. Zudem bieten dezentral gespeicherte Daten weniger Angriffsfläche für Hacker.
Dank «Privacy by Design» werden keine sensitiven Daten auf einen staatlich kontrollierten Server übertragen. Dies im Gegensatz zu zentralisierten Contact-Tracing-Systemen, wie sie in Grossbritannien und Frankreich geplant sind.
Ja.
Der Programmcode ist frei einsehbar, dies ermöglicht unabhängigen Experten, die Software zu überprüfen.
Um möglicherweise infizierte App-User möglichst rasch über eine automatisierte Mitteilung zu warnen, dass sie mit einer an Covid-19-erkrankten Person in engerem Kontakt standen. Die Benachrichtigungen erfolgen anonym, es werden keine Angaben zur Person oder dem Ort gemacht.
Die staatlich kontrollierte Datenbank enthält also keinerlei sensitive User-Daten, die in falsche Hände fallen oder missbräuchlich verwendet werden könnten.
Bei iPhones muss Apples mobiles Betriebssystem iOS 13 oder iOS 12 laufen, damit man die Schweizer Corona-Warn-App installieren kann. Bei Smartphones mit dem Google-Betriebssystem Android sollen Geräte ab Android 6.0 unterstützt werden.
Apples Software-Update soll iOS-Geräte unterstützen, die in den letzten vier Jahren veröffentlicht wurden und bis zum iPhone 6S und iPhone 6S Plus zurückgehen. Und gemäss Google soll es ab Android 6.0 funktionieren.
Die Kantone bereiten sich darauf vor, das Contact Tracing wieder aufzunehmen. Dabei werden alle Personen ausfindig gemacht und isoliert, die mit Menschen Kontakt hatten, die mit dem Coronavirus infiziert sind. Genf begann am Montag damit, Neuenburg soll am Mittwoch folgen. Auch Thurgau kündigte an, das Contact Tracing wieder aufzunehmen.
Sobald die Zahl der Neuansteckungen «genügend tief» sei, sollen die Kantone flächendeckend herkömmliches Contact Tracing betreiben: Es sollen also mittels Befragungen mögliche Übertragungsketten zurückverfolgt werden und Personen gewarnt werden, die sich vielleicht infiziert haben.
Der Bund entscheide, wann das Contact Tracing wieder flächendeckend zum Einsatz kommen solle «Wir müssen sicher sein, dass die Rückverfolgung schweizweit korrekt durchgeführt werden kann, also eine bis zwei Wochen», sagte der Delegierte für Covid-19 des Bundesamtes für Gesundheit, Daniel Koch, am Montag vor den Medien.
Es sind noch keine öffentlichen Informationen verfügbar zur Genauigkeit und Zuverlässigkeit der Schweizer Contact-Tracing-App. Praxistests laufen. Darum bringen Spekulationen und unbegründete Befürchtungen zurzeit gar nichts.
Beim Bestimmen von «Kontakten» über die Bluetooth-Signalstärke stellen sich technische Herausforderungen, die aber laut Experten in den Griff zu kriegen sind. (Konkret geht es darum, die Corona-Warn-App zu kalibrieren, damit sie in verschiedenen Alltagssituationen zuverlässig misst.)
Es ist an den Verantwortlichen beim Bund, rechtzeitig vor einer App-Lancierung über die bestehenden Risiken bezüglich Datensicherheit und Datenschutz zu informieren.
Unabhängige Forscher, darunter der Westschweizer Kryptologe Serge Vaudenay (EPFL), haben verschiedene theoretische Angriffsmethoden skizziert. Zu den Bedrohungsszenarien gehört, dass Rückschlüsse auf einzelne infizierte Personen gezogen oder diese gar identifiziert werden könnten. Dazu müssten Angreifer Bluetooth-Signale von Smartphones aufzeichnen und die Daten missbräuchlich verwenden. Das Schadenspotenzial solcher Attacken ist nicht bekannt.
Schliesslich erachten es unabhängige IT-Sicherheitsexperten als problematisch, wenn die Bluetooth-Verbindung die ganze Zeit aktiviert sein muss. Dies gilt insbesondere für ältere Android-Smartphones, die nicht mehr «zeitnah» oder überhaupt nicht mit Sicherheits-Updates versorgt werden.
In der jüngeren Vergangenheit gab es zudem alarmierende Berichte über gravierende Bluetooth-Sicherheitslücken, die Geräte angreifbar machten. Allerdings müssten sich die Angreifer jeweils in Bluetooth-Reichweite befinden.
Der Schweizer IT-Sicherheitsexperte Marc Ruef:
Ziel ist eine angeregte Diskussion. Der Autor reagiert auf sachliche, begründete Kritik. Hingegen werden polemische Kommentare, Beleidigungen und haltlose Behauptungen («das funktioniert sowieso nicht») gelöscht.
Wer über technische Finessen rund um das Bluetooth-Proximity-Sensing diskutieren will oder eine konkrete technische Frage hat, wendet sich am besten direkt an die verantwortlichen Wissenschaftler und Software-Entwickler. Dies ist über die Projekt-Website bei github.com («Issues») möglich.
Mit Material der Nachrichtenagentur SDA
2/ Die Epidemiologen @C_Althaus, @marcelsalathe_d und @eggersnsf weisen seit langem auf die Wichtigkeit des Testens und Contact-Tracing hin. Nebst einer digitalen Tracing-Lösung müsste das herkömmliche Tracing ausgebaut werden. Siehe @SRF Rundschau, 01.04.20 pic.twitter.com/DaRCdcTmIx
— Michael Christen (@mi_christen) April 29, 2020