Öffentlicher Sektor und Verwaltungen

NHS Test and Trace: Die Entwicklung hinter der Covid-19 App

Text: Ian Bolland für Med-Tech News

7 Minuten Lesezeit

Am Tag nach dem Start der Covid-19-App des britischen nationalen Gesundheitsdiensts NHS zur Kontaktnachverfolgung für England und Wales sprach Wolfgang Emmerich, CEO von Zühlke Engineering, mit Ian Bolland über die Entwicklung hinter der App.

Nach dem Start wurde Emmerich in der britischen Tageszeitung The Times mit der Aussage zitiert, die App sei „wohl die beste der Welt”. Das ist etwas, was ihm nicht leicht über die Lippen kommt. Er verwies darauf, dass die App im Vergleich zu anderen Ländern die meisten Features hat und erwähnte die ‚Me features’ der App, über die Einzelpersonen Feedback über ihre Situation im Zusammenhang mit dem Virus zu geben können.

Emmerich erläutert: „Die Risikoeinstufung der App – ein Merkmal, das nicht viele andere Apps aufweisen – aktualisiert täglich, wie hoch die Infektionszahlen in den jeweiligen Postleitzahlengebieten sind. Daraus errechnen wir ein Risikoprofil und übermitteln es den Nutzenden auf die Startseite der App.”

Zühlke arbeitete eng mit dem Unternehmen Rush in Neuseeland, das die Anwendung dort entwickelt hatte, zusammen. Zühlke verwendete dann einen Teil des Codes wieder, um die Check-in-Funktion für Veranstaltungsorte und die Gastronomie für die britische App zu programmieren. Mit dieser Funktion können sich Nutzende an einem Ort anonym registrieren und ihre Anwesenheit zu einem gegebenen Datum und einer gegebenen Uhrzeit festhalten.

„Im Endeffekt entsteht ein Besuchstagebuch, das Du selbst aufgebaut hast”, erläutert Emmerich, „wenn Du ‚Über diese App‛ (‚About this app‛) und dann ‚Meine Daten verwalten‛ (‚manage my data') aufrufst, siehst Du die Liste Deiner Check-ins. Die Koordinaten, Namen und Adressen dieser Orte werden nur in der App gespeichert, aber da sind ja auch die Test- und Trace-Teams der beiden Gesundheitsdienste Public Health England und Public Health Wales. Und auf der Ebene der kommunalen Verwaltungen gibt es Benutzerschnittstellen, so dass die Leute benachrichtigt werden können, wenn ein Infektionsausbruch zu einem bestimmten Ort zurückverfolgt wurde”.

Emmerich führt das Beispiel an, dass es in einem Pub zu einem Ausbruch kommt und was Nutzende erfahren, wenn sie diesen Ort vorher aufgesucht hatten.

„Wenn ein bestimmter Pub mehrmals in Nachverfolgungen auftaucht, dann kann jede Person benachrichtigt werden, der zu einer bestimmten Uhrzeit oder später an dem jeweiligen Tag in dem Pub war. Hierzu werden die Koordinaten an alle Apps im Land gesendet, und die Apps vergleichen dann: ‚War ich dort?‛ oder ‚War mein_e Benutzer_in zu einer der angegebenen Zeiten an einem dieser Orte?‛

„Hier werden faktisch manuelle Kontaktverfolgung, die in unserem Land sehr gut funktioniert, und die digitale Kontaktverfolgung, die eine App leisten kann, miteinander verknüpft. Soweit ich weiß gibt es nicht viele Apps in Europa, die dieses Feature aufweisen können.

Ein weiteres Funktionsmerkmal haben wir so aufgebaut, dass Du durch einen Dialog geführt wirst und zum Schluss als Ergebnis siehst, ob Du möglicherweise infiziert wurdest. Du gibst Deine Symptome an und wirst gegebenenfalls zur Bestellung eines Tests weitergeleitet, was praktisch ein Sprung in das Buchungssystem ‚Test and Trace‛ ist. Was wir hier machen ist, dass wir den personalisierten Schlüssel mit der Bestellanforderung weiterleiten. So können wir positive Testergebnisse zuordnen und an die App-Nutzenden senden. Wir können den Nutzenden dann in der App auch nahelegen, sich in Selbstisolation zu begeben, wenn der Test positiv war.”

Beim Start der App gab es zunächst Schwierigkeiten. Die erste App wurde auf der Isle of Wight getestet, erhielt aber keine nationale Zulassung. Im März kam NHSX erstmals auf Zühlke Engineering zu mit der Bitte, das erste App-Projekt unabhängig zu prüfen und die technische Aufsicht zu übernehmen. Zühlke Engineering kam zu dem Schluss, dass die Entwicklung einer zuverlässigen App mit dem Ansatz, der für die erste App verfolgt worden war, nicht möglich war und empfahl eine Neuausrichtung.

Ab der dritten Juniwoche begann das Unternehmen die Arbeit an der aktuellen App, in der ersten Septemberwoche war die Entwicklung dann abgeschlossen. Die App ist als Medizinprodukt eingestuft und hat die CE-Kennzeichnung und die ISO 13485-Zertifizierung.

