Corona-App: Bundesregierung bestätigt dezentrale Architektur und Entwicklung durch Deutsche Telekom und SAP

Um die Corona-App der Deutschen Bundesregierung gibt es ja aktuell viel Wirbel: Denn erst forcierte man seitens des Bundesgesundheitsministeriums PEPP-PT als Basis, was die zentrale Verwaltung erhobener Daten zur Folge gehabt hätte. Rasch hagelte es enorme Kritik – unter anderem auch vom renommierten Chaos Computer Club. Danach folgte dann schließlich doch noch ein Umdenken: Man entschied sich für eine zentrale Softwarebasis. Nun bestätigt die Bundesregierung ein paar weitere Details zum Stand der Dinge.

Demnach sollen die Deutsche Telekom und SAP die Entwicklung der Corona-App übernehmen und sie zur Marktreife bringen. Die Fraunhofer-Gesellschaft und das Helmholtz-Zentrum CISPA stehen bei der Entwicklung beratend zur Seite. Der Fokus liegt auch darauf, die Interoperabilität zu anderen europäischen Lösungen zu gewährleisten. Zudem bindet man das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von Anfang an ein, um Datenschutz und Datensicherheit zu gewährleisten.

Ziel ist es, über die Corona-App Bürgerinnen und Bürger, die Kontakt mit einem Corona-Infizierten hatten, schnellstmöglich über diesen Kontakt zu informieren. Dadurch soll es schneller möglich werden potenziell Infizierte zu testen und in Quarantäne zu bringen, um die Infektionsketten zu durchbrechen. Zum Einsatz kommt dabei Bluetooth LE, was den Abstand zwischen Personen messen soll und Kontakte zu Personen erkennt, die als infiziert erkannt wurden. Hierbei tauschen die Apps untereinander temporäre verschlüsselte Identitäten aus.

Allerdings bleibt Freiwilligkeit im Spiel: Werden Nutzer der Corona-App positiv auf das Corona-Virus getestet, können sie auf freiwilliger Basis ihre Kontakte durch die App informieren lassen. Dabei werden im Infektionsfall die verschlüsselten IDs des Infizierten allen Mobiltelefonen der App-Nutzer zur Verfügung gestellt. Diese können daraufhin überprüfen, ob sie mit den übermittelten IDs in Kontakt waren. Im Falle einer Übereinstimmung wird der Nutzer über den kritischen Kontakt gewarnt.

Der Infizierte erfährt nicht, welche Kontaktpersonen informiert wurden und umgekehrt erfahren die Informierten nicht, wer der Infizierte gewesen ist, mit dem sie Kontakt hatten. Die Bundesregierung teilt außerdem mit: „Ein Missbrauch der Meldung des Infektionsstatus ist nicht zulässig und wird durch technische Maßnahmen verhindert.“ Weiter ins Detail geht man aber aktuell nicht.

Nach Fertigstellung durch die Telekom und die SAP wird die Corona-App dann durch das Robert-Koch-Institut herausgegeben. In einer nachfolgenden zweiten Stufe ist zudem geplant, einen Forschungsserver einzurichten, der auf Basis freiwilliger Datenspenden der Nutzer die pseudonymisierten Daten zur qualitätssichernden Analyse der Corona-App nutzen kann. Einen Termin für die Veröffentlichung gibt es aber leider nach wie vor noch nicht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

42 Kommentare

  1. Hab nichts gegen die Unternehmen, aber frage mich, ob es dafür eine faire Ausschreibung gab oder man einfach die beiden Riesen anfragte, weil da bereits gutbezahlte Lobbykontakte vorhanden waden

    • Wird uns sicher viel nützen, wenn wir jetzt erstmal eine wochenlange Auschreibungsphase durchlaufen.

    • 2 Riesen, 2 Forschungszentren und 2 Bundesbehörden.
      Wer in dieser Zeit auf ewig lange Ausschreibungen hofft, um sich dann zu bewerben, der hat den Sinn und Ernst der Lage nicht verstanden.

      • In diesen schlimmen Zeiten müssen sich die großen Unternehmen die Regierungsaufträge im Hinterzimmer zuschieben.

        Weiß doch jeder. 😉

    • Nicht dein Ernst, oder?

    • Ja genau, Ausschreibung. Damit es fair abläuft und jeder Zeit hat ein Konzept vorzulegen sollte die Bewerbungsfrist bis Anfang Juni laufen. Eine Fachkommision aus sämtlichen Parteien, Gewerkschaften und CCCmuss dann abstimmen. Aber mindestens 50% der Stimmen für den Gewinner. Es wird solange gewählt bis diese 50% erreicht sind. Danach sollte eine eingerichtete EU-Kommision die Sache prüfen, ob nicht doch andere EU-Länder benachteiligt wurden, da Ausschreibungen ja Europaweit gelten müssen. Denke Ende Herbst, spätestens Januar 2021 liegt dann ein Ergebnis vor – selbstverständlich haben alle anderen Bewerber noch einmal eine Frist von 4 weiteren Wochen um Einspruch einzulugen und ggf. selber nachzubessern. Bevor es alles per Einantrag vorm BGH gekippt wird. [/S]

      Ich glaub mein Schwein pfeift. Es ist eine Ausnahmesituation. Man wählt per Crash-Entscheidung die größten Firmen aus Software und Telekommunikation die man im Land hat und damit hat sich die Sache und das ist auch gut so!

