Corona Warn-App und luca-App (Foto: picture-alliance / Reportdienste, dpa | Kay Nietfeld)

Coronavirus

Immer wieder Kritik an der „luca“-App

STAND
AUTOR/IN

Dauerhaft raus aus dem Lockdown - das wollen wir alle. Eine Lösung schien die "luca"-App zu bieten - doch inzwischen gerät sie wegen verschiedener Sicherheitslücken immer wieder in Kritik.

Das System „luca“ zur Nachverfolgung von Kontakten wurde in den letzten Monaten recht prominent von Rapper Smudo von den Fantastischen Vier beworben. Denn hinter der Idee steckt nicht nur ein Berliner Startup, sondern auch eine Gruppe Kulturschaffender.

Inzwischen ist die App in vierzehn Bundesländern im Einsatz und wird dort von Gesundheitsämtern, der Gastrornomie und Kulturbranche genutzt. Gleichzeitig taucht im Internet aber auch immer mehr Kritik auf.

Aber worum geht's eigentlich?

So funktioniert „luca“

„Kontaktnachverfolgungs-System“ oder „App“ - in Berichten tauchen verschiedene Begriffe auf. Auf der Webseite des Unternehmens wird das so erklärt:

luca ist eigentlich nicht nur die App. luca ist nicht nur Kontaktdatenerfassung. luca ist ein komplettes System, das sowohl Nutzer:innen als auch Betreiber, Veranstalter und auch Gesundheitsämter unterstützt.

Das Prinzip funktioniert quasi über „Check-ins“. Nach dem Download der App trägt man zuerst seine persönlichen Daten ein, die dann verschlüsselt hinterlegt werden.

Wenn man sich mit Freund*innen oder der Familie trifft, wenn man zur Arbeit geht oder auch wenn man wieder ins Kino, Restaurant oder zu Veranstaltungen kann, soll man über das Scannen von QR-Codes "einchecken".

Wird eine Person positiv getestet, kann sie die sogenannte "Historie" für das zuständige Gesundheitsamt freigeben. Das soll Zeit sparen und entlasten. Die „Zettelwirtschaft“, die es letztes Jahr in Restaurants und Co. gab und bei der die Daten per Hand ausgewertet werden mussten, fallen damit weg.

Dabei werden zwar persönliche Daten hinterlegt (zum Beispiel eine verifizierte Telefonnummer, eine Besuchhistorie und ein Kontakttagebuch). Die Daten sollen aber laut den Machern zweifach verschlüsselt sein und nur weitergegeben werden, wenn sie aktiv freigegeben werden.

Außerdem wird erklärt, dass weder Veranstalter noch Betreiber von Restaurants und Co. die Daten auslesen können, sondern nur das Gesundheitsamt selbst. Nach spätestens vier Wochen sollen alle Check-ins gelöscht werden.

Neue Sicherheitslücke könnte Gesundheitsämter lahmlegen

Genau an der Stelle gibt es jetzt aber neue Kritik, denn der Sicherheitsexperte Marcus Mengs hat ein YouTube-Video veröffentlicht, in dem er demonstriert, wie man per Hackerangriff auf die "luca"-App in Gesundheitsämtern zum einen diese Daten vollständig einsehen und herunterladen, zum anderen im schlimmsten Fall das Gesundheitsamt auch komplett lahmlegen könnte - eine kurze Unaufmerksamkeit eines Mitarbeiters beim Wegklicken eines Warnhinweises könnte dafür ausreichend sein.

Auf diese Sicherheitslücke waren auch bereits vor einigen Wochen andere Experten gestoßen und hätten das Unternehmen darauf aufmerksam gemacht, auch die Medien hatten darüber berichtet. Laut Aussagen des Unternehmens sei ein solches Szenario "sehr unwahrscheinlich".

Luca-App: Die Frage nach dem Datenschutz und warum sich Jan Böhmermann nachts in einen Zoo einloggt

Rapper Smudo hat im SWR-Interview Vergleiche zur Kontaktdatenerfassung der letzten Monate gezogen. Bisher sei das so gewesen, dass man seine Daten auf Zettel geschrieben habe - was nicht sehr „datenschutzmäßig“ gewesen sei.

Auch einige Datenschutzexpert*innen haben sich am Anfang entspannt gezeigt und bestätigt: Zettel seien theoretisch tatsächlich weniger „sicher“ als die verschlüsselten Daten.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Stefan Brink, hat sich dazu in einer Pressemitteilung so geäußert:

Wir haben die App technisch und rechtlich geprüft. Die App erfüllt unsere hohen Datenschutz-Standards. Die Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte.

