|

Die Corona Warn App als Open Source Software

Heute wurde die Corona-Warn-App veröffentlicht. Sie wird recht positiv aufgenommen, selbst bei Spiegel und Welt. Die deutsche Regierung wollte sie als Open-Source-Software veröffentlich, um die Akzeptanz bei der Bevölkerung zu erhöhen. Trotzdem gibt es noch einige Skepsis. Ich möchte ein paar spezielle Bedenken kommentieren:

  • Gelegentlich höre ich, die Corona-Warn-App sei gar keine echte Open-Source-Software (weil sie ja die nativen Google-/Android- bzw. Apple-/iOS- Funktionen mit proprietĂ€ren Anteilen nutze). Das zu behaupten, ist formal und inhaltlich nicht adĂ€quat:
    • Open-Source-Software ist, was unter einer Open-Source-Lizenz veröffentlicht ist. Und was eine Open Source Lizenz ist, ist von der Open-Source-Initiative definiert. Die Corona Warn App wird nachweislich unter der Apache-v2 Lizenz veröffentlicht.
    • Die ‚Open-Source-Haftigkeit‘ ist schon seit Beginn der Arbeit von R. Stallmann völlig unabhĂ€ngig davon, auf welchem mehr oder minder proprietĂ€ren Betriebssystem (bei ihm damals das Unix) mit mehr oder minder geschlossenen Basisbibliotheken die Open-Source-Software dann als Prozess ausgefĂŒhrt wird. Wer Open-Source wirklich nur das nennen will, was in einem gĂ€nzlich freien Stack von Open-Source-Software genutzt wird, scheitert damit in der Regel schon am BIOS.
  • Zweitens sagen manche, das System sei nicht vertrauenswĂŒrdig (weil eben doch Daten zur Regierung kommen). Dem stehen die drei Prinzipien der Offenheit , Freiwilligkeit und der Wahrung der AnonymitĂ€t entgegen:
    • Ich selbst entscheide ja, ob ich die App installiere oder nicht. Wenn ich sie installiere, plottet die darunter liegende iOS-/Android-Funktionen per Bluetooth mit, welche anderen Handies ‚in der NĂ€he‘ sind. D.h., auf meinem Handy entsteht eine Liste der Identifikatoren der anderen Handies – aber eben nur auf meinem Handy. So, wie auch der Identifier meines Handies auf denen der anderen vermerkt wird.
    • Jeder kann anhand des offen gelegten Codes (Apps, Server, Verification System) alles ĂŒberprĂŒfen, insbesondere, dass keines der Programme diese Identifikatoren an dritte z.B. einen Regierungsserver weitergibt. Sie bleiben auf dem entsprechenden Handy.
    • Ich selbst entscheide außerdem, ob ich, wenn ich erkranke, meine Erkrankung kundtue. Wenn ich das tue, wird ĂŒber einen Scancode gewĂ€hrleistet, dass ich nur als wirklich Getesteter mein Ergebnis in das System eingebe.
    • Wenn ich mich oute, wird jedoch nur mein Handyidentifier online zum Abruf bereitgestellt, nicht meine Daten.
    • Ferner entscheide ich selbst, ob ich mir mehr oder minder regelmĂ€ĂŸig vom Server die Handy-Identifikatoren der Erkrankten abhole und LOKAL auf meinem Handy mit den Handy-Identifikatoren meiner ‚Begegnungen‘ vergleichen lasse.
    • Es gibt an keiner Stelle eine VerknĂŒpfung meiner Personendaten mit meinem Handy-Identifier. Jeder kann im Code ĂŒberprĂŒfen, dass das System das NICHT tut. Und die einzigen, die das sonst noch tun könnten, wĂ€ren Apple und Google, sofern sie böswilligen Schadcode in ihre Basibibliotheken eingebaut hĂ€tten und mit der amerikanischen und/oder deutschen Regierung ein geheimes technisches Austauschsystem aufgebaut hĂ€tten. Liebe Verschwörungstheoretiker: Wenn sie so etwas hĂ€tten tun wollen, hĂ€tten beide Firmen ĂŒber die Services auf dem GerĂ€t technisch viel einfachere, effektivere und kostengĂŒnstigere Möglichkeiten, so etwas umsetzen.
  • Und schließlich vermuten einige, die Corona Warn App werde spĂ€ter heimlich und unter der Hand doch noch in ein staatliches Trackingsystem umgebaut. Das wird aber nicht funktionieren:
    • Der Quellcode ist öffentlich zugĂ€nglich. Wollte man also spĂ€ter eine verĂ€nderte ‚Version‘ heimlich in Verkehr bringen, mĂŒssten die Apps zuletzt doch wieder in die offiziellen Stores eingepflegt werden – und zwar unter Wahrung der offiziellen Releasenummern.
    • Das wĂ€re nicht geheim zu halten: Irgendjemand wĂŒrde bestimmt einmal die Apps aus dem offiziellen Repo kompilieren und – wenigstens von der GrĂ¶ĂŸe her – mit den auf dem Handy installierten vergleichen. GĂ€be es dort signifikante Abweichungen – und die wird es geben, wenn man in die gute Version heimlich geheimen Schadcode einpflegen wĂŒrde – gĂ€be es einen Aufschrei .

Langer Rede kurzer Sinn: Wir dĂŒrfen dieser Arbeit vertrauen. Und wir sollte sie benutzen, um unser Gesundheitssystem vor einer Überlastung (wĂ€hrend der 2. Welle) zu schĂŒtzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

38 − = 35

Diese Site verwendet Cookies. (Details)

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklĂ€rst du sich damit einverstanden.

Schließen