    • Gut gelacht, aber ist eh egal. Wie immer werden haufen Steuergelder verbraten, andere werden klagen und sich nachträglich für nixtun außer anzuklagen und Fingerzeig haufen Kohle abholen. Dazu wird alles erst laufen wenn es x-etablierte Angebote aus dem Ausland gibt… wie bei den Banken…

  2. Ich finde es super, dass wir eine solche App in Deutschland programmieren lassen.
    Hoffentlich kommen bald weitere Innovationen aus Deutschland, um Corona zu besiegen.

  3. Erinnert ein wenig an den Bau des BER. Fertig ist dann die App 2026?

    • Wer eine App mit dem Bau eines Flughafens vergleicht, der vergleicht auch Äpfel mit Birnen.

      • Äpfel und Birnen lassen sich tatsächlich sehr gut vergleichen. Es gibt viele Gemeinsamkeiten, so zum Beispiel schon mal, dass beides Obst ist. Selbst wenn es die nicht gäbe, ist das für einen Vergleich tatsächlich irrelevant, da man einfach nur eine Ebene weiter oben Ansetzen kann und diese z.B. als Objekte definieren kann und von dort aus Gemeinsamkeiten und Unterschiede ermittelt 😉

        Somit kann man auch die Erstellung einer App und den Bau eines Flughafens durchaus miteinander vergleichen. Beides sind z.B. schon mal Projekte und von da an kann man Gemeinsamkeiten und Unterschiede rausstellen und ich wette, da findet man jede Menge von beidem.

      • Der Vergleich kommt daher, dass wieder eine Menge deutsche Firmen und externe beratende Institute ein Großprojekt angehen und mächtig in den Sand setzen.

        Anstatt das Thema einem agilen kleineren Unternehmen mit weniger Schnittstellen in die Hand zu drücken.

  4. Martin Deger says:

    Wurden Quelloffenheit und Reproducible Builds im Vertrag vorgeschrieben?

    Schneller als bei Telekom und SAP ginge es natürlich auch, wenn Apple und Google auch die App für die Gesundheitsbehörden entwickeln würden (quelloffen), und diese dann nur ihr Branding und eigenen Parameter wählen können.

    Außerdem hätte man ja einmal bei DP3T schauen können, dort gibt es schon fertig entwickelte Apps im Alphastadium. Diese basieren wahrscheinlich noch nicht auf der Apple/Google-API, aber da das DP3T-Protokoll sehr ähnlich ist, sollte man das einfach abändern können.

    • DP3T ist ja quasi PEPP-PT nur Dezentral. Anfangs wurden die Repositories von DP3T auch noch auf der PEPP-PT Seite erwähnt und dann plötzlich gestrichen.. auch die Veröffentlichung von Quellcodes für Beispiele bei PEPP-PT haben Ihre Fristen verstreichen lassen.

      Hier ist jede Menge Politik im Spiel und ich bin mir nicht sicher, ob das so gut ist. Aber davon mal ab, ich hab die Referenzcodes von DP3T mal durchgeschaut… die sind sehr fehleranfällig und angreifbar… und wenn mir das schon auffällt, was fällt dann erst denen auf, die sich tatsächlich mit Pentesting oder direkt mit App-Exploiting beschäftigen auf?

      Ich finde, dass Quelloffenheit UND entsprechende Code-Reviews für eine solche App absolut verpflichtend sind.

  5. Das SAP eine gewisse Nähe zur NSA nachgesagt wird sollte jeden klar ein in Zusammenhang mit einer „neuen“ App könnte das brisant werden.

  6. Der nächste Akt im Drama „Deutschland, die Bundesregierung und der Weg zur Überwachung der Bevölkerung – Der Weg in die neue Normalität“

    • Heisenberg says:

      Natürlich, wer denkt dass es hier um ein von Fledermäusen übertragenes Virus geht, dem ist wohl nicht mehr zu helfen xD

      • Das bestreitet niemand dass der Virus tatsächlich da ist, man darf aber auch kritisieren und hinterfragen ob alle Maßnahmen die getroffen werden Sinn ergeben. Ich kann mich noch an die Diskussion zum Thema Alexa erinnern. Viele die gegen die „Wanze“ waren sind plötzlich für jede Art von Überwachung sehr offen.

        • Naja, wenn wir überwacht werden sollen, dann schafft man es auch ohne Corona App. Google lacht sich ins Fäustchen, wenn die lesen, dass man einen Vorwand bräuchte…

  7. SAP, die Telekom und die Behörden arbeiten an einer App. Das funktioniert dann in etwa so schnell wie bei der Gesundheitskarte und ist so erfolgreich und sicher wie E-Post.

  8. Was quasseln die da immer von einer Datenspende? Wenn die Regierung eine Datenspende haben will, dann sollen Sie die Daten dauerhaft aus der bereits existierende Datenspende App beziehen.

