Um noch mal auf die eigentliche Frage zurückzukommen, warum das denn so lange dauert:
Hier nochmal ein anderer Heise-Artikel, der die Generierungen der diversen Tokens beschreibt. Da steckt also ganz schön viel Krypto-Zeug drin, um die App möglichst sicher im Sinne des Datenschutzes zu machen bzw. vor allem, um zu verhindern, dass ein Bewegungsprofil von Personen erstellt werden kann.
Und da kann ich aus eigener Erfahrung sagen: wenn man sich nicht täglich mit solchen Fragen rund um Sicherheit/Authentifizierung/Tokens beschäftigt, dann ist das erst mal ein ganz schöner "Brainfuck" sich da einzudenken. Ging mir jedenfalls so, als ich mal eine spezfische OAuth2-Implementierung eines Anbieter (Auth0) in Delphi umsetzen musste. Und das ist ja noch relativ einfach im Vergleich zu dem, was da in der App gemacht werden soll.
Insofern braucht man also relativ schnell gute Leute, die sich in dem Bereich gut auskennen und das schneller hinbekommen, oder man braucht einfach mehr Zeit. Und zertifiziert und getestet soll das Ganze ja auch noch werden.