Einfach auszutricksen, mangelnder Datenschutz: Ist die Kritik an der Luca-App berechtigt?
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/OFJHPFX5ANEK3MC3LPUNHJZP34.jpg)
Die luca-App war ein Hoffnungsträger auf mehr Normalität in der Pandemie. Doch die Kritik an den Fehlbarkeiten der App wird lauter.
© Quelle: imago/Scheiber/Eibner/RND-Montage Behrens
:format(webp)/s3.amazonaws.com/arc-authors/madsack/42b47400-4b20-443b-94a0-1805451f3683.png)
Ein Ende der Zettelwirtschaft und schnelle Lockerungen: Die Luca-App wurde lange als möglicher Heilsbringer in der Corona-Pandemie diskutiert. Von Datenschützern gab es viel Lob, Anteilseigner und Fanta-4-Rapper Smudo tingelte von „Anne Will“ zu „Maischberger“ und die papierlose Kontaktverfolgung versprach neue Hoffnung für regulierte Öffnungen. Sie sollte schaffen, woran die Corona-Warn-App bislang scheiterte: eine lückenlose Nachverfolgung von Kontaktketten.
Das Prinzip: Nutzer der Luca-App bekommen über einen QR-Code einen virtuellen Schlüssel auf ihr Smartphone – damit loggen sie sich etwa beim Restaurantbesuch oder beim Shoppen im Geschäft ein. Die Daten der Kunden werden in einer virtuellen Box gespeichert, das jeweilige Gesundheitsamt vor Ort hat darauf Zugriff. Wird dem Amt dann ein Corona-Fall gemeldet, gleicht das System ab, mit wem die infizierte Person in den vergangenen 14 Tagen Kontakt hatte, und informiert die betroffenen Geschäfte und Restaurants. Nach 14 Tagen werden die Daten gelöscht.
Böhmermann im Osnabrücker Zoo
Doch seit einigen Tagen steht die Luca-App vermehrt in der Kritik. Die zentralen Vorwürfe: mangelnde Datensicherheit, Urheberrechtsverletzungen und Intransparenz. Zuletzt hatte Jan Böhmermann den virtuellen Spielraum der App ausgereizt, wie unter anderem die „Märkische Allgemeine Zeitung“ berichtet.
Auf Twitter schrieb er am Dienstag: „Digitalisierung machts möglich: Ich habe mich soeben um 0.40 Uhr über diesen QR-Code mit der Luca-App als ‚Michi Beck‘ von Berlin aus im Zoo Osnabrück eingecheckt und verbringe jetzt eine Nacht virtuell in Gedanken bei Elefantenbaby Yaro.“ Alles, was er dafür brauchte, war ein Foto mit dem QR-Code des Zoos.
„Systeme können umgangen werden“
Und weil das so gut funktioniert hat, checkte der ZDF-Satiriker am Mittwochmorgen auch im niedersächsischen Modehaus Brörmann in Bohmte ein. „Ich stöbere jetzt ein wenig bei den Blusen und Jeans“, schrieb der 40-Jährige dazu. Und führte das zentrale Versprechen der App – belastbare Dokumentation von Anwesenheit – abermals ad absurdum.
„Natürlich können Systeme umgangen werden“, sagt Luca-Sprecher Markus Bublitz dazu und appelliert an die Eigenverantwortung der Nutzer. Ansonsten wären zu deutliche datenschutzrechtliche Eingriffe – wie verpflichtende GPS-Nutzung – notwendig, so Bublitz. Auf der Website hat das Unternehmen außerdem eine Stellungnahme zu „Nachts im Zoo von Osnabrück und danach im Modehaus in Bohmte“ veröffentlicht.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZBUMAKXIEVG55G5MXAL23UX25Y.jpg)
Die Pandemie und wir
Der neue Alltag mit Corona: In unserem Newsletter ordnen wir die Nachrichten der Woche, erklären die Wissenschaft und geben Tipps für das Leben in der Krise – jeden Donnerstag.
Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu.
Sensible Daten
Auch aus wissenschaftlichen Kreisen gibt es Kritik: In einer am 22. März veröffentlichten Analyse problematisieren IT-Experten der Eidgenössischen Technischen Hochschule Lausanne und der Radboud-Universität Nijmegen besonders den zentralisierten Aufbau der App. Im aktuellen Design sei der Back-End-Server die einzige Autorität, die Zugriff auf wichtige Systemfunktionen gewähre und verschiedenen Entitäten Rollen zuweise, heißt es in der Veröffentlichung. Das bedeutet, einfach gesagt: Wer den Server kontrolliert, hat auch die uneingeschränkte Macht über die Daten der Nutzer.
Wer hat sich wann und wo mit wem getroffen? Dass diese Frage nicht so unschuldig ist, wie sie auf den ersten Blick wirkt, ist den meisten nach den Big-Data-Diskussionen der vergangenen Jahre bewusst. Mit den entsprechenden Daten können persönliche Bewegungs- und Kontaktprofile erstellt werden. Im Fall von Daten, wie sie die Luca-App nutzt, ist dies sogar noch sensibler als ohnehin: „Das sind nicht nur Bewegungs-, sondern auch Gesundheitsdaten“, sagt Chaos-Computer-Club-Mitglied Sebastian Müller. Mit weiteren CCC-Mitgliedern hat er seine Bedenken nun auch in einem offenen Brief an das Sozialministerium Baden Württemberg formuliert.
Von Seiten des Unternehmens heißt es dazu, dass keinerlei Datenschutzprobleme bekannt seien. Sprecher Bublitz sagt: „Alle Daten werden Ende-zu-Ende verschlüsselt und sind nur im Infektionsfall von einem Gesundheitsamt einsehbar.“ Alle Nutzer würden über den Datenzugriff informiert werden und Daten würden von Beginn an nur dezentral von Gesundheitsamt, Einrichtung und Nutzer erzeugt werden, niemals vom Luca-System selbst.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/VNFIB3T2OVDWVMV3Q3YQBZEAZI.jpeg)
Unsichere TAN?
Sicherheitstechnisch sei auch der Einsatz von Schlüsselanhängern für Kunden ohne Smartphone mangelhaft, schreiben die „Norddeutschen Neuesten Nachrichten“ (NNN). Dem Rostocker Informatiker Roger Schmidt sei es gelungen nachzuweisen, dass auch mit einem nicht registrierten Schlüsselanhänger Zutritt etwa zu Läden möglich sei.
„Ich empfinde das Ganze als mehr als erklärungsbedürftig. Solch gravierende Sicherheitslücken dürfen nicht vorkommen“, wird Schmidt im Artikel zitiert. Außerdem sei die TAN-Nummer, mit der die hinterlegten Daten bestätigt werden, nicht sicher. Jede beliebige sechsstellige Zahl funktioniere zur Bestätigung. Dem widerspricht Luca-Sprecher Bublitz: „Die Eingabe eines beliebigen sechsstelligen Codes funktioniert nicht.“
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/2C5DA2NWDBD33MWHPZGCU7JBUY.jpg)
Quellcode
Auch der nach langem Bitten veröffentlichte Quellcode sorgte bei Programmierern vor allem für Kopfschütteln. „Was bisher an Softwarequelltext publiziert wurde, ist unvollständig, von fragwürdiger Qualität, teilweise gar unerlaubt von Dritten übernommen“, kritisiert etwa Digitaljournalist Markus Feilner im Onlinemagazin des Heise Verlags Telepolis. Auch Müller vom CCC bemängelt: „Es wurde nur die Android-Version veröffentlicht und die Serverinfrastruktur fehlt völlig.“
„Der Code wird schrittweise veröffentlicht, zunächst Android, Mittwoch folgt iOS und am Freitag der Servercode. Das Projekt war zunächst als private Initiative nicht als Open-Source-Anwendung gestartet, daher mussten wir uns in diesem Bereich beraten lassen“, sagt Luca-Sprecher Bublitz dazu.
