Corona-Warn-App soll Mängel bei der Open-Source-Compliance haben

Sehr erfolgreich ist in Deutschland die Corona-Warn-App gestartet. Jens Spahn ließ verlauten, dass die App bereits über 6,5 Millionen Mal heruntergeladen wurde. Auch die Bewertungen lesen sich positiv in den Stores. Verschwörungstheorien und Behauptungen der Spionage durch deutsche Behörden scheinen also doch ein kleineres Bewertungsproblem zu sein.

Doch nicht alle sehen die App ganz positiv. Hendrik Schöttle, Fachanwalt für IT-Recht, sieht zahlreiche Mängel bei der Open-Source-Compliance bei der Corona-Warn-App. In Kurzform: Der Fachanwalt berichtet, dass wohl gleich mehrere Open-Source-Lizenzen verletzt wurden.

Mögliche Folgen: Abmahnungen und Unterlassungserklärungen der Rechteinhaber – im schlimmsten Fall müsste die App gar zurückgezogen werden. Da dürfte dann also wohl bald ein Update der App folgen, wenn es denn so ist, wie aktuell analysiert.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

60 Kommentare

  1. Typisch Deutschland, immer das Haar in der Suppe suchen…

    • Lizenzen sind kein Haar in der Suppe. Gerade für Telekom und SAP schon ein bisschen peinlich

      • Ganz ehrlich: bei dem Projekt in der Zeit hat da glaube ich kaum jemand auf Lizenzen geachtet.
        Bei so etwas gemeinnützigem sollte man da vielleicht auch die Möglichkeit einräumen solche Kleinigkeiten im Nachhinein auszubügeln…

        • Naja, wenn man 20 Millionen dafür kassiert sollte man schon darauf achten…

        • Völlig Falsch, Lizenzfragen gehören VORAB geklärt. Das gehört mit in die Projektplanung.

          • Christian says:

            Stimmt. Wurde wieder gut Geld dafür ausgegeben an Privatunternehmen (Steuergeld) und monatlich durch abnormal hohe Hotlinekosten schön fortlaufend Geld generiert. Ja sowas kostet Geld aber monatlich mehrere Millionen?..

        • Es sind keine Kleinigkeiten. Du nimmst doch auch nicht einfach Zeug von anderen, fragst nicht und sagst es wäre deins. Das ist erstens verboten und zeugt zweitens von einem super schlampigen Projektmanagement.

        • einanderermaik says:

          Kleinigkeiten? Wer entscheidet das? Für dich mag es eine Kleinigkeit sein. Nur weil du die App toll findest, sollen wir Gesetze aushebeln? Es wird immer schlimmer!! Kann ja mal passieren…. Wenn du auf Arbeit Mist baust wirst du auch zur Rechenschaft gezogen. Bei dem Budget was hier rausgeschmissen wurde, kann man schon seriöse Arbeit erwarten….

        • Ganz falsch……
          Lizenzfragen gehören vorab geklärt. Auch, und grade dann, wenn der Staat der Auftraggeber ist.
          Das wird von jedem Entwickler erwartet.
          Ziemlich peinlich für Telekom und SAP.

  2. Open source ist für uns alle Neuland.

  3. Ein wesentlicher Mangel ist auch, das die App Android 6.x bzw. iOS 13.x benötigt.
    Ich selbst habe kein privates Handy, nur ein Firmen-Smartphone.
    Mein Firmen-Handy ist ein iPhone 6, die App funktioniert erst ab dem iPhone 6s…..
    Ich bin mit dem 6er aber noch zu 100% zufrieden, die anderen sind mir auch teilweise zu groß.

    So kann und werde ich die App nicht nutzen. Aber ich bin derzeit als Außendienstler eh im Homeoffice…

    • Das ist kein wesentlicher Mangel der App. Die App benötigt zwangsläuig das Exposure Framework unter iOS. Das wurde von Apple nun mal in 13.5 erst eingebaut. Da kann die App nichts machen.

      • Dito für Android – die Mindestvoraussetzung von Android 6.0 hängt mit der Exposure Notification API zusammen – auch da kann die App nichts machen. Das ist Apples und Googles Ding.

        • Dazu kommt bei Android, dass bei Android 6-9 auch noch die Standortbestimmung notwendig ist, da sonst Bluetooth nicht richtig arbeitet. Da kann die App auch nichts. Mit Android 10 reicht Bluetooth aus.
          Es ist scheiße, aber die Regierung ist nunmal auf die großen Hersteller angewiesen.

