Für viel Geld hat die Europäische Kommission von SAP und T-Systems die Corona-Warn-App entwickeln lassen sowie im August 2021 eine App für den EU-Impfausweis. Die Apps sind Open Source unter der Apache-Lizenz (vorbildlich!) und der Quellcode liegt auf Github. Aber beide setzen in ihren Android-Varianten auf den Trackingdienst von Google beziehungsweise von Apple auf – je nach Version. Das ist nicht nur datenschutzrechtlich hinsichtlich dieser sensiblen Daten fragwürdig, sondern auch ein technisches Armutszeugnis. Denn beide Apps wären auch ohne die Übermittlung der Daten an Google möglich gewesen, wie freie Alternativen der Free Software Foundation Europe (FSFE) zeigen.

Unsachgemäßes, kopfloses Vorgehen?

Da die Zeit drängte und die Entwicklung oder Einbindung von Alternativen wie dem Micro-G-Framework (siehe Kasten: „Micro G“) auf die Schnelle nicht möglich und zu teuer gewesen wäre, gingen datenschutzrechtliche Bedenken erst mal über Bord. Dies ist keine Spekulation, sondern vom Philosophen Julian Nida-Rümelin, stellvertretender Vorsitzender des Deutschen Ethikrats, auch klar als Forderung an Apps dieser Art formuliert (siehe Pressemitteilung). Allerdings geht in der Debatte unter, bei wem diese Daten landen: Alphabet und Apple. Die letzten Aktionen von Unternehmen unter der Alphabet-Holding, etwa Youtube, lassen erhebliche Zweifel aufkommen, ob ausgerechnet Google der Garant für einen fairen Umgang mit den gesammelten Daten sein kann. Der Akzeptanz dieser Apps, die im Fall der Covpass-App eine Hilfe im nicht ganz unkomplizierten Alltags sind, dürfte dies nicht zuträglich sein. Dies ist umso betrüblicher, da es durchaus anders hätte laufen können. Die Abspaltungen der freien Corona-Apps, also der Corona-Warn-App und der Covpass-App für Android, sind bereits Realität und vermeiden dabei die Google-Play-Services sowie die Übermittlung persönlicher Daten und verräterischer Metadaten an die Google-Server.

FSFE: Was diese Apps anders machen

Um den Sinn und die Wirksamkeit von Corona- Tracking-Apps soll es hier nicht gehen. Ohne Frage ist die Speicherung von Zertifikaten nach Covid19-Tests und digitalen Impfnachweisen eine nützliche Sache. Die FSFE hat anhand des Quellcodes von SAP und T-Systems auf Github Alternativen der Android-Apps ohne Google-Dienste entwickelt. Möglich ist dies durch einen Austausch proprietärer Google-Bibliotheken, auf welchen diese Apps aufbauen. Statt den Google-Play-Services liefern die FSFE-Apps das Micro-G-Framework mit, welches die API für Pushdienste und Ortsbestimmung abbildet beziehungsweise nur mit Schutzmechanismen nutzt, die eine Identifizierung des Geräts und Nutzers durch Google unterbindet. Für die Corona-Tracing-App hat der Entwickler des alternativen Frameworks die sogenannte „Exposure Notification“ in Micro G abgebildet, die einen Abgleich zu anderen Smartphones in der Nähe via Bluetooth vornimmt. Dies war dann der Auslöser für die FSFE, gleich eigene Forks der Apps zu entwickeln. Denn die Installation von Micro G auf Smartphones mit einem herstellerspezifischen Android oder auch einem Custom ROM ist mit Schwierigkeiten und Basteleien verbunden, die üblichen Smartphone-Nutzern nicht zuzumuten ist. Die alternativen Apps der FSFE liefern deshalb Teile von Micro G selbst mit, sind damit etwas größer und leeren nach unseren Tests auch den Akku eines Android-Geräts deutlich schneller – aber dafür arbeiten sie ohne Google-Dienste.

Installation der Apps in Android

Im regulären App Store von Google Play sind die FSFE-Apps nicht vertreten, dafür aber im App-Verzeichnis von F-Droid, das sich auf komplett freie Software für Android spezialisiert hat. F-Droid ist ein moderierter App Store, der Malware fernhält. Bei F-Droid gelingt das durch das stetige Neukompilieren aller neuen Apps aus deren offenen, einsehbaren Quellcodes. Es ist aber nicht notwendig, auf einem Android-Gerät den F-Droid-Store ebenfalls zu installieren. Die Corona-Warn-App und die Covpass-App der FSFE stehen auch als APK zum Download bereit. Diese Apps verlangen ein Android ab Version 6.0, also keine besonders aktuelle Version.

Standardmäßig ist die Installation von APK-Dateien in Android-Systemen aus Sicherheitsgründen nicht erlaubt.

Bevor dies funktioniert, muss unter Android unter „Einstellungen –› Anwendungen“ die Option „Unbekannte Quellen“ beziehungsweise „Installieren unbekannter Apps“ aktiviert sein. Die Apps selbst ähneln den ursprünglichen Corona-Apps von SAP und T-Systems, werden allerdings weniger Berechtigungen nach dem ersten Start abfragen müssen.

Micro G: Alternative zu Google Play

Damit die Corona-Warn-App funktionieren kann, benötigt sie Ortungsdienste, die in regulären Android-Versionen über die Google- Play-Services bereitgestellt werden.

Über diese Hintergrunddienste und APIs funktionieren auch Karten- und Navigationsapps sowie Pushdienste aller Art, welche Benachrichtigungen von App-Servern gezielt auf Smartphones senden. Zwar ist Android ebenfalls Open Source, die Bibliotheken der Google-Play-Services jedoch nicht: Anwender und Entwickler haben nicht die volle Kontrolle über diese Hintergrunddienste auf Android-Geräten und können diese auch nicht einfach abschalten oder deinstallieren. Gleichzeitig erlauben sie den großen Dienstleistern wie Google das Sammeln der Metadaten von Android-Geräten. Selbst wenn eine App den Inhalt von Nachrichten und Datenpaketen verschlüsseln sollte, kann Google über die Analyse der Metadaten Rückschlüsse auf das Kommunikationsverhalten ziehen und die Geräte natürlich auch permanent orten. Auch andere Anbieter wie Apple machen im wesentlichen nichts anderes. Datenschützern, Open-Source-Verfechtern, aber auch zunehmend gewöhnlichen Nutzern ist bei der Sache nicht mehr wohl.

Die derzeit stärkste Alternative zu diesen Diensten ist das erwähnte Micro-G-Framework. Es arbeitet zum einen als Zwischenschicht, die auf die Google Firebase mit einer Verschleierung der tatsächlichen Benutzer und deren Geräte zugreift. Gleichzeitig erfindet es einige kompatible APIs für Android-Apps ganz ohne Google-Server im Back-End neu, wie beispielsweise Unified-NLP zur Standortbestimmung per WLAN plus GPS. Auch die API für Karten und Navigation kommt ohne Google aus und benutzt stattdessen das mittlerweile brauchbare Open Street Map. Gleichzeitig lässt Micro G verschiedene Tracking- und Werbe-APIs ins Leere laufen: Diese stehen zwar auf einem Smartphone bereit, werden aber nicht mit Google verbunden. Micro G wird seit 2019 vom Bundesministerium für Bildung und Forschung gefördert. (PC-Welt)