Emmerich erläutert, dass die erste App eine ähnliche Struktur aufweist wie die Apps in Singapur und Frankreich und ohne Einbindung von Apple und Google funktionierte. Er führt weiter aus, dass das gut funktioniert, wenn das Betriebssystem Bluetooth-Kommunikation unterstützt.

„Aus sehr gutem Grund hat Apple festgelegt, dass Bluetooth-Kommunikation für Apps, die im Hintergrund laufen, und für Mobiltelefone im Schlafmodus nicht möglich ist. Das Betriebssystem iOS schaltet die Bluetooth-Kommunikation aller Apps im Schlafmodus ab, was de fakto darauf hinausläuft, dass die App – mit Blick auf die Benutzerschnittstelle - gut funktioniert, wenn sie im Vordergrund läuft. Sobald aber in den Schlafmodus gewechselt wird oder Du eine andere App auswählst, hört die Bluetooth-Kommunikation auf.

Ergebnis des ersten Probelaufs auf der Isle of Wight war, dass die iPhone-App nur einen sehr kleinen Prozentsatz an Benutzenden ausfindig machte. Daraufhin wurde beschlossen, dass diese App nicht gut genug war.”

Grundsätzlich ist für die App nur ein schwaches Bluetooth-Signal nötig, und sie benötigt weder ein mobiles Telefonsignal noch GPS-Daten. Es gab ein paar Probleme bei Personen mit älteren Versionen des iOS. Sie konnten deshalb die App nicht herunterladen. Auf Apple Mobilteilen ist iOS 13.5 erforderlich. Auf Android-Geräten muss mindestens Version 6.0 installiert sein.

Emmerich ging auf den aktuellen Stand der Forschung in Bezug auf Personen ein, die ältere Mobilgeräte besitzen.

„Wir arbeiten gerade daran, einige Teile der App für ältere Mobilteile zur Verfügung zu stellen, damit sie mindestens einen Teil der Features nutzen können, wenn sie schon die Bluetooth-Kontaktverfolgung, die diese Exposure API voraussetzt, nicht nutzen können. Diese Nutzer können aber das QR Check-in nutzen und die Infektionsrisikostufe ihrer Postleitzahl nachsehen und einen Test bestellen. Wir arbeiten daran, diese Funktionen zur Verfügung zu stellen, aber im ersten Release sind sie noch nicht dabei.”

Die Sorge um Datenschutz und Sicherheit spielt oft bei denjenigen eine Rolle, die die App nur ungern herunterladen.

Emmerich führt aus, dass die App die Identität der Nutzenden nicht kennt, da sie sich ja keinen Account zulegen müssen – das heißt, E-Mail-Adresse und Telefonnummer werden nicht mitgeteilt. Die Arbeit, die in dieses Merkmal gesteckt wurde, fand das Lob von Forschern der Universität Oxford.

„Es ist bemerkenswert, dass nur sehr, sehr wenige personenbezogene Informationen verknüpft werden. Nur die erste Hälfte der Postleitzahl - das bezieht sich auf eine große Zahl von Einwohnern. Die Identität kann also nicht rekonstruiert werden.

Die gesamte Kommunikation, die zwischen dem Server, der grundsätzlich von der Regierung kontrolliert wird, und dem Mobiltelefon stattfindet, läuft über Verschlüsselungs-Codes, die den Nutzer identifizieren. Die API für Apple und Google ändert diese Codes täglich. Auch hier kann man keine Rückschlüsse auf Personen ziehen, weil die Codes so häufig geändert werden.

Weder Kontaktinformationen noch Angaben über den Aufenthaltsort verlassen das Telefon der Nutzenden. Sämtliche Kontaktspuren sind nur auf dem Telefon gespeichert, und das Telefon entscheidet, wenn es Schlüssel infizierter Benutzer erhält. Dann entscheidet es: ‚Gehört dieser Schlüssel zu Nutzenden, die ich getroffen habe oder in deren Nähe ich lange genug war?‛

Ähnlich werden die Koordinaten von Lokalen oder Veranstaltungsorten nur auf dem Telefon gespeichert. Wenn Public Health England Details über eine Infektion an einem Ort ausgibt, geht die App die Orte durch, an denen sich der Nutzer aufgehalten hat und prüft, ob jemand zum Zeitpunkt des Ausbruchs an einem dieser Orte war. Die sensiblen Daten verlassen also nie das Telefon der Benutzer.”

Ein weiterer Faktor, über den wir uns Gedanken machten, war ob QR-Codes geklont werden können – auch als „Atagging” bekannt, aber Emmerich weist dies als „nicht möglich” zurück.

„Die Arbeit, die wir gemacht haben, wurde vom National Cybersecurity Centre überwacht. Wir verschlüsseln die Daten, die im QR-Code kodiert ist. Das bedeutet in anderen Worten, dass wir die Daten im QR-Code beim Generieren des Codes digital signieren. Dann prüfen wir in der App, ob die digitale Signatur gültig ist.

England und Wales verwenden andere Apps als Nordirland und Schottland, und daher ist Zühlke gerade damit beschäftigt, einen Speicherort zu entwickeln, damit die Informationen zwischen den drei Apps und den vier Nationen ausgetauscht werden können.

Ansprechpartner für Großbritannien

Wolfgang Emmerich

Mitglied des Verwaltungsrats & Partner
Kontakt
Vielen Dank für Ihre Nachricht.