Warum die „Smudo-App“ gar nicht fantastisch ist

Per App in der Bar, im Restaurant, im Sportverein einchecken und im Infektionsfall gewarnt werden: Das ist das Versprechen der Luca-App und des Luca-Schlüsselanhängers. Der Regierende Bürgermeister von Berlin empfiehlt sie, ohne die technischen Details zu kennen. Bayern zahlt 5,5 Millionen Euro für eine Jahreslizenz. Und immer mehr Bundesländer ziehen nach, wenn es darum geht, die Kontakte von Bürgerinnen und Bürgern per Luca-App zu verfolgen. In die Röhre gucken dabei aber nicht nur wir, die wir überwacht werden sollen, sondern auch andere App-Anbieter. Das gemeinsame Unbehagen hat mehrere Gründe.

1. Risiko: der zentralistische Ansatz

Anders als bei der Corona-Warn-App werden die Luca-Daten auf einem zentralen Server gesammelt. Im Fall eines Angriffs auf den Server wären dann Bewegungsprofile von mehreren Millionen Deutschen sichtbar. Im schlimmsten Fall könnten die (privaten) Betreiber vollen Zugriff auf Kontaktdaten und Standortverlauf jeder einzelnen Nutzerin bekommen. Außerdem könnte z.B. ein positives Testergebnis mit Metadaten zusammengebracht werden. So entsteht ein immer detailliertes Nutzerprofil, das letztendlich mit einer realen Person verknüpft werden kann. Im schlimmsten Fall könnten so einzelne Menschen und/oder Gruppen überwacht werden, z.B. bei politischen oder religiösen Veranstaltungen. Schon fordern erste Politiker, auch Demonstrationsteilnehmer.innen per Luca-App zu registrieren.

Auch der Chaos Computer Club (CCC) steht der Luca-App mehr als kritisch gegenüber. Auf seiner Website schreibt er: „Das zentralisierte Luca-System speichert alle Daten bei den Betreibern und ermöglicht dadurch ein Monitoring sämtlicher Check-in-Vorgänge in Echtzeit. Das gilt auch für jene Check-ins, die in der App als ‚privat‘ gekennzeichnet sind. Die Betreiber scheuen auch nicht davor zurück, in diese Treffen aktiv einzugreifen und sie beispielsweise zu löschen.“

2. Die Sache mit dem Schlüsselanhänger

Wer kein Smartphone hat oder keine Lust auf die App, kann sich mit dem Schlüsselanhänger einloggen. Der hat einen individuellen QR-Code aufgedruckt, der von der Barbesitzerin, dem Restaurantchef oder der Sportwartin gescannt wird. Die Daten werden ins zentrale System gespeist. Stellt sich heraus, dass eine positiv auf Covid-19 getestete Person zur selben Zeit im Restaurant war, soll das Gesundheitsamt auf die Daten zugreifen und die Träger.in des Schlüsselanhängers telefonisch informieren können.

Vor kurzem haben unabhängige Expert.innen eine besonders große Schwachstelle entdeckt. Darüber hätten Fremde die Bewegungsdaten von Personen auslesen können, die sich per Schlüsselanhänger eingecheckt haben – und zwar sowohl 30 Tage in die Vergangenheit als auch in Echtzeit.

Laut App-Betreiber soll der Fehler behoben worden sein. Bis dahin aber war die App schon mehr als drei Millionen heruntergeladen und an vielen Orten genutzt worden. (Stand 10. April 2021)

3. Datenschutz: Note mangelhaft

Warum  die Luca-App nicht geil ist ©K. Schwahlen 2021Auch der Chaos Computer Club bemängelt „eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung“ und wirft dem Hersteller „… grundlegenden Mangel an Kompetenz und Sorgfalt“ vor. Immerhin gehe es um „hochsensible Gesundheits- und Bewegungsdaten“. Die Software sei von den Ländern nicht geprüft worden, und trotzdem würden einige Bundesländer ihre Bürger.innen zur Nutzung verpflichten, um am öffentlichen Leben teilnehmen zu können. Deswegen fordert der CCC den sofortigen Stopp und Aufklärung über die Vergabe.

4. Virtual Reality – und was ist mit dem Gesundheitsamt?

Wie groß das Missbrauchspotenzial ist, hat ZDF-Moderator Jan Böhmermann vorgemacht, und Tausende machten es nach: Einfach den QR-Code eines Modehauses bzw. des Zoos in Osnabrück scannen und sich über Luca einloggen. Obwohl er gar nicht vor Ort war. Genauso wenig wie seine Twitter-Follower.innen.

