Digitale Lösungen, wie Kontaktnachverfolgung-Apps können dazu beitragen die Pandemie zu bewältigen und Bürgern und Bürgerinnen eine Rückkehr zum normalen Leben zu ermöglichen. In ganz Europa haben Regierungen viele Millionen Euro in Kontaktnachverfolgung-Apps investiert – mit gemischtem Erfolg, wie unsere Forschungen berichten. So auch in Deutschland mit der Corona-Warn-App. Da diese App jedoch anfangs keine Clustererkennung oder Eventregistrierungsfunktion besaß kam es zur Entwicklung der Luca App. Was ist die Luca-App? Wie funktioniert sie und welche bedenken gibt es bei ihrer Verwendung? Diese und weitere Fragen werden in diesem Artikel beantwortet.

Was ist die Luca-App? Wer hat die Anwendung entwickelt und warum?

Die Luca App wurde 2020 entwickelt, um durch Kontaktdatenverwaltung und Kontaktnachverfolgung mögliche COVID19-Infektionsketten zu brechen. Als im Frühjahr 2021 bundesweit Geschäfte, Restaurants und Veranstaltungsorte aufgefordert wurden, die Kontaktdaten Ihrer Gäste zu sammeln bot sie Besitzer/-innen eine scheinbar gute, effiziente und Datenschutzfreundlichere Alternative zu der bis dato verwendeten Kontaktnachverfolgung mit Stift und Zettel.

Damit überzeugten die Entwickler der Luca App viele politische Entscheidungsträger. Bis September 2021 hatten 13 Bundesländer, nämlich Baden-Württemberg, Bayern, Berlin, Brandenburg, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Rheinland-Pfalz, Saarland, Sachsen-Anhalt und Schleswig-Holstein, gegen Beiträge von insgesamt mehr als 21 Millionen Euro ihre Luca Lizenzen erworben. Im Laufe des Frühjahrs 2021 hatten die meisten dieser Bundesländer im Infektionsschutz, alle Rechtsanpassungen vorgenommen, um manuelle Kontaktdatenerfassung durch Luca ersetzen zu können.

Hinter dem Projekt stehen zwei Firmen: neXenio GmbH hat die Luca App entwickelt, und culture4life GmbH ist für die Vermarktung zuständig. Für die Medienaufmerksamkeit sorgte Smudo, Mitglied der Hip-Hop-Gruppe „Die Fantastischen Vier“. Laut Angaben des Luca-Teams haben sich bis heute mehr als 40 Millionen Bürger/-innen registriert und insgesamt mehr als 330 Millionen Check-ins getätigt.

Kontaktverfolgung in der Corona-Krise: Wie funktioniert die Luca-App?

Um die Luca App verwenden zu können müssen sich Luca Nutzer/-innen mit ihrem Namen und ihren Kontaktdaten anmelden. Beim Betreten eines Restaurants oder eines Veranstaltungsortes können Nutzer/-innen einen QR-Code scannen, den die Veranstalter über die App generieren. Die Daten der Gäste werden beim Check-in verschlüsselt und auf den zentralen Servern des Luca-Systems gespeichert.

Die Kontaktdaten werden doppelt verschlüsselt: einmal auf dem Smartphone der Nutzer/-innen mit dem Schlüssel der Gesundheitsbehörde und ein zweites Mal beim Check-in am Veranstaltungsort mit dem Schlüssel des jeweiligen Veranstalters. Damit soll verhindert werden, dass sich sowohl das Luca-Team als auch Veranstalter einseitig unverschlüsselte Daten verschaffen können. Luca Nutzer/-innen die positiv auf COVID getestet wurden, können dem Gesundheitsamt die Liste aller Orte mitteilen, an denen sie sich in den vorausgegangenen 14 Tagen aufgehalten haben. Daraufhin kann das Gesundheitsamt beim Veranstalter die Kontaktdaten aller Besucher/-innen anfordern, die zur selben Zeit anwesend waren. Diese können dann die angeforderten Kontaktdaten freigeben und entschlüsseln. Zu diesem Zeitpunkt sind die Kontaktdaten noch mit dem Schlüssel des Gesundheitsamtes verschlüsselt, sodass weder Veranstalter noch das Luca-Team die Kontaktdaten in unverschlüsselter Form sehen können. Nach Erhalt können die Gesundheitsämter die Kontaktdaten schließlich vollkommen entschlüsseln.

Es obliegt der Gesundheitsbehörde, eine zentrale Warnung an alle betroffenen Benutzer/-innen auszulösen. Dies weicht vom dezentralen Ansatz der Corona-Warn-App (CWA) ab, wo betroffene Benutzer/-innen direkt nach Vorlage verifizierter positiver Testergebnisse gewarnt werden, ohne dass eine zentrale Regierungsstelle eingreifen muss.

Hat die Luca-App ihr Versprechen gehalten?

Gesundheitsbehörden haben berichtet, dass Luca für sie nicht sehr hilfreich ist. In einer Umfrage von der Nachrichten Website netzpolitik.org gaben nur 3 von 137 Gesundheitsämtern an, dass sie Luca regelmäßig nutzen. Als Gründe gegen eine regelmäßige Nutzung wurden schlechte Datenqualität, Irrelevanz der erhaltenen Daten, schlechten Kundensupport und allgemeine Arbeitsüberlastung genannt. Viele Gesundheitsämter berichten, dass sie kaum mit von Restaurants bereitgestellten Kontaktdatenlisten arbeiten. Infolgedessen ließen die meisten Bundesländer Ihre Verträge mit Culture4Life auslaufen lassen.

