Corona-Warn-App iPhone-Lücke war seit Wochen bekannt
Die Probleme mit der Corona-Warn-App beim iPhone waren den Entwicklern nach Recherchen von tagesschau.de seit Wochen bekannt. Doch die Öffentlichkeit wurde nicht informiert. Die Folgen könnten gravierend sein.
Die Probleme bei der Corona-Warn-App auf iPhones waren den Entwicklern nach Recherchen von tagesschau.de schon seit mindestens vier Wochen bekannt. Trotzdem wurde die Öffentlichkeit darüber nicht informiert. Dadurch haben möglicherweise viele Nutzerinnen und Nutzer der App das Coronavirus weiter verbreitet, obwohl es hätte verhindert werden können.
Die App-Entwickler von SAP und Deutsche Telekom hatten den Bug, der von tagesschau.de aufgedeckt wurde, eingeräumt. Sie erklärten, "seit einer Woche" von dem Problem gewusst zu haben. Doch tatsächlich wurde der Fehler auf dem Online-Dienst "GitHub", wo die Entwickler den Quellcode der App offengelegt haben, schon seit dem 21. Juni rege diskutiert - also bereits fünf Tage nach dem Start der App.
Wusste SAP seit Ende Juni von dem Fehler?
An der Diskussion beteiligten sich auch fünf mutmaßliche Software-Entwickler von SAP. Sie tauschten sich seit dem 30. Juni mit anderen Programmierern auf der Plattform über den Fehler, der Apple zugeschrieben wird, aus. In ihren verlinkten Biografien geben sich die fünf User als SAP-Mitarbeiter aus.
"GitHub" ist ein Online-Dienst, auf dem Softwareprojekte veröffentlicht werden können und damit für alle zu jedem Zeitpunkt einsehbar sind. In der Regel wird auf der Plattform auf englisch kommuniziert. Dass hier der Quellcode der Corona-Warn-App offengelegt und Anregungen von anderen Programmierern aufgenommen wurden, wurde im Vorfeld des App-Starts als äußerst transparentes und kritikoffenes Verfahren gelobt.
Auf der Open-Source-Plattform "GitHub" haben SAP und Telekom den Quellcode der Corona-Warn-App offengelegt. Andere User machten die Entwickler dort schon am 21. Juni auf die Fehler beim iPhone aufmerksam. Die App-Entwickler hatten am Freitag erklärt, sie hätten erst "vor einer Woche" von den Problemen erfahren.
"Wir haben andere Probleme mit höherer Priorität"
Die Fehler mit der Hintergrundaktualisierung und damit einhergehend mit der lückenhaften Überprüfung, ob Nutzerinnen und Nutzer der App Kontakt mit Infizierten hatten, wurde von einem der mutmaßlichen App-Programmierer anfangs als Einzelfall abgetan. "Wir haben andere Probleme mit höherer Priorität" schrieb er.
Die Community machte jedoch deutlich, dass es sich keineswegs um Einzelfälle, sondern um ein weit verbreitetes Problem handelt. Ein User drohte, "die Medien darüber zu informieren, dass die App praktisch nutzlos ist". Ein anderer warf den Entwicklern vor, das Ausmaß des Fehlers zu unterschätzen: "Das kommt nicht nur vereinzelt vor, sondern auf allen Geräten, die ich untersucht habe." Woraufhin einer der mutmaßlichen SAP-Programmierer antwortete: "Wir wissen nicht, auf wie vielen Geräten Du das untersucht hast, aber wir nutzen die App auch und stellen das Problem nicht in großem Ausmaße fest".
SAP äußerte sich nicht auf Anfrage, ob die mutmaßlichen Software-Entwickler tatsächlich an der Corona-Warn-App mitgearbeitet haben. Auch die Frage, ob die Fehler bei iPhones den Entwicklern bereits Ende Juni bekannt gewesen seien, ließ der DAX-Konzern unbeantwortet. SAP-Sprecher Hilmar Schepp verwies auf einen Pressetermin am Dienstag, auf dem Fragen gestellt werden können.
Kritik von der Linkspartei
Die Bundesregierung erklärte, die Einschränkungen seien "den Entwicklern grundsätzlich bekannt" gewesen. "Aber erst seit Ende der vergangenen Woche führten entsprechende Tests zu der Erkenntnis, dass mehr Geräte von den Einschränkungen betroffen waren als zunächst angenommen."
