Das Symbol der Luca-App ist auf einem Smartphone zu sehen. Die App dient der Datenbereitstellung für eine mögliche Kontaktpersonennachverfolgung. Quelle: Christoph Soeder/dpa

Luca-App trotz anhaltender Kritik auf dem Vormarsch – Entwickler wehren sich gegen Boykottaufruf

Mit fulminanten Auftritten in TV-Talkshows von „Maischberger“ bis „Anne Will“ hat der Rapper Smudo von den Fantastischen Vier die Luca-App in den vergangen Wochen als digitales Tool gegen die Corona-Pandemie ins Gespräch gebracht. Viele Zuschauer ließen sich von dem Musiker und seinem Konzept überzeugen. Mit der App schnell einchecken und so mögliche Infektionsketten unterbinden: Mehr als vier Millionen Menschen haben inzwischen die Anwendung auf ihr Smartphone heruntergeladen. Doch die Kritik, vor allem in Sachen Datenschutz, wächst.

„Bundesnotbremse“ für Luca-App

Zuletzt hat die Hackervereinigung Chaos Computer Club (CCC) eine „Bundesnotbremse“ für die Luca-App gefordert. Zuvor war eine Sicherheitslücke bei den für Menschen ohne Smartphones angeschafften Luca-Schlüsselanhängern bekannt geworden. „Wer den QR-Code scannt, kann nicht nur künftig unter ihrem Namen einchecken, sondern auch einsehen, wo sie bisher so waren“, bestätigte CCC-Sprecher Linus Neumann die unter dem Namen Luca Track veröffentlichte Sicherheitslücke. „Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit.“

Die Entwickler der Luca-App widersprechen den Aussagen, dass es sich hierbei um eine Schwachstelle handelt. „Im vorgeworfenen Beispiel hat ein Dritter sich Besitz über einen Schlüsselanhänger verschafft. Daher konnte der Angreifer die Historie dieses einen Schlüsselanhängers herausfinden, jedoch nicht die Kontaktdaten. Wir haben zur Sicherheit diese Möglichkeit abgeschaltet“, so Luca-App-Chef Patrick Hennig auf Anfrage des RedaktionsNetzwerk Deutschland (RND). „Wir empfehlen, den Schlüsselanhänger vertraulich aufzubewahren. Die Daten der Nutzer sind weiterhin nur vom Gesundheitsamt entschlüsselbar.“

Quellcode im Internet veröffentlicht

Die Kritiker der Luca-App aus dem Chaos Computer Club und anderen Organisationen störten sich zunächst vor allem daran, dass Daten im Unterschied zur anonymen Corona-Warn-App des Bundes zentral gespeichert werden. Dies wecke Begehrlichkeiten bei Strafverfolgungsbehörden und Geheimdiensten. Die Skeptiker stellen auch infrage, ob die Gesundheitsämter überhaupt in der Lage sind, die von Luca generierten Daten sinnvoll zu verwerten.

Die Entwickler der Luca-App haben inzwischen darauf reagiert und den Quellcode ihres Systems zur Corona-Kontaktverfolgung vollständig unter einer Open-Source-Lizenz veröffentlicht. Seit Mittwochabend ist der Code der beiden App-Versionen (Android und iOS) sowie des Backendsystems auf der Plattform Gitlab einsehbar. Er kann damit nun von unabhängigen Stellen überprüft werden. Man wolle eine transparente Analyse und Weiterentwicklung der Software ermöglichen, erklärte die Culture 4 life GmbH, das Unternehmen hinter dem Luca-System.

In welchen Bundesländern wird die Luca-App bereits aktiv genutzt?

Es gibt derzeit Vereinbarungen mit 13 Bundesländern, darunter Baden-Württemberg, Bayern, Hessen, Saarland, Rheinland-Pfalz, Niedersachsen, Hamburg, Bremen, Brandenburg, Berlin, Mecklenburg Vorpommern, Bayern und Sachsen-Anhalt. 189 Gesundheitsämter sind bereits aktiv, 59 befinden sich in der Einrichtung. Bis Ende April sollen 300 angebunden sein, wie Firmenchef Patrick Hennig dem RND sagte.

Die vielen Nutzer setzen auf Luca, um der fragwürdigen Zettelwirtschaft bei Restaurantbesuchen und anderen Events ein Ende zu bereiten, wo man sich bislang in der Regel in Papierlisten eintragen musste. Die Infektionsschutzverordnungen der Bundesländer begnügen sich nämlich nicht mit der anonymen Erfassung von Risikobegegnungen, wie sie von der Corona-Warn-App des Bundes geleistet wird. Die Gesundheitsämter sollen im Zweifelsfall auf die kompletten Kontaktdaten zurückgreifen können, um die Infektionsketten zu erkennen und unterbrechen zu können.