          • Dann ist vielleicht die Architektur nicht sinnvoll gewählt. Ich kann bei der Entwicklung einer App natürlich neuste Standards verwenden und dann nachher sagen „geht nicht anders“. Momentan habe ich als einziger in meinem Bekanntenkreis die Corona-App installiert. Nicht, weil die anderen Leute die App nicht installieren wollen. Sondern weil ihre Smartphones zu alt sind. Und ich überlege mir schon, ob eine Verwendung der App dann für mich wirklich sinnvoll ist.

            • Naja, dein Bekanntenkreis wird dich ja (hoffentlich) über eine Infektion informieren…

            • „Ich kann bei der Entwicklung einer App natürlich neuste Standards verwenden und dann nachher sagen „geht nicht anders“.“

              Eben doch! Bluetooth war dazu nie gedacht. So mussten Google und Apple sich auf ein System einigen um diese Handshakes realisieren zu können. Zudem sind die APIs bzw. Zugriffe auf die Hardware durch das Framework bzw. System so limitiert, dass es sonst nur mit Root-Zugriff auf beiden Geräten anders ginge.

              • Du denkst zu eingeschränkt. Wenn BT in älteren Versionen nicht geeignet ist, dann kannst Du es eben nicht verwenden und musst Dir etwas anderes ausdenken. In anderen Ländern haben die Apps ja auch nicht diese Anforderungen an neuste Versionen von Android oder iOS. Beispiel: UK und Island = Android 5. iOS = 9.

                • Und die werden in Europa ähnlich wie Frankreich isoliert dastehene, wenn es darum geht die Apps miteinander sprechen zu lassen. Man braucht eine gemeinsame Schnittstelle – und die wurde von Google und Apple geschaffen. Singapur hatte bspw. das Problem, dass deren App unter iOS nicht im Hintergrund arbeiten konnte – also vollkommen sinnlos ist. Ich weiß nicht ob das in UK und Island auch so ist, aber vorstellbar wärs – und dann brauchste es gar nicht erst anfangen.

                • Und du hast keine Ahnung von Programmierung und Betriebssystemen. Die isländische App nutzt GPS und speichert Daten zentral. Die UK-App läuft im Hintergrund bei gesperrtem Gerät voll weiter (WAKE_LOCK) und nuckelt am Akku, die Funktionalität auf iOS ist stark eingeschränkt, und installieren lässt sie sich selbst auf vielen Geräten mit Android 6-7 nicht. Du hast dir also die beiden schlechtesten Beispiele ausgewählt.

                  Bluetooth LE und Beacon-Funktionalität sind hervorragend geeignet, um den Abstand zweier Geräte zu messen. Die API sendet dafür einen Wert im Payload mit (Tx Power). Die API ist im Betriebssystem integriert. Zugriff auf die API erhalten nur die offiziellen Apps. Und die Crypto ist simpel und elegant gelöst und respektiert die Privatsphäre. Man sollte es nach den stümperhaften ersten Plänen nicht meinen, aber in der Form ist die App ziemlich gelungen.

                  • Man muss nicht unbedingt die beleidigenden Argumente eines 3-Jährigen nutzen, um offensichtliche Nachteile zu verteidigen…

                    Danach setzt Du Dich ja auch ganz vernünftig mit Argumenten auseinander. Nur kommst Du mir wie einer meiner Programmierer vor, die zwar technisch total motiviert sind, aber vor lauter „technische Superlösung“ die Nachteile in der konkreten Anwendung ignorieren. Letztlich ist es egal, welche Lösung man wählt. Eine Anwendung, wie eine Corona-App, wird IMMER Kritik auf sich ziehen. MIr ging es nur darum, dass ich die Verwendung von Technologien unglücklich finde, welche die Verbreitung der Anwendung aus technischen Gründen verhindert. Denn Bedenkenträger haben wir ja schon genug. Da sollte man meines Erachtens in der Konzeption darauf achten, die Anwendergruppe noch weiter zu verkleinern. Schließlich steigt der Nutzen der App mit ihrer Verbreitung.

                    • Wenn ich schon „meine Programmierer“ lese, stellen sich mir die Nackenhaare auf. Aber gut, anderes Thema.