Wäre eine positiv getestete Person dabei gewesen (und hätte die Luca-App es gewusst), dann wäre noch mehr Arbeit auf die Gesundheitsämter zugekommen: Denn an ihnen liegt es weiterhin, die Kontaktpersonen abzutelefonieren und sie ggf. zum PCR-Test bzw. in Quarantäne zu schicken. Eine Aufgabe, die sie bisher schon nicht optimal erfüllen. Fake-Accounts machen es dann nur noch schwieriger. Und ob sie digitale Besuchslisten schneller abarbeiten können als analoge, bleibt dahingestellt. Bisherige Erfahrungen zeigen, dass die Nachverfolgung nur bis zu einer Inzidenz von 50 leistbar ist. Aktuell (17. April 2021) liegt die bundesweite 7-Tage-Inzidenz bei 160,68.

In der Schweiz haben Forscherinnen und Forscher das Protokoll Crowdnotifier entwickelt, mit dem Kontakte bei Events, Restaurantbesuchen, Feiern und ähnlichem verfolgt werden können. Nutzer.innen checken sich per QR-Code ein, ihre Daten werden verschlüsselt auf dem eigenen Gerät gespeichert. Gibt eine Person nach einem positiven Test ihren Schlüssel frei, werden alle anderen, die zu selben Zeit am selben Ort waren, per App gewarnt. Die Gesundheitsämter sind entlastet.

5. Eine App für alle(s)?

Luca soll in den meisten Bundesländern Teil der Öffnungsstrategie während der Corona-Pandemie werden. Mecklenburg-Vorpommern hat den Einsatz in der aktuellen Impfverordnung vorgeschrieben, und auch in Berlin wird die App seit 17. April vom Senat empfohlen.

Viele Kommunen haben Schlüsselanhänger angeschafft und verteilen sie an Bürgerinnen und Bürger. Selbst Kita- und Schulkinder sollen sie bekommen. Für IT-Sicherheitsexperten.innen ein Gräuel.

Doch eins ist klar: Wird Luca flächendeckend eingeführt, wird ein privates Unternehmen die Bewegungsdaten von Millionen Deutschen verarbeiten. Diese Entscheidung wurde bisher in keiner Weise öffentlich debattiert.

6. Alternativlose Auftragsvergabe

Warum  die Luca-App nicht geil ist ©K. Schwahlen 2021Auch wenn immer mehr Datenschutzbeauftragte vor den Risiken der App warnen, kaufen Politiker.innen munter weiter und tun so, als gäbe es keine anderen Möglichkeiten. Bisher haben die Bundesländer mehr als 20 Millionen Euro Steuergelder für Jahreslizenzen ausgegeben – ohne Ausschreibung, wie es gesetzlich vorgeschrieben ist.

Dabei übersehen sie wissentlich das Bündnis „Wir für Digítalisierung“, in dem sich mehr als 30 Programmierer.innen, Startups, Interessensgemeinschaften und Verbände zusammengeschlossen haben und an unterschiedlichen Kontaktverfolgungsapps, aber mit einem Ziel arbeiten. „Es muss egal sein, mit welcher App ein Betrieb digitale Kontaktdaten erfasst. Wichtig ist, dass das Gesundheitsamt über eine einheitliche, offene Schnittstelle darauf zugreifen kann.“

Warum das Vergaberecht nicht eingehalten wurde, hat die Redaktion von ZEIT ONLINE beim Ministerium für Energie, Infrastruktur und Digitalisierung in Mecklenburg-Vorpommern nachgefragt. Das Verfahren würde mehrere Monate dauern, deswegen habe man ausnahmsweise darauf verzichtet, lautete die Antwort. Und: „Die Recherche über vergleichbare Alternativen habe … auf online verfügbaren Quellen basiert und ergeben, ‚dass das Luca-System zu diesem Zeitpunkt die beste verfügbare technische Lösung war.‘“

Die anderen App-Anbieter widersprechen: Weder habe das Ministerium mit ihnen Kontakt aufgenommen noch auf Anfragen reagiert. Informationen seien falsch oder unvollständig von der Website abgeschrieben worden.

Inzwischen sind erste Vergabereklamationen im Wirtschaftsministerium von Mecklenburg-Vorpommern eingegangen. Die Vergabekammer muss prüfen, ob der mit Luca geschlossene Vertrag möglicherweise nichtig ist.

Doch das scheinen nicht die einzigen Ungereimtheiten zu sein. Laut Recherchen von ZEIT ONLINE wurde möglicherweise versucht, Vergabeprozesse zu umgehen. So habe Benjamin Hoff, Chef der thüringischen Staatskanzlei, bereits im November 2020 an Luca-CEO Hennig gemailt, „… dass man die Vergabe an Luca unter dem Gesichtspunkt prüfe, “dass die von Ihnen entwickelten Innovationen derzeit (…) am Markt voraussichtlich nicht verfügbar sind.”