Laut Gesundheitsministerium ist unklar, wie viele Geräte "von der systembedingten Einschränkung" betroffen sind. Bei einer internen tagesschau.de-Befragung unter mehren hundert Nutzern der App in der vergangenen Woche berichteten mehr als 90 Prozent der iPhone-Besitzer von Lücken in der Kontaktüberprüfung.
Dass der Vorteil eines offenen und frei zugänglichen Quellcodes nicht genutzt wurde, um die Fehler schnell zu beheben, kritisiert die netzpolitische Sprecherin der Linkspartei im Bundestag, Anke Domscheit-Berg: "Open-Source-Prozess heißt mehr, als den Code nur einmal am Anfang ins Netz zu stellen. Es heißt, das zu nutzen, was man als Feedback bekommt - und zwar kontinuierlich und so schnell wie möglich. Genau das haben die Entwickler nicht gemacht", sagte Domscheit-Berg gegenüber tagesschau.de. "Das war der Total Fail, wie man Open Source nicht macht. Da waren diese Probleme frühzeitig bekannt und darauf hätte man reagieren müssen."
Die netzpolitische Sprecherin der Linkspartei im Bundestag, Domscheit-Berg, kritisiert das Vorgehen von Bundesregierung und Entwicklern.
Infektionen hätten verhindert werden können
Die Corona-Warn-App wurde in Deutschland bislang 16,4 Millionen Mal heruntergeladen. Davon entfallen 7,7 Millionen Downloads auf iPhones. Es ist daher sehr wahrscheinlich, dass aufgrund der Probleme etliche Nutzerinnen und Nutzer der App wochenlang nicht rechtzeitig über Kontakte mit Infizierten gewarnt wurden. Denn oft fand über mehrere Tage, bis hin zu zwei Wochen, keine Kontaktüberprüfung statt.
Dies hätte verhindert werden können, wenn Bundesregierung oder Entwickler deutlich auf die Probleme hingewiesen hätten. Denn schon das Öffnen der App alle 24 Stunden hätte eine Kontaktüberprüfung gewährleistet. Die Bundesregierung erklärte auf Anfrage von tagesschau.de, dass auf der "Fragen & Antworten"-Seite der App empfohlen worden sei, die App "regelmäßig (mindestens einmal täglich) zu öffnen". Auf die Frage, warum die Probleme nicht per Pressemitteilung veröffentlicht wurden, ging die Regierung nicht ein.
Vertrauen in die App leidet
"Das ist bedauerlich, weil diese App ja auch ganz extrem davon abhängt, dass Menschen Vertrauen haben", kritisiert Domscheit-Berg. "Vertrauen habe ich aber nur, wenn ich mich nicht beschissen fühle, sondern wenn man offen kommuniziert. Erst recht, wenn es irgendein Problem gibt. Da ist Transparenz am wichtigsten."
Am Wochenende wurde ein Update "als Zwischenlösung" veröffentlicht. Mit der App Version 1.1.2 sei es gelungen, "die betriebssystembedingten Einschränkungen zu umgehen, bis Apple das Systemproblem selbst gelöst hat", so die Entwickler. Um sicherzugehen, dass die App funktioniert, rät das Gesundheitsministerium, die App alle 24 Stunden zu öffnen.
iPhone:
Einstellungen -> Datenschutz -> Health -> COVID-19-Kontaktprotokoll -> Kontaktüberprüfungen
Android-Geräte:
Einstellungen -> Google -> COVID-19-Benachrichtigungen an
Entwickler wollen Kommunikation verbessern
SAP und Telekom erklärten, sie würden "den Kommunikationsprozess verbessern, um die Bevölkerung schneller (...) über mögliche Einschränkungen zu informieren".
Die Corona-Warn-App soll helfen, Infektionsketten nachzuverfolgen und zu unterbrechen. Außerdem kann sie dazu beitragen, dass Menschen nach einem Coronavirus-Test möglichst schnell ihr Testergebnis digital erhalten und über die App anonym mögliche Kontaktpersonen warnen können, wenn diese auch die App installiert haben.