                      Das hat nichts mit technisch Hippen scheiß zu tun, sondern damit, wie man eine Funktionalität zur Verfügung stellen kann, die hohen Datenschutz gewährt, möglichst vollständig im Hintergrund läuft und den Nutzer in der Nutzung seines Handys nicht einschränkt (durch starken Akkukonsum).
                      Die Lösung die dabei schnell in den Fokus rückt erinnert stark an Apples letztes Jahr vorgestellte Technologie, bei der Apple Geräte mittels BT LE anonyme Token austauschen um ein eventuell gestohlenes Gerät über die Where Is? App selbst im Standby auffinden zu können. Da die Schnittstelle nicht kompatibel mit Android war – was aber zwangsläufig notwendig ist, wenn die Abdeckung möglichst große sein soll – musste eine Schnittstelle zwischen Google und Apple ausgehandelt werden. Anschließend mussten Google und Apple prüfen, ab welcher Systemversion diese Funktionalität eingebaut werden kann. Und hier spielt einfach die zur Grunde liegende Architektur eine Rolle. Apple und Google können ja schlecht in ein seit ggf. Jahren nicht mehr weiterentwickeltes System Features einbinden, die eventuell so massive Anpassungen benötigen, dass es quasi schon ein komplettes Update ist. Klar sperrt man so Menschen mit Geräten die 6 Jahre und älter sind aus, aber mit einer Variante, in der jedes Gerät jederzeit seinen Standort an die Regierung (oder wen auch immer) weiter gibt, damit diese Bewegungsprofile und auf Basis dieser „Kontaktpunkte“ zwischen zwei Menschen feststellen können bekommt man sicherlich so gut wie niemanden dazu, dass er/sie da mit macht.
                      Wie du siehst, keine technische Spielerei, sondern eine nüchterne Abwägung welchen Weg man gehen will.

                    • So ist es, der Nutzen steigt mit der Verbreitung. Was meinst du wieviele iOS-Nutzer diese App noch nutzen würden, wenn sie aufgrund der fehlenden Exposure Notification API das Gerät dauerhaft wach halten müsste und der Akku nach nem halben Tag leer wäre? Ich schätze es würden mehr wieder vom Telefon löschen als jetzt nicht nutzen können.

                    • Ich sag ja, du hast keine Ahnung. Wenn, du das als beleidigend empfindest ist das halt so…

          • Christian says:

            Stimmt so nicht. Android 10 und ohne Standorte aktiviert, egal ob genutzt oder nicht, meckert die App genauso wie bei deaktivieren von Bluetooth

      • Naja, hast schon Recht, aber mit den deutschen Richtlinien war das wohl nicht anders machbar.
        Ich kann mir schnell n anderes Telefon über die Firma besorgen, aber wenn ich an die ganzen Senioren oder an wirtschaftlich nicht so starke Bevölkerungsschichten denke….
        Die haben ganz einfache Smartphones (teilweise noch mit Android 4.x) oder eben „abgelegte“ der Kinder und Enkel. Das trifft also grade eine Risikogruppe….

        Aber wie gesagt: Mir ist klar, das es technisch nicht anders geht. Ich war nur schon etwas geschockt, das es mit dem iPhone 6 nicht geht.

        • Wie gesagt bei der Telekom würdest du dank eines Corona Angebots ein aktuelles Smartphone günstiger bekommen. Sowie wird dir die App gleich vor Ort installiert 😀
          Man versucht es jedem so einfach wie möglich zu machen. Die Regierung kommt auch mit dem No Zero Rating (kein Datenvolumenverbrauch) ja so gut wie möglich jedem entgegen.

          • > Die Regierung kommt auch mit dem No Zero Rating (kein Datenvolumenverbrauch) ja so gut wie möglich jedem entgegen.

            Achja, stimmt. Netzneutralität. Das waren noch Zeiten. 😀

        • Da muss man natürlich noch bedenken, dass das iPhone 6 Ende September 2015 rauskam, also nahezu 5 Jahre alt ist.

          • Das iPhone 6 kam im September 2014 raus. 2015 kam das 6s. Du bist also bei Apple mit 5 Jahre alter Hardware dabei.

            • Es gibt eben Leute, denen Smartphone-Technik und deren Evolution egal sind, einer davon bin ich. Das Teil ist ein wichtiges „Arbeitswerkzeug“ (wie für andere ne Bohrmaschine oder so) für mich, mehr nicht.
              Für einen Technikblog sind natürlich 5 Jahre alte Smartphones „uralt“, aber ich denke eben, das es in der „normalen Bevölkerung“ noch viele wie mich gibt.
              Die haben das Telefon zum telefonieren und wissen teilweise gar nicht, was für eine SW-Version drauf ist. Ich musste heute morgen auch erst nachgucken ob ich n iPhone 6 oder
              6s habe…. Ich wusste es nicht, weil´s mich nicht interessiert, es funktioniert ja.

