Viele Bundesländer wollen mit der Luca-App zur Kontaktnachverfolgung eine Rückkehr in die Normalität ermöglichen. Ist das ein guter Plan? Die Kritik wird jedenfalls lauter.
Stuttgart - Wenn die Inzidenzwerte sinken, sollen auch Geschäfte und Kneipen wieder öffnen – auch mithilfe digitaler Kontaktverfolgung. Immer mehr Bundesländer wollen das mit der App Luca ermöglichen und kaufen Lizenzen der Anwendung, die ein Unternehmen aus Berlin entwickelt hat; zu den Investoren gehören die Fantastischen Vier.
Fanta-4-Rapper Smudo, der die App massiv bewirbt, wird nicht müde zu betonen, dass Luca Teil einer Öffnungsstrategie sein soll. Die App soll dabei die Zettelwirtschaft in Restaurants ablösen – und die Gesundheitsämter entlasten, denen die Daten bei Bedarf digital geliefert werden sollen. Kritiker befürchten jedoch, dass mit Luca die Überlastung der Gesundheitsämter weitergetrieben wird, erst recht, wenn alles wieder öffnet.
So werden erste Stimmen laut, die Ämter aus dem Prozess zu nehmen. Warum nicht alles über eine anonyme und datenschutzfreundliche App steuern wie die Schweizer App NotifyMe, die das Einchecken in Geschäfte oder Restaurants per QR-Code ermöglicht – nur: Im Unterschied zu Luca werden die Daten nicht beim Anbieter gespeichert, sondern lediglich auf den Mobiltelefonen. Sie gehen auch nicht ans Gesundheitsamt, stattdessen werden die Nutzer direkt von der App gewarnt. Damit dies ausreicht, müssten die Coronaverordnungen der Länder geändert werden: Dort wird unter anderem bis jetzt festgelegt, dass die Betreiber von Lokalen und Geschäften Kontaktdaten der Besucher vorliegen haben und im Zweifelsfall an das Gesundheitsamt weitergeben müssen.
Eine entsprechende Änderung wäre möglich und sinnvoll, sagt Malte Engeler, Rechtswissenschaftler und Richter am Schleswig-Holsteinischen Verwaltungsgericht: „Würde man die Verordnungen ändern, dann wäre ein System wie die Corona-Warnapp datenschutzrechtlich deutlich besser als die Luca-App.“ Zumal die Verordnungen für Luca ohnehin geändert werden müssten. So müsste sichergestellt werden, dass die Daten auch digital erhoben werden dürfen und dem Betreiber selbst nicht vorliegen müssen. „Es wäre nur ein kleiner weiterer Schritt, um zu sagen: Sparen wir uns den Umweg über die Gesundheitsämter, und bauen wir ein System, das die Nutzer direkt warnt“, sagt Engeler.
Seit die Betreiber der Luca-App den Code veröffentlicht haben, hagelt es zudem Kritik von Sicherheitsforschern, die immer wieder Schwachstellen finden. Aktuell bemängeln Experten, dass die Sicherheitslücke „Luca-Track“ es ermögliche, die Check-in-Historie einzelner Nutzer der letzten 30 Tage nachzuverfolgen. Vieles deute auf „konzeptionelle Mängel“ ebenso wie eine „unsaubere Programmierung der Software“, hin, schreiben Mitglieder des Chaos Computer Clubs Freiburg an die Landesregierung Baden-Württemberg und fordern sie auf, „den Einsatz nochmals zu überdenken“.
Viele Fehler lassen sich wohl ausmerzen, doch die meisten Fachleute sind sich darin einig, dass die Architektur der App an sich das größte Sicherheitsrisiko darstellt. Die Taskforce der Datenschutzaufsichtsbehörden des Bundes und der Länder hat den Gesetzgeber aufgefordert zu prüfen, „inwieweit mit datensparsameren Verfahren das Ziel der Kontaktnachverfolgung im Rahmen der aktuellen Pandemiebekämpfung erreicht werden kann“. Schließlich sei insbesondere die zentrale Speicherung der Daten in der Luca-App riskant, im Fall des Zugriffs Unbefugter könne eine „schwere Beeinträchtigung für die Einzelnen und das Gemeinwesen“ entstehen.
Welche Risiken von der Luca-App ausgehen, wurde an der Eidgenössischen Technischen Hochschule Lausanne (ETHL) analysiert. Das Urteil fällt vernichtend aus. So wurde dem System ein „hohes Missbrauchsrisiko“ attestiert, da alle Daten zentral auf Luca-Servern gespeichert würden. „Wenn diese zentrale Instanz böswillig handelt, kompromittiert oder genötigt wird, könnte der Server vollen Zugriff auf die Kontaktdaten und den Standortverlauf jedes einzelnen Benutzers erhalten.“
Das System sei so konstruiert, dass der Server in Echtzeit beobachten könne, wie viele Besucher wie lange bei einer Veranstaltung gewesen seien und wie viele dort später positiv getestet wurden. Die Information, dass eine Person positiv getestet wurde, könnte mit Metadaten, zum Beispiel der IP-Adresse, zusammengeführt werden. Dadurch würden „pseudonymisierte Nutzerprofile“ entstehen, bei denen Namen durch Codes ersetzt werden. Wenn viele Informationen zusammenkommen, könne auf die realen Personen geschlossen werden.
Solche Informationen sind für Kriminelle, für Geheimdienste und Unternehmen interessant. Damit könnten Einzelne oder Gruppen überwacht werden – gerade dann, wen sie sich bei politischen oder religiösen Veranstaltungen einchecken, heißt es in der Studie. Auch die zweifache Verschlüsselung dieser Daten sei angreifbar. Damit werden gleich mehrere potenzielle Schwachpunkte benannt, wie die Luca-Sicherheitsarchitektur umgangen werden kann.
Selbst der von den Luca-Machern beauftragte Sicherheitsdienstleister ERNW kritisiert das zentrale Konzept in seinem veröffentlichten „Penetrationstest“. So sei die Verschlüsselung grundsätzlich gefährdet, „wenn ein Anbieter die Clients und große Teile der Infrastruktur kontrolliert, wie es in der Luca-Umgebung der Fall ist“. Den Benutzern bliebe nichts anderes übrig, als der App zu vertrauen, dass diese keine Software nutze, die „die entschlüsselten Daten ausliest – und dass sie eine transparente und nachvollziehbare Schlüsselverwaltung implementieren“.
Auf Anfrage sendeten die Luca-Macher ein mehrseitiges Statement: Man sei sich einiger der Probleme bewusst, heißt es – auch, dass der zentrale Server eine wichtige Rolle in dem System spielt. Allerdings seien die Daten darauf nicht von einer Partei alleine zu entschlüsseln. Das reicht nicht, findet die Technikanalystin Carmela Troncoso. Schließlich soll die App die Bewegungsdaten von Millionen Deutschen verarbeiten. „Für die Entscheidung über eine App, die die ganze Bevölkerung betrifft, ist eine öffentliche Debatte essenziell.“