Das sehen aber nicht alle so. Theresa Stadler, Datenschutzforscherin von der Eidgenössischen Technischen Hochschule Lausanne, hat zum Beispiel gemeinsam mit Kolleg*innen einen Bericht vorgelegt, in dem sie den aktuellen Stand in Sachen Datenschutz noch kritisiert.

Sie findet unter anderem, dass bei dem System noch zu viele und zu sensible Daten gesammelt werden - auch solche, die nicht unbedingt notwendig seien. Außerdem würden die Daten bei einer zentralen Datenbank liegen, die theoretisch gehackt werden könnte. Und es hätte quasi jeder, der Zugang zu der Datenbank habe, auch Zugang zu den Daten.

Der "luca"-App-Sprecher Markus Bublitz soll sich zu den Bedenken gegenüber dem ZDF direkt geäußert haben:

Hier möchten wir drauf hinweisen, dass dies bei quasi jeder Browser- oder App-Nutzung theoretisch möglich ist. Missbrauch durch den Anbieter ist gesetzlich geregelt und im Fall eines Verstoßes auch strafbar.

IT-Expert*innen hatten auch noch eine weitere Sicherheitslücke entdeckt und in einer Analyse dokumentiert: Die Bewegungshistorie im Luca-Schlüsselanhänger (für Menschen ohne Smartphone) soll schlecht geschützt gewesen sein und konnte von Fremden ausgelesen werden, wenn es möglich war, den QR-Code einzuscannen. Ein Foto vom Anhänger soll dafür gereicht haben. Dadurch konnten unter Umständen Bewegungsprofile erstellt oder einzelne Personen in Echtzeit verfolgt werden. Die Sicherheitslücke soll mitterweile geschlossen sein.

Auch an der Sache mit den QR-Codes gibt es inzwischen Kritik: Ein User behauptet auf Twitter zum Beispiel, sich an beliebigen Orten einchecken zu können, ohne wirklich dort zu sein.

Satiriker Jan Böhmermann hat nachgelegt und behauptet, sich über ein Foto von einem QR-Code nachts in einem Zoo eingeloggt zu haben:

Digitalisierung machts möglich: Ich habe mich soeben um 0:40 Uhr über diesen QR Code mit der LucaApp als "Michi Beck" von Berlin aus im Zoo Osnabrück eingecheckt und verbringe jetzt eine Nacht virtuell in Gedanken bei Elefantenbaby Yaro. Würde sagen, die App funktioniert! https://t.co/JdsTEOnvVW

Der Datenschutzbeauftragte von Baden-Württemberg hat die Aktion in Anbetracht der aktuellen Corona-Situation kritisiert. Die Macher der App haben mitgeteilt, dass das System zwar "missbräuchlich genutzt" werden könnte - das Einloggen unter falschen QR-Codes im Zweifel aber nur dazu führen würde, dass man sich einmal mehr testen lassen muss.

Zusammengefasst: Es gibt einige Kritikpunkte, zu denen die Stellungnahmen der Entwickler teilweise auch keine befriedigenden Antworten geben - einige Sicherheitslücken sollen aber bereits geschlossen worden sein. In der Politik treffen verschiedene Meinungen zur App aufeinander und auch Sicherheitsexperten und Datenschutzbeauftragte sind sich nicht einig. Die neueste Entwicklung dazu dürfte sein, dass sich 70 deutsche IT-Forschende in einer gemeinsamen Stellungnahme (die der ZEIT Online vorliegt) zu dem System geäußert haben. Darin soll es heißen, man habe sich bei der Debatte um die bundesweite Corona-App vor einem Jahr auf vier Grundprinzipien geeinigt: "Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung". Diese Prinzipien würde "luca" laut den Expert*innen aktuell nicht erfüllen.

🔝 Meistgelesen

  1. Rap 6ix9ine gehackt: Penis-Bild auf Spotify

    Der Spotify-Account von 6ix9ine wurde gehackt. Zu sehen waren Anspielungen an verfeindete Rapper und ein Penis ...  mehr...

  2. WTF?! Hausparty total eskaliert: Feiernde greifen Polizisten an

    Die Polizei versucht eine Party mit 500 Feiernden aufzulösen. Auf einmal fliegen Steine und Flaschen. Jetzt eskalieren alle.  mehr...

  3. Wertheim

    WTF?! Wertheim: Jäger erschießt aus Versehen zwei Pferde

    Ein Mann im Main-Tauber-Kreis will Wildschweine jagen - und tötet Pferde. Wie kann denn das passieren?  mehr...

  4. Fußball Haaland!!! So viel wert wie kein anderer

    Fußball-Star Erling Haaland ist der wertvollste Spieler der Welt. Er lässt sogar Mbappé und Kane hinter sich.  mehr...