              • Ja und für andere Leute auch, nur das sie andere Funktionen nutzen, die ein schnelleres Update des Arbeitsgerätes notwendig machen. Wenn du Schlagbohren willst, brauchst du auch eine Schlagbohrmaschine und kannst das nicht mit deiner Akkubohrmaschine erledigen, egal wie gut die noch tut. Und wenn du eine App auf deinem Phone haben willst, die nicht läuft, weil dein Phone zu alt ist (wegen Ram, CPU-Leistung, Softwarefeatures, was auch immer), dann läuft die halt nicht. Und wenn du die App zum Arbeiten brauchst, dann brauchst du halt ein neues Phone. Ist zwar schade um das alte, aber so ist es nun einmal. IT ist halt leider wesentlich kurzlebiger (oder schneller im Fortschritt) als andere Teile des Lebens.

            • Tatsächlich. Hatte nur schnell „iPhone 6 Release“ in Google eingegeben, da wurde aber heimlich das 6s angezeigt 😀

        • Klar, aber die Alternative dazu, wäre dann unter iOS eine App, die womöglich erfordert, dass der Bildschirm permanent eingeschaltet bleibt, wie es in einigen Ländern der Fall ist. So eine App würde wohl wirklich niemand benutzen. Ich hoffe, dass es vielleicht bald Alternativen wie diese Blue Tooth Anhänger geben wird, damit man sich nicht zwingend ein neues Smartphone zulegen muss, um mitmachen zu können. Senioren sind auf der anderen Seite sozial oft viel weniger aktiv, das heißt, meine 80-jährige Oma chillt eher selten mit 10-köpfigen Gruppen ab. Wenn ich dann eine Meldung bekomme und infiziert sein sollte, bekommt meine Oma hoffentlich auch leicht an einen Test.

  4. Ich kann den Artikel des Anwalts nicht ganz nachvollziehen. Abgesehen davon, dass der Text den Anschein macht als ob der App-Runterlad-Prozess zur Corona-Warn-App gehöre („wie ein Behördengang“ … „wie ist mein Google Passwort?“) und die App selbst nichts dafür kann, dass die Nutzer nie eine App geladen haben und der Google Play Store halt so ist, wie er ist, ist die UX der App meiner Meinung nach ziemlich gut gelungen – aber gut, Geschmackssache.
    Im Text zählt er sehr viele Lizenzen auf. Unter iOS verhält es sich anders. Die genutzte Drittsoftware scheint stark reduziert zu sein. Ich zähle 6 Drittlizenzen. Jeder dieser Lizenzen wurde scheinbar per Copy&Paste von der jeweiligen Softwarekomponente eingefügt. Was ich nicht verstehe: Wieso liegt eine Lizenzverletzung vor, wenn ein dritter eine Standardlizenz modifiziert und veröffentlicht? Ist das dann nicht eher ein Problem des Drittanbieters?

    • Sorry, aber wer zu blöd ist, eine App im App Store runterzuladen und das der App ankreidet, den soll ich noch Ernst nehmen? Und niemand wird eine Abmahnung schreiben, wenn die BSD Lizenz nicht mit abgedruckt ist. Ja, unschön, aber dann holt man das im Update nach. Alles leicht zu beheben. Das wird nie dafür sorgen, dass da Lizenzzahlen oder ähnliches folgen.

      Und die Kommentare von Kollegen unter dem Text sind fast noch peinlicher.

  5. 10k+ im Google play store, also 6.3 Millionen bei Apple. Nicht schlecht.

    Oder sind seine Downloadzahlen auch vom RKI?

    • Was? Schieß mal deinen Playstore ab und starte ihn neu. Bereits seit gestern steht doch „1 Mio.+“…

    • Sind reine Downloadzahlen. Auch wenn du die App wieder deinstalliert hast, ändert sich hier nichts, solange du diese aus deiner Google Play Store Bibliothek wieder raus löscht.

      Aktuell weist der Playstore 1.000.000+ aus.

  6. Schön dass er das bei LinkedIn verkündet. Noch schöner wärs natürlich, wenn er das als Hinweis beim App-Anbieter einreichen würde. Und das vielleicht auch erst mal nicht öffentlich, um dem Anbieter Zeit zum reagieren zu geben. Gerade wenn es um eine so wichtige, zentrale App geht, wo es nicht gewollt sein kann, dass diese zeitnah wegen sowas wieder offline gehen muss. Die letzten Sätze im Artikel lassen so ein Geschmäckle aufkommen, dass es eher um Eigenwerbung für die eigenen Seminare geht.

