Open-Source Tools

Die Corona Warn App als Open Source Software

/ von Karsten Reincke | Kommentar schreiben

Heu­te zeig­te sich die CWA — die Coro­na-Warn-App — der Öffent­lich­keit. Sie gibt ein posi­ti­ves Bild. Das sagen selbst Spie­gel und Welt. Die deut­sche Regie­rung woll­te sie als Open-Source-Soft­ware ver­öf­fent­li­chen, um die Akzep­tanz bei der Bevöl­ke­rung zu erhö­hen. Trotz­dem gibt es noch eini­ge Skep­sis. Ich möch­te ein paar spe­zi­el­le Beden­ken kom­men­tie­ren:

[ de | en ]
  • Gele­gent­lich höre ich, die Coro­na-Warn-App sei gar kei­ne ech­te Open-Source-Soft­ware. Denn sie nut­ze ja die nati­ven Goog­le-/An­droid- bzw. Apple-/iOS- Funk­tio­nen mit pro­prie­tä­ren Antei­len. Das zu behaup­ten, ist for­mal und inhalt­lich nicht adäquat:
    • Open-Source-Soft­ware ist, was unter einer Open-Source-Lizenz ver­öf­fent­licht ist. Und was eine Open Source Lizenz ist, ist von der Open-Source-Initia­ti­ve defi­niert. Die Coro­na Warn App wird nach­weis­lich unter der Apa­che-v2 Lizenz ver­öf­fent­licht.
    • Die ‚Open-Source-Haf­tig­keit‘ einer Soft­ware ist schon seit R. Stall­mann völ­lig unab­hän­gig davon, auf wel­chem (pro­prie­tä­ren) Betriebs­sys­tem sie läuft. Zu sei­ner frü­hen Zeit ging es noch um die Unix-Deri­va­te. Die kamen mit mehr oder min­der geschlos­se­nen Basis­bi­blio­the­ken daher und führ­ten die Open-Source-Soft­ware als Pro­zess aus. Wer Open-Source wirk­lich nur das nen­nen will, was in einem gänz­lich frei­en Stack von Open-Source-Soft­ware genutzt wird, schei­tert damit in der Regel schon am BIOS.
  • Zwei­tens sagen man­che, das Sys­tem sei nicht ver­trau­ens­wür­dig (weil eben doch Daten zur Regie­rung kom­men). Dem ste­hen die drei Prin­zi­pi­en der Offen­heit , Frei­wil­lig­keit und der Wah­rung der Anony­mi­tät ent­ge­gen:
    • Ich selbst ent­schei­de ja, ob ich die App instal­lie­re oder nicht. Wenn ich sie instal­lie­re, plot­tet die dar­un­ter lie­gen­de iOS-/An­droid-Funk­tio­nen per Blue­tooth mit, wel­che ande­ren Han­dies ‚in der Nähe‘ sind. D.h. auf mei­nem Han­dy ent­steht eine Lis­te der Iden­ti­fi­ka­to­ren der ande­ren Han­dys – aber eben nur auf mei­nem Han­dy. So, wie mei­ne Han­dy-ID umge­kehrt in den Lis­ten der ande­ren Han­dys auf­taucht.
    • Jeder kann anhand des offen geleg­ten Codes (Apps, Ser­ver, Veri­fi­ca­ti­on Sys­tem) alles über­prü­fen, ins­be­son­de­re, dass kei­nes der Pro­gram­me die­se Iden­ti­fi­ka­to­ren an Drit­te z.B. einen Regie­rungs­ser­ver wei­ter­gibt. Sie blei­ben auf dem ent­spre­chen­den Han­dy.
    • Ich selbst ent­schei­de außer­dem, ob ich, wenn ich erkran­ke, mei­ne Erkran­kung kund­tue. Wenn ich das tue, wird über einen Scan­code gewähr­leis­tet, dass ich nur als wirk­lich Getes­te­ter mein Ergeb­nis in das Sys­tem ein­ge­be.