  9. umgekehrt erfahren die Informierten nicht, wer der Infizierte gewesen ist…

    schade, ich hab schon meine Mistgabeln angespitzt.

    • Das macht nix. Die kannst du für den selben Mist, wie diesen, auch künftig weiter nutzen.

    • Sparbrötchen says:

      Theoretisch solltest Du das über den Zeitpunkt des Kontakts eingrenzen können, das hängt dann davon ab, welche Information Dir Deine App zu Deinen eigenen Tokens gibt. Bei denen weißt Du den genauen Generierungszeitpunkt und damit auch den des Matches und wenn die App das dann auch anzeigt, muß Dir nur noch der Name wieder einfallen: „Jeff, ich heiße Jeff!“

      • Wenn der Ansatz ähnlich wie bei D3PT ist, dann wird das vermutlich nicht wirklich was.

        Alles was du dort an Informationen bekommst ist das Token ab dem geschätzten Zeitpunkt der Infektion der Kontaktperson. Ab da muss die App selbst alle Tokens für die „Zukunft“ (Zukunft für den Token, aber eigentlich ja Vergangenheit) berechnen um zu schauen, ob da ein Match dabei ist mit den Tokens, die deine App aufgezeichnet hat.

        Du weißt dann jedoch nicht den Zeitpunkt der geschätzten Infektion der Kontaktperson und kannst somit keinen Zeitraum für die Kontakte ermitteln, da diese Information weder im Token gespeichert ist noch Rückwirkend errechnet werden kann, da du die Tokens niemals Rückwärts berechnen kannst.

  10. Telekom?
    Ja dann ist die APP fertig bzw. brauchbar wenn die Krise vorbei ist.
    Das gleiche Trauerspiel wie mit DE-Mail.

  11. SAP und Telekomiker.. *lol* ehr bring ich mein Katzen bei das es nur noch vegetarisch gibt

  12. Selten einen größeren digitalen Schrotthaufen gesehen……
    Das Gesundheitsamt hat die Testergebnisse und gibt die sensibelsten Daten überhaupt Unternehmen kostenfrei in die Hand. Und alle beteuern, dass das nur zu unserem Besten ist und Mißbrauch natürlich ausgeschlossen ist.
    Wer an dieses Märchen glaubt, glaubt auch, das morgen der Weihnachtsmann kommt…..

  13. Roger Bergamt says:

    SAP? Für Covid22?

  14. Es war abzusehen, dass die Telekom den Auftrag bekommt. Und ebenso abzusehen ist, dass sie das an eine weitere Firma outsourcen werden.

  15. Naja damit ist die App final gestorben. Hat die Telekom schon jemals etwas sinnvolles programmiert?
    Ich werde sie definitiv nicht nutzen

  16. Das wird ein mega Erfolg. Beides top Unternehmen. Zumindest die Lobbyisten.
    Ich finds mies dass da mal wieder übelst geklüngelt wird. Ich werde die App definitiv nicht benutzen.

  17. Wir haben in Deutschland bzw. Europa sehr gute Mobile App Entwickler für komplexe und ansehnliche Apps. Das sind aber meist kleinere auf Mobile Apps spezialisierte Unternehmen. Das man es den großen Konzernen mit klangvollen und insbesondere in der breiten deutschen Bevölkerung bekannten Namen überlasst, hat wohl auch Gründe. SAP, T-Com, Post etc. kennt jeder auch außerhalb von IT etc. und die deutsche Bevölkerung auf diese Konzerne. Für SAP und T-Com wird es nachher Werbung sein, sofern die App überhaupt brauchbar und vor allem breit genutzt wird.

    Ich habe aber noch keine wirklich gut und erfolgreich entwickelte App für Google Android und Apple iOS von SAP oder T-Com gesehen. Die tatsächlich erfolgreichen Apps kommen von Google, Apple, Facebook (Instagram, WhatsApp) sowie teils Microsoft und vielen anderen kleineren auf App-Entwicklung spezialisierten Unternehmen (auch Deutsche).

    Ich bin mir aber sicher, dass die Apps von T-Com und SAP technisch funktionieren werden, hoffentlich ohne Bugs und andere Probleme ;).

    Wenn die Apps schrott sind, werde ich diese erst gar nicht installieren und warte auf Konkurrenz.

    Generell höre ich viele aus meinem Bekannten- und Freundeskreis, die sich eine Corona-App gar nicht installieren wollen. Entweder mangels Interesse, keine Ahnung davon oder aus Datenschutzgründen.

  18. André, Typo im ersten Absatz: Man entschied sich jetzt für einen de(!)zentralen Ansatz. Eben das war ja so wichtig.
    Wenn dann noch alle verstehen was das bedeutet, machen sie sich vielleicht auch weniger Sorgen um die „datengierigen Unternehmen“…

    Einen sehr guter Punkt wurde hier aber genannt: Veröffentlichung des Codes sollte Gegenstand des Auftrags sein. Würde mich aber nicht wundern, wenn das vergessen wurde – ist nach wie vor kein Standard bei Förderungen oder Aufträgen des Bundes.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.