Kontaktlisten keine Alternative

Die Zettelwirtschaft ist in mehrfacher Hinsicht problematisch. Zum einen haben sich etliche Gäste mit Fake-Identitäten wie „Donald Duck“ und falschen Telefonnummern eingetragen. Datenschützer bemängelten, dass die Listen teilweise offen einsehbar rumlagen und die Privatsphäre der Besucher nicht geschützt wurde. Und nicht nur die Aktivisten des Chaos Computer Clubs störten sich daran, dass die Besucherlisten in manchen Bundesländern auch von der Polizei konfisziert wurden, um gewöhnliche Kriminelle zu verfolgen.

Die Luca-App versucht, diese kritischen Punkte aus der analogen Kontaktverfolgung zu vermeiden. Zwar kann man sich bei der Check-in-App des Berliner Start-ups Nexenio auch als Comicfigur eintragen. Aber bei der Angabe der Mobiltelefonnummer ist Mogeln nur schwer möglich, weil diese mit einer SMS validiert wird. So wüssten die Gesundheitsämter immerhin, unter welcher Nummer sie „Donald Duck“ erreichen können. Wie leicht es ist, das System zu täuschen, demonstrierte TV-Star Jan Böhmermann.

Entwickler kritisieren Böhmermann-Aktion

Der ZDF-Moderator forderte seine Fans per Twitter auf, sich per QR-Code im Zoo Osnabrück einzuchecken. Er wollte mit seiner Störaktion beweisen, wie manipulationsanfällig die Luca-App ist, weil die Anwendung nicht überprüft, ob die Nutzer beim Einchecken tatsächlich vor Ort sind. „Die Pandemie ist eine gesellschaftliche Aufgabe und kein Wettrennen, Systeme zu missbrauchen“, sagte Luca-App-Chef Patrick Hennig. Das Unternehmen ordne diese Aktion als Satire ein, sonderlich sinnvoll seien solche Maßnahmen aber nicht.

In dem Fall wurde der Check-in-Code des Zoos veröffentlicht. „Natürlich kann dann jemand einchecken. Dies lässt sich nur durch eine Überprüfung der Standortdaten oder des Personalausweises verhindern. Beide Mittel stehen unserer Einschätzung absolut nicht im Verhältnis“, schreibt Patrick Hennig auf RND-Nachfrage weiter. Die Macher der Luca-App versprechen, dass die Einträge nur im Infektionsfall von den Gesundheitsämtern eingesehen werden – und das auch nur, wenn die Anwender dem zustimmen. Das Verfahren sei durch eine doppelte Verschlüsselung abgesichert.

Bundesweite Einigung steht aus

Als erstes Bundesland ließ sich Mecklenburg-Vorpommern von dem Konzept überzeugen, auch um den Bewohnern und Gästen ohne langes Warten eine Öffnungsperspektive bieten zu können. Eine bundesweite Einigung auf eine Check-in-App steht allerdings noch aus. In Thüringen hingegen wurde eine landesweite Check-in-App anderer Länder ausgeschrieben – auch weil sich etliche Luca-Konkurrenten über angebliche Tricksereien bei der Vergabe beschwert hatten. Rund 50 Start-ups bieten nämlich ähnliche Lösungen wie Luca an, müssen aber ohne ein populäres Aushängeschild wie Smudo auskommen. Auch Nordrhein-Westfalen und Sachsen haben sich noch nicht entschieden.

Die Luca-App wird vorwiegend aus Steuermitteln finanziert. Die eingesetzten Mittel summieren sich nach Recherchen des Portals Netzpolitik.org auf insgesamt 20 Millionen Euro. Das Unternehmen bestätigte auf RND-Nachfrage einen zweistelligen Millionenbetrag. Dieses Geld werde für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Wird die Luca-App zur Pflicht werden?

„Es wird immer ein freiwilliges Angebot der Gesundheitsämter bleiben, so wurde es immer kommuniziert und so wird es auch bleiben. Ich glaube, das ist auch gar nicht nötig, wir kriegen so viel positives Feedback, dass einfach viele mitmachen möchten“, so Firmenchef Patrick Hennig im Gespräch mit dem RND. „Die Standorte haben natürlich Hausrecht und könnten auch auf eine Papierliste bestehen. Ich glaube, es wird keinen Betreiber geben, der ernsthaft die Luca-App verpflichtend machen wird.“

Von Marcus J. Pfeiffer/RND