    • Wenn ich mich oute, steht jedoch nur mein Han­dy­iden­ti­fier online zum Abruf bereit, nicht mei­ne Daten.
    • Fer­ner ent­schei­de ich selbst, ob ich mir mehr oder min­der regel­mä­ßig vom Ser­ver die Han­dy-Iden­ti­fi­ka­to­ren der Erkrank­ten abho­le und LOKAL auf mei­nem Han­dy mit den Han­dy-Iden­ti­fi­ka­to­ren mei­ner ‚Begeg­nun­gen‘ ver­glei­chen las­se.
    • Es gibt an kei­ner Stel­le eine Ver­knüp­fung mei­ner Per­so­nen­da­ten mit mei­nem Han­dy-Iden­ti­fier. Jeder kann im Code über­prü­fen, dass das Sys­tem das NICHT tut. Und die ein­zi­gen, die das sonst noch tun könn­ten, wären Apple und Goog­le. Dazu hät­ten sie aber bös­wil­lig Schad­code in ihre Basis­bi­blio­the­ken ein­bau­en müs­sen. Und mit der ame­ri­ka­ni­schen und/oder deut­schen Regie­rung ein gehei­mes tech­ni­sches Aus­tausch­sys­tem auf­set­zen müs­sen. Lie­be Ver­schwö­rungs­theo­re­ti­ker: Hät­ten die Fir­men das tun wol­len, gäbe es auf den Gerä­ten ein­fa­che­re, effek­ti­ve­re und kos­ten­güns­ti­ge­re Mög­lich­kei­ten, so etwas umset­zen.
  • Und schließ­lich ver­mu­ten eini­ge, die Coro­na Warn App wer­de spä­ter heim­lich und unter der Hand doch noch in ein staat­li­ches Tracking­sys­tem umge­baut.Das wird aber nicht funk­tio­nie­ren:
    • Der Quell­code steht öffent­lich zur Ver­fü­gung. Woll­te man also spä­ter eine ver­än­der­te ‚Ver­si­on‘ heim­lich in Ver­kehr brin­gen, müss­ten die Apps zuletzt doch wie­der in die offi­zi­el­len Stores ein­ge­pflegt wer­den – und zwar unter Wah­rung der offi­zi­el­len Release­num­mern.
    • Das wäre nicht geheim zu hal­ten: Irgend­je­mand wür­de bestimmt ein­mal die Apps aus dem offi­zi­el­len Repo kom­pi­lie­ren und – wenigs­tens von der Grö­ße her – mit den auf dem Han­dy instal­lier­ten ver­glei­chen. Gäbe es dort signi­fi­kan­te Abwei­chun­gen – und die wird es geben, wenn man in die gute Ver­si­on heim­lich gehei­men Schad­code ein­pfle­gen wür­de – gäbe es einen Auf­schrei.

Lan­ger Rede kur­zer Sinn: Wir dür­fen die­ser Arbeit ver­trau­en. Und wir soll­ten sie benut­zen. Das schützt unser Gesund­heits­sys­tem vor einer Über­las­tung (wäh­rend der 2. Wel­le).

Und in welchem größere Zusammenhang …

… steht die­ser Text? Nun, mein Leben ist ein­ge­bet­tet in freie Soft­ware, Natur und Musik. Manch­mal fin­de ich da absei­ti­ge­re Wege und Tools, die es trotz­dem wert sind, geteilt zu wer­den. Und sei es nur mit mei­nem ver­gess­li­chen zukünf­ti­gen ‘ich’. Dem ich ger­ne immer wie­der ein­mal ein Stra­to über die Shell ans Herz lege. Oder pas­send erwei­ter­te Edi­to­ren. Oder uralte Vor­ar­bei­ten. Manch­mal möch­te ich die­ses ‘ich’ aber auch nur an Hal­tun­gen, Stand­punk­te und Ein­stel­lun­gen erin­nern. Damit ich nicht hin­ter mich zurück­fal­le. Denn gesagt ist gesagt. Dar­um geht es auch in hier.

Im Übri­gen: Män­ner sind mit­ge­meint.

To top