  7. Ich hab da mal eine Frage zu der Corona-Warn-App generell auf Android.
    Die meisten Android-Hersteller (z.B. Samsung, Huawei, Oneplus) haben eine „Akkuoptimierungsfunktion“. Das bedeutet, wenn eine App im Hintergrund läuft, wird der Akku in irgendeiner Weise optimiert. Im System kann man die Optimierung für einzelne Apps ausschalten, also Apps sozusagen whitelisten.
    Jetzt bin ich eigentlich immer davon ausgegangen, dass eine App in so eine Art Standby geht, wenn sie im Hintergrund läuft und „optimieren“ für die App aktiviert ist.

    Aber wie ist das denn mit der Corona-App? Tut die noch, was sie soll, wenn sie „optimiert“ wird?

    • Genau das habe ich mich auch schon gefragt – ich habe zumindest den Standby für die App manuell abgeschaltet (Samsung). Das werden aber die wenigsten machen. Gerade Xiaomi und Huawei sind da ja sehr aggressiv.
      Da der Austausch aber über die Play-Dienste läuft, vertraue ich darauf, dass ich trotzdem gewarnt werden würde.

    • Ich gehe mal davon aus, dass man die Optimierungen aktiv lassen kann, da das eigentliche Tracking von der Software gemacht wird, die Google und Apple ins Betriebssystem eingebaut haben.

  8. Was der nette Anwalt sagen möchte lässt sich in etwa so übersetzen: „Ihr hättet mich lieber beauftragen sollen. Aber da ich jetzt beleidigt bin, dass ich nichts vom 20 Mio Kuchen abbekommen habe, nutze ich den Hype um bisschen Werbung für mein tolles Wissen zu machen.“

  9. Tatsächlich. >1 Million. War dann wohl bei mir (Screenshot sei Dank) der Cache der Hoffnung.

    Unglaublich…

  10. Ich kenn jetzt die ganzen Lizenzen nicht im Detail. Bislang hat der Anwalt nur aufgezählt, dass teilweise nicht konkret genannt ist, welche Lizenz sich auf welchen Baustein bezieht und dass einige Lizenztexte der Formatierung zum Opfer gefallen sind. Kann mir irgendjemand sagen, ob sich die genannten Lizenzen mit der Applizenz Apache License 2.0 beißen oder ob es hier erstmal tatsächlich nur um Formfehler geht?

    Damit will ich nicht die Formfehler verharmlosen, in meinen Augen wäre aber ein Fehler a la „ich hab eigentlich gar keine Lizenz zum Einsatz des Codes“ wesentlich dramatischer als „ich hab leider Seite 3 der Lizenzbedingung wegformatiert“. Weil letzteres durch einmal ordentlich neu schreiben der Lizenzbedingungen behoben werden kann, für ersteres eventuell noch mal 20 Tage Entwicklungszeit in die App fließen müssen.

  11. Kann mich jemand aufklären, bitte?
    Wie kann es bei open-source-Material zu Lizenzbeschwerden kommen? Ich dachte open source ist dafür da, dass jeder damit frei arbeiten kann, oder vertausche ich hier etwas?

    • OpenSource heißt ja erstmal nur, dass der Quell(=Source)code frei (im Sinne von offen) zur Verfügung gestellt wird.

      Dazu gibt’s aber dann trotzdem jede Menge (wenn auch nur ein paar „Große“, weithin anerkannte) Lizenzen.
      Da geht es z.B. vor allem darum, sicher zu gehen, dass du den Code nicht als deinen ausgibst, sondern bei Nutzung in deiner Software oder Weiterverbreitung eben auch darauf hinweist, woher er kommt, teilweise die Lizenz sogar für mögliche Weiterentwicklungen deinerseits übernehmen musst, die du dann evtl. wiederum zur Verfügung stellen musst. Oder die kommerzielle Nutzung wird eingeschränkt. Oder die Nutzung z.B. für gewisse Zwecke.
      Zur Creative Commons Lizenz mit ihren diversen Stufen müsste es da u.a. ganz gute Erklärungen geben, z.B. bei Wikipedia.
      Lizenzen sind da auch immer mal wieder Konfliktthemen.

    • Wenn ich den Quelltext meiner Programme freigebe, kann ich trotzdem bestimmten, ob du die Programme verändern oder Geld damit verdienen darfst. Siehe die verschiedenen creative commons Lizenzen.
      Du verwechselst das mit „public domain“, das darfst du in der Regel frei verwenden.

  12. So eine App ist ja mal wieder was Tolles für die deutschen Schlafschafe.

  13. Kleine Frage says:

    Mal ganz dumm gefragt: Ist der Sinn und Zeck von Open Source nicht per Definition, den Code frei und kostenlos einsehen, übernehmen und anpassen/verändern zu dürfen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.