Außerdem zeigte das Hackerkollektiv Zerforschung in einer Analyse, dass die Luca-App mit kopierten Codes gegen Lizenzbedingungen verstoßen haben dürfte. „Um es klar zu sagen: Wir haben einen Referenzierungsfehler gemacht, für den wir uns beim Autor sofort persönlich entschuldigt haben“, sagt Bublitz. Mittlerweile hat Luca gegengesteuert und einige Lizenzhinweise nachträglich aufgenommen.
Viel Geld ohne Ausschreibungen?
Als erstes Bundesland hat Mecklenburg-Vorpommern die Lizenz für das Luca-System gekauft, mittlerweile haben andere Bundesländer wie Brandenburg nachgezogen. Ausschreibungen seien trotz zahlreicher Konkurrenzprodukte auf dem Markt ausgeblieben, bis zu 10 Millionen Euro sollen bereits geflossen sein, behauptet Feilner.
Auch die Journalistin Eva Wolfangel schreibt auf Twitter zu ihrem „Zeit“-Artikel: „Mecklenburg-Vorpommern ist meines Wissens nach das einzige der Dataport-Trägerländer, das eine eigene Markterkundung gemacht hat. Haben elf Bundesländer Lizenzen der #LucaApp gekauft ohne Ausschreibung und auf Basis von online zusammenkopierten Textblöcken?“
„Es gibt klare gesetzliche Regeln zur Vergabe öffentlicher Aufträge. Diese müssen umfänglich von den zuständigen Behörden geprüft werden und sind rechtlich überprüfbar“, sagt Luca-Sprecher Markus Bublitz. „Im besonderen Verfahren der digitalen Kontaktnachverfolgung wurden umfangreiche Anwendungserfordernisse formuliert, die mehrere Bundesländer unabhängig voneinander geprüft haben. Offensichtlich erfüllte nur das Luca-System alle Standards und Anforderungen.“
Risikobewertung durch Experten
Die Check-ins der Luca-App werden an das Gesundheitsamt weitergeleitet. Anders als bei der Corona-Warn-App informiert dieses die Nutzer über mögliche Risikobegegnungen. „Das ist nicht ganz unproblematisch“, findet Müller vom CCC. „Denn die Menschen müssen manuell benachrichtigt werden. Das kostet Zeit.“ Auch werde zunächst nicht unterschieden, wie groß die Orte seien.
„Bei einem Zoobesuch ist es nicht sinnvoll, alle in die gleich Gruppe einzubuchen, weil die einen ins Affenhaus gehen und die anderen ins Aquarium“, sagt Müller. Aus Sicht des Unternehmens nimmt das Gesundheitsamt an dieser Stelle aber auch eine Risikobewertung vor. „Luca ist nicht dafür da, um alle Gäste automatisiert zu warnen. Es gibt immer eine fachliche Prüfung durch die Expertise der Ärzte der Gesundheitsämter, wann ein Datenzugriff erforderlich und geboten ist“, sagt Bublitz.
Corona-Warn-App rüstet nach
Die Corona-Warn-App des RKIs wird nachziehen und am 16. April eine Check-in-Funktion mit QR-Codes einführen. Dort werden die Daten anonymisiert und unterliegen staatlicher Kontrolle.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/L2RA5DVSRZBGDANM7PFO7CZ6FE.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/QMZCW5QGHVBYVEMZ5ZSJYCXMOQ.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/3W2UBW4GYBBKRBDWKAFZBBUOMA.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/VHF5GQI6SBF4TJHSUSXJB5IMZU.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZDN3252EUND7JJAPH7H42VWJPY.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/NXJ7JZFYFRDKHDPVHAEVI7KX7E.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/5D65JJ55TFCT7PP32KTUL4P3FY.png)