← Harmonyli.ly – Harmonieanalysen für LilyPond | Atom unter Ubuntu 20.04 →
Die Corona Warn App als Open Source Software
Heute wurde die Corona-Warn-App veröffentlicht. Sie wird recht positiv aufgenommen, selbst bei Spiegel und Welt. Die deutsche Regierung wollte sie als Open-Source-Software veröffentlich, um die Akzeptanz bei der Bevölkerung zu erhöhen. Trotzdem gibt es noch einige Skepsis. Ich möchte ein paar spezielle Bedenken kommentieren:
- Gelegentlich höre ich, die Corona-Warn-App sei gar keine echte Open-Source-Software (weil sie ja die nativen Google-/Android- bzw. Apple-/iOS- Funktionen mit proprietären Anteilen nutze). Das zu behaupten, ist formal und inhaltlich nicht adäquat:
- Open-Source-Software ist, was unter einer Open-Source-Lizenz veröffentlicht ist. Und was eine Open Source Lizenz ist, ist von der Open-Source-Initiative definiert. Die Corona Warn App wird nachweislich unter der Apache-v2 Lizenz veröffentlicht.
- Die ‚Open-Source-Haftigkeit‘ ist schon seit Beginn der Arbeit von R. Stallmann völlig unabhängig davon, auf welchem mehr oder minder proprietären Betriebssystem (bei ihm damals das Unix) mit mehr oder minder geschlossenen Basisbibliotheken die Open-Source-Software dann als Prozess ausgeführt wird. Wer Open-Source wirklich nur das nennen will, was in einem gänzlich freien Stack von Open-Source-Software genutzt wird, scheitert damit in der Regel schon am BIOS.
- Zweitens sagen manche, das System sei nicht vertrauenswürdig (weil eben doch Daten zur Regierung kommen). Dem stehen die drei Prinzipien der Offenheit , Freiwilligkeit und der Wahrung der Anonymität entgegen:
- Ich selbst entscheide ja, ob ich die App installiere oder nicht. Wenn ich sie installiere, plottet die darunter liegende iOS-/Android-Funktionen per Bluetooth mit, welche anderen Handies ‚in der Nähe‘ sind. D.h., auf meinem Handy entsteht eine Liste der Identifikatoren der anderen Handies – aber eben nur auf meinem Handy. So, wie auch der Identifier meines Handies auf denen der anderen vermerkt wird.
- Jeder kann anhand des offen gelegten Codes (Apps, Server, Verification System) alles überprüfen, insbesondere, dass keines der Programme diese Identifikatoren an dritte z.B. einen Regierungsserver weitergibt. Sie bleiben auf dem entsprechenden Handy.
- Ich selbst entscheide außerdem, ob ich, wenn ich erkranke, meine Erkrankung kundtue. Wenn ich das tue, wird über einen Scancode gewährleistet, dass ich nur als wirklich Getesteter mein Ergebnis in das System eingebe.
- Wenn ich mich oute, wird jedoch nur mein Handyidentifier online zum Abruf bereitgestellt, nicht meine Daten.
- Ferner entscheide ich selbst, ob ich mir mehr oder minder regelmäßig vom Server die Handy-Identifikatoren der Erkrankten abhole und LOKAL auf meinem Handy mit den Handy-Identifikatoren meiner ‚Begegnungen‘ vergleichen lasse.
- Es gibt an keiner Stelle eine Verknüpfung meiner Personendaten mit meinem Handy-Identifier. Jeder kann im Code überprüfen, dass das System das NICHT tut. Und die einzigen, die das sonst noch tun könnten, wären Apple und Google, sofern sie böswilligen Schadcode in ihre Basibibliotheken eingebaut hätten und mit der amerikanischen und/oder deutschen Regierung ein geheimes technisches Austauschsystem aufgebaut hätten. Liebe Verschwörungstheoretiker: Wenn sie so etwas hätten tun wollen, hätten beide Firmen über die Services auf dem Gerät technisch viel einfachere, effektivere und kostengünstigere Möglichkeiten, so etwas umsetzen.
- Und schließlich vermuten einige, die Corona Warn App werde später heimlich und unter der Hand doch noch in ein staatliches Trackingsystem umgebaut.Das wird aber nicht funktionieren:
- Der Quellcode ist öffentlich zugänglich. Wollte man also später eine veränderte ‚Version‘ heimlich in Verkehr bringen, müssten die Apps zuletzt doch wieder in die offiziellen Stores eingepflegt werden – und zwar unter Wahrung der offiziellen Releasenummern.
- Das wäre nicht geheim zu halten: Irgendjemand würde bestimmt einmal die Apps aus dem offiziellen Repo kompilieren und – wenigstens von der Größe her – mit den auf dem Handy installierten vergleichen. Gäbe es dort signifikante Abweichungen – und die wird es geben, wenn man in die gute Version heimlich geheimen Schadcode einpflegen würde – gäbe es einen Aufschrei .
Langer Rede kurzer Sinn: Wir dürfen dieser Arbeit vertrauen. Und wir sollte sie benutzen, um unser Gesundheitssystem vor einer Überlastung (während der 2. Welle) zu schützen.