Luca-App Probleme

Seit ihrem Release war die Luca App von technischen Problemen und Sicherheitslücken geplagt. Fast jede Woche wurden neue Verstöße und andere Probleme gemeldet. Hier nur einige Beispiele:

Deanonymisierung: Forscher/-innen der Universität EPFL in Lausanne haben schon im Frühjahr 2021 auf Sicherheitslücken hingewiesen: Zum Beispiel, dass Nutzer/-innen bei einem Check-in nicht nur verschlüsselte Kontaktdaten an Luca’s Server schicken, sondern auch andere Informationen, wie zum Beispiel die IP-Adresse. Hacker könnten theoretisch anhand dieser Daten rekonstruieren welche Person sich hinter der Nutzer-ID verbirgt und nachverfolgen, wo sich diese Person in den vergangenen zwei Wochen eingecheckt hat. Außerdem kritisierten die Forscher/-innen, dass so viele sensible Daten zentral auf einem Server gespeichert sind, was im Falle eines Hackerangriffs gefährlich sein könnte.

Mangel an Transparenz: Als die Hersteller der Luca-App den Quellcode nach starkem Druck der Online-Community endlich veröffentlichten, verwendeten sie eine äußerst restriktive Lizenz, die es jedem untersagte, den Code in öffentlichen Netzwerken zu duplizieren, zu teilen oder anderweitig zu vervielfältigen. Damit machten die Hersteller eine kritische Analyse des Codes praktisch unmöglich. Auch wurde zur Luca App bis heute keine Datenschutz-Folgenabschätzung (DSFA) veröffentlicht, was nicht gut für Lucas Engagement für Transparenz spricht.

Unbefriedigende Schlüsselverwaltung: Die Datenschutzkonferenz (DSK) kritisierte im März 2021 das Verschlüsselungskonzept des Luca-Systems, insbesondere dass alle Gesundheitsämter die gleichen Schlüssel für die Entschlüsselung der Kontaktdaten besaßen. Dies barg das Risiko, dass „durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann. Ebenso ist es für die Veranstalterinnen und Veranstalter schwierig zu überprüfen, ob eine Anforderung zur Entschlüsselung berechtigt erfolgt, so dass sie dazu gebracht werden könnten, Daten ohne legitime Anforderung zu entschlüsseln. Ein erfolgreicher Angriff auf die Systeme der culture4life GmbH kann daher die Sicherheit des Gesamtsystems in Gefahr bringen.“ Die DSK bat das Luca-Team daher zu prüfen, ob die Funktionalitäten ihrer App in einem dezentralen System implementiert werden könnten.

Bewegungsprofile durch physische Schlüsselanhänger: Das Luca-Team bietet physische Schlüsselanhänger an, die mit aufgedruckten QR-Codes ausgestattet sind. Dies soll es ermöglichen, Menschen ohne Smartphones in Lucas digitale Kontaktnachverfolgung einzubinden. Eine Gruppe von IT-Experten/-innen wies jedoch darauf hin, wie Unbefugte diese physischen Schlüsselanhänger nutzen könnten, um Bewegungsprofile für einzelne Nutzer zu rekonstruieren. Da im Gegensatz zu den digitalen QR-Codes von Luca die physischen QR-Codes gleich bleiben, reicht ein Foto davon aus, um alle Check-Ins der letzten 30 Tage nachvollziehen zu können.

Code-Injection durch CSV-Dateien: Im Mai 2021 wurde eine Sicherheitslücke enthüllt, die es Hackern ermöglichte, Schadsoftware in die IT-Systeme der Gesundheitsbehörden einzuschleusen. Das Luca-Team hatte es versäumt, die Verwendung von Sonderzeichenin ihren Namensregistrierungsformularen zu deaktivieren. Dadurch konnten Benutzer Codes in CSV-Dateien programmieren. Wenn Gesundheitsbehörden diese CSV-Dateien mit Microsoft Excel öffnen könnten Kontaktdaten gelöscht oder aus dem System der Gesundheitsbehörde extrahiert oder Ransomware installiert werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat diese Sicherheitslücke in einer öffentlichen Stellungnahme bestätigt und das Luca-Team dafür verantwortlich gemacht.

Diese und zahlreiche weitere Sicherheitsprobleme veranlassten viele Experten, sich zu Wort zu melden: mehr als 70 führende deutsche IT-Sicherheitsforscher veröffentlichten einen offenen Brief, in dem sie Luca scharf kritisierten und eindringlich vor dessen Anschaffung und Nutzung warnten. In dem Brief schrieben sie, dass Luca keinen der vier Hauptprinzipien verantwortungsvoller Kontaktnachverfolgung-Apps erfülle: Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. Der Chaos Computer Club (CCC) forderte für Luca eine „Bundesnotbremse“.

Was hält die Zukunft für die Luca App bereit?

Inzwischen haben die Gesundheitsämter die Kontaktverfolgung eingestellt, damit ist die Luca App überflüssig geworden. Das Luca-Team hat daraufhin jetzt entschieden, der App zwei neue Funktion zu geben. Benutzer/-innen können in der neuen Version der App Ihren Personalausweis auf Ihr Smartphone speichern und beim Eingang eines Restaurants oder einem Veranstaltungsort diesen zur gleichen Zeit wie den Impfnachweis aufzeigen, was dazu dienen soll die Wartezeit beim Einchecken zu verringern. Außerdem wird man bald mit der Luca App in Restaurants, Cafés und Bars bezahlen können.

Photocredits:

Clay Banks/Unsplash.com
Ashkan Forouzani/Unsplash.com
Ashkan Forouzani/Unsplash.com
Mufid Majnun/Unsplash.com