Zum Hauptinhalt springen

Heikles Corona-TracingEuphorie um die Covid-App ist verflogen

Am Donnerstag lanciert der Bund seine Tracing-Anwendung. Sicherheitsexperten empfehlen, sie zu Hause auszuschalten. Kann sie ihre Funktion überhaupt erfüllen?

Morgen wird sie offiziell lanciert: Blick auf die Smartphone-App Swiss Covid.
Morgen wird sie offiziell lanciert: Blick auf die Smartphone-App Swiss Covid.
Foto: Laurent Gillieron (Keystone)

Zuerst wurde sie als mögliches Wunderheilmittel hochgejubelt, doch inzwischen ist die Euphorie verflogen. Heute regelt der Bundesrat die letzten Einzelheiten der Swiss-Covid-App. Morgen steht der breiten Öffentlichkeit das Programm für Mobiltelefone zur Verfügung, das mögliche Kontakte mit Trägern des Coronavirus anzeigen soll. Damit geht eine einmonatige Testphase der App zu Ende.

In einem entscheidenden Punkt hat der Versuchsbetrieb allerdings nicht zu einem besseren Verständnis der Funktionsweise beigetragen: Bisher wurde kein einziger Ernstfall mit der App verzeichnet, wie das Bundesamt für Gesundheit an der Medienkonferenz vom Mittwoch bestätigt hat.

Würden sich Kontaktpersonen wirklich melden?

Konkret erhalten Personen, die positiv auf das Coronavirus getestet werden, einen Code. Diesen Code müssen sie in der App erfassen. Die App benachrichtigt danach sogenannte Kontaktpersonen. Als solche gelten alle, welche dem Infizierten während mehr als 15 Minuten nahe waren. Dabei stützt sich die App auf anonymisierte Auswertungen von Bluetooth-Daten der Mobiltelefone, weder positiv Getestete noch mögliche Kontaktpersonen erfahren also die Namen voneinander.

Unklar ist aber angesichts des Tests, ob die App ihre Funktion erfüllen kann. Diese setzt voraus, dass Kontaktpersonen sich bei den Behörden melden, um zu klären, ob sie einen Corona-Test absolvieren und in eine 14-tägige Quarantäne gehen sollen. Dabei müssen sie zu Hause bleiben und Kontakte zu allen anderen Menschen vermeiden, selbst zu Familienmitgliedern, die nicht ebenfalls unter Quarantäne stehen. Arbeitnehmer erhalten zwar Erwerbsersatz. Dennoch stellt sich die Frage, ob sich die Kontaktpersonen angesichts der weitreichenden Konsequenzen wirklich melden. (Lesen Sie hierzu die Corona-Umfrage von Tamedia.) Beim klassischen Verfolgen der Infektionsketten hatten Kontaktpersonen laut Kantonsärzten zwar meistens Verständnis für die Quarantäne und befolgten sie. Offen ist, ob das auch bei der App so funktioniert.

Das Ausbleiben eines Ernstfalls hängt auch damit zusammen, dass die Zahl der Infizierten in der Schweiz derzeit tief ist. Gesundheitsminister Alain Berset wies zudem darauf hin, dass bisher nur 2 Prozent der Bevölkerung die App installiert hatten. Der Nutzerkreis war in der Testphase eingeschränkt auf einige Tausend Mitarbeitende der ETH und öffentlicher Verwaltungen sowie Armeeangehörige, zumindest theoretisch. Allerdings dürften zahlreiche Einwohner der Schweiz die App bereits inoffiziell benutzt haben: Sie belegt zum Beispiel seit Tagen den ersten Platz der Downloads im App Store für das iPhone, gemäss Angaben des Bundesamts für Gesundheit ist sie derzeit bei rund 160’000 Nutzern im Einsatz.

Auch am Arbeitsplatz seien Sicherheitsrisiken möglich, sagen Sicherheitsexperten.

Mit dem Test verbunden war auch ein Aufruf, allfällige Sicherheitslücken zu melden. Gemäss einer Zusammenstellung des National Cyber Security Center (NCSC) des Bundes wurden insgesamt 11 Schwachstellen geortet. Neun davon wurden geschlossen, bei einer ist das nicht möglich, weil sie die Bluetooth-Technologie vor Version 4.2 betreffen. Für eine Angriffsmöglichkeit, auf die Fachleute schon seit Wochen aufmerksam machten, haben die Programmierer der App bisher keine Abwehr gefunden. Dabei könnten Hacker eruieren, ob ein Mobiltelefonnutzer sich in der App als infiziert eingetragen hat.

Die Autoren des entsprechenden Berichts des NCSC empfehlen darum, «die App immer dann laufen zu lassen, wenn Infektionssituationen mit unbekannten Personen auftreten können, aber es ist besser, sie zu Hause auszuschalten». Auch am Arbeitsplatz seien Sicherheitsrisiken möglich. Darüber solle das Bundesamt die Öffentlichkeit informieren.

Allerdings halten die Experten das Risiko insgesamt für begrenzt. «Wir glauben, dass unter normalen Umständen die Privatsphäre der Nutzer kein inakzeptabel höheres Risiko bei der Verwendung der App erleidet», schreiben die Autoren. «Wenn eine Benutzerin ein Smartphone mit aktiviertem Bluetooth (zum Beispiel für Kopfhörer) besitzt, nimmt sie gewisse Risiken in Kauf, die mit dieser Technologie verbunden sind.» Zudem betreffe das Problem nur Personen mit positivem Test, für welche die Isolation eine weit grössere Einschränkung sei. Zudem sei der Zeitraum des Angriffsrisikos auf das Ansteckungsfenster begrenzt und damit «in der Regel auf einige Tage».