Auch der Geschäftsführer der Digitalagentur Thüringen habe bei Hennig interveniert mit dem Ziel, “die Voraussetzungen für eine Nichtnotwendigkeit einer öffentlichen Ausschreibung sattelfest zu bekommen.” Daraufhin habe Hennig schriftlich bestätigt, dass es außer seiner Luca-App keine vergleichbare Lösung auf dem Markt gäbe. Ein Anbieter, der sich selbst bestätigt, der einzige zu sein? Was läuft da zwischen Politik und Betreiber?

7. Public Money, private benefit?

Und dann gibt es ja auch noch die Corona-Warn-App (CWA), ebenfalls mit Steuergeldern finanziert, aber eben dezentral, datensparsam und mit offenem Quellcode. Bis Mitte April 2021 ist die CWA 27 Millionen heruntergeladen worden. Mit dem kurz nach Ostern 2021 veröffentlichten Update hat sie erweiterte Funktionalitäten bekommen und ermöglicht nun ebenfalls Kontaktverfolgung, aber anonym. Hier wurde im Vorfeld lang und öffentlich diskutiert. Erinnern wir uns an die Argumente vor allem des Chaos Computer Clubs und vieler anderer Organisationen, die sich mit Datenschutz beschäftigen. Selbst Google und Apple sprachen sich für eine dezentrale Struktur aus, so dass bis heute die Daten der Nutzer.innen nur auf ihren Smartphones, nicht aber auf einem zentralen Server gespeichert werden.

Bei der Luca-App bleiben Daten, App und Infrastruktur bei den privatwirtschaftlichen Betreibern. Ein Schelm, wer Böses denkt, wenn Smudo die App bewirbt. Muss man doch wissen, das der Musiker mit mehr als 22 Prozent am Unternehmen beteiligt ist.

Es hat auch bestimmt nichts zu bedeuten, dass die Unternehmer ihr Produkt „Luca“ bereits für weitergehendes Ticketing als Marke haben eintragen lassen, z.B. für „Zutrittskontrolle, Besuchermanagement, gedruckte Eintrittskarten, sowie für die Reservierung von Tickets für Veranstaltungen, insbesondere für Kultur- und Sportveranstaltungen, politische Veranstaltungen, Veranstaltungen für Bildungs- und Fortbildungszwecke und für wissenschaftliche Tagungen“. (Quelle: Chaos Computer Club)

Wir stellen uns nicht die Frage, ob Politiker.innen sich – ähnlich wie beim Maskenskandal – persönliche Vorteile davon versprechen, wenn sie die umstrittene Luca-App promoten und verpflichtend einsetzen. Wir sehen mehr, dass hier durch das Marketing von Smudo ein unheiliger Sog entstanden ist. Nach wie vor denken wir, dass uns in der Corona-Pandemie keine App retten wird. Im Gegenteil können uns solche in Digitaltechnik gegossenen Fetische sogar in falscher Sicherheit wiegen, die Ansteckungen nach oben treiben und sowieso schon überlastete Gesundheitsämter mit viel zu vielen unnützen Daten fluten.

Quellen

Kann diese App den Lockdown überflüssig machen? Vicky Isabelle Bargel, Zeit online, 4.3.21, abgerufen 17.04.21, 15:05 Uhr

Corona-App: Warum wollen plötzlich alle Luca? Eva Wolfangel und Jakob von Lindern. Zeit online, 1. April 2021, abgerufen 17.04.21, 21:06 Uhr

10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps. Chaos Computer Club, 06.04.21, abgerufen 17.04.21, 20:19 Uhr

Digitalcourage: Kriterien für vertrauenswürdige Apps, abgerufen 17.04.21, 20:21 Uhr

Digitale Kontaktverfolgung: Mehr als 20 Millionen Euro für Luca. Netzpolitik.org, 12.04.21, abgerufen 17.04.21, 20:26 Uhr

Sicherheitslücke nährt weitere Zweifel an Luca-System. Von Jakob von Lindern und Eva Wolfangel. Zeit online, 13. April 2021, abgerufen 17.04.21, 19:41 Uhr

Luca-App: CCC fordert Bundesnotbremse. Chaos Computer Club. 13.04.21, abgerufen 17.04.21, 19:54 Uhr

Konsum first, Datenschutz second. Bert Schulz, taz 14.04.21, abgerufen 17.04.21, 15:06 Uhr

Corona-Warn-App. abgerufen 17.04.21, 16.10 Uhr

Scan eines registrierten Schlüsselanhängers, abgerufen 17.04.21, 19.55 Uhr

Wir für Digitalisierung, abgerufen 17.04.21, 20:14 Uhr

Offener Brief des Chaostreffs Osnabrück: Wir fordern eine Anpassung der Niedersächsischen Corona-Verordnung, um pseudonyme Kontaktlisten mittels der Corona-Warn-App zu ermöglichen, abgerufen 17.04.21, 20:17 Uhr

Luca-Registerauskunft, abgerufen 17.04.21, 20:30 Uhr

Dieser Beitrag erschien zuerst im Blog von Digitalcourage e.V.