Start-up wehrt sich: IT-Sicherheitsforscher kritisieren Kontakterfassungs-App Luca

Berlin – Die Luca-App und das angeschlossene System für die digitale Kontakterfassung in Restaurants und Geschäften bekommen noch mehr Gegenwind. 77 Kryptologen und IT-Sicherheitsforscher der wichtigsten Einrichtungen und Universitäten in diesen Bereichen kritisieren das System in einer gemeinsamen Erklärung. Sie sprechen sich zwar deutlich für digitale Werkzeuge für die Kontakterfassung aus, Luca eigne sich dafür jedoch nicht.

Unter den Erstunterzeichnern sind Forscher des neuen Instituts Code der Universität der Bundeswehr, der Ruhr-Universität Bochum und des CISPA Helmholtz Center for Information Security. Die IT-Experten erinnerten an einen öffentlichen Brief aus dem vergangenen Jahr zur Entwicklung von Corona-Apps. In dem Schreiben hatten mehr als 600 internationale Wissenschaftler von ihren Regierungen die Einhaltung von vier grundlegenden Entwicklungsprinzipien (Siehe Kasten) gefordert.

Das Urteil der IT-Sicherheitsforscher: „Das bereits in vielen Bundesländern eingesetzte Luca-System erfüllt keine dieser Prinzipien.“ Die Corona-Warn-App der Bundes erfülle diese Anforderungen dagegen „größtenteils vorbildlich“, so die Experten. Die Entscheidungsträger, sollten sich erneut auf diese Prinzipien besinnen.

20 Millionen Euro Steuergelder

Ein Großteil der Bundesländer hat bereits Lizenzen für das Luca-System gekauft und es an ihre Gesundheitsämter angeschlossen. Dafür sollen mehr als 20 Millionen Euro Steuergelder an die Firma geflossen sein. An einigen Orten ist die Luca-App Voraussetzung für den Zutritt.

Die App soll die Kontaktnachverfolgung in Geschäften und Restaurants erleichtern und verbessern. Den Nutzen nannten die Forscher allerdings „zweifelhaft“. Sie kritisierten, dass Luca zwar die bisher ausliegenden Papierlisten für Kontaktdaten digitalisiere, die Auswertung jedoch weiterhin bei den Gesundheitsämtern und ihren Angestellten liege. Die Luca-Hersteller versprechen jedoch, dass ihr System die Ämter entlaste.

Die Wissenschaftler sehen dagegen die Gefahr, dass die Belastung für die Ämter durch Luca zunehme, während die Qualität der Daten abnehme. Das liege daran, dass mit Luca „falsche oder gar manipulierte Anmeldungen und Check-Ins leicht und in großer Zahl erzeugt werden“ könnten. Unter anderem hatte der Satiriker Jan Böhmermann gezeigt, wie leicht Nutzer sich per Luca mit falschen Daten an weit entfernten Orten anmelden können. Die mit Luca „verbundenen Risiken erscheinen völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen“, urteilten die Forscher.

Massives Missbrauchspotenzial

Die App erfasse Bewegungs- und Kontaktdaten „in großem Umfang“. Dass diese Daten zentral bei einem privaten und gewinnorientierten Unternehmen gespeichert werden, berge ein massives Missbrauchspotenzial. Außerdem seien selbst große Unternehmen nicht in der Lage, ihre System vor Angriffen zu schützen. Dem Start-up hinter Luca, die Firma Nexenio, traue man das nicht zu und verwies darauf, dass das Unternehmen „bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen“ sei.

Patrick Hennig, Gründer von Nexenio, wies die Kritik auf Nachfrage zurück. Er sagte, dass Luca die vier angesprochen Entwicklungsprinzipien erfülle: „Mit dem Luca-System stehen wir zu 100 Prozent hinter den Themen Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung und sehen dies als Grundvoraussetzung für ein System zur Kontaktdatenübermittlung.“ Unter anderem habe das Unternehmen mittlerweile offengelegt, wie das Programm funktioniere. Andere Forscher hätten den Nutzen der App bestätigt. In einem Interview mit unserer Redaktion hatte Hennig Kritikern bereits vorgeworfen, eine Agenda für dezentrale Datenerfassung zu verfolgen, wie sie die Corona-Warn-App des Bundes bietet. „Egal, wie wir es machen, es wird uns immer vorgehalten“, sagte Hennig auf die Frage, ob zu wenig über das Gute an Luca gesprochen werde.

Hunderttausende Entlassungen

Wie Corona den Arbeitsmarkt erschüttert

Airtags und Co.

Was Apple-Fans bei der Keynote erwartet

Mit seinem M1-Chip will Apple unabhängiger von Zulieferern werden und leistungsfähigere Geräte entwickeln. Bislang gab es ihn nur in den Laptops des Konzerns.

Das Finanzministerium hatte mit Kosten von bis zu rund 70 Millionen Euro für die Corona-Warn-App kalkuliert. Dass die Bundesländer nicht stärker auf das bereits aus Steuergeldern bezahlte Programm setzen, liegt vor allem an den Corona-Verordnungen. Diese lassen dezentrale und anonyme Lösung nicht zu, weil die Gesundheitsämter personenbezogene Daten bekommen sollen.

Das ist bisher vor allem durch Papierlisten gelöst worden. Allerdings hatten Restaurantgäste immer wieder falsche oder unlesbare Angaben gemacht, sodass diese Lösung vor allem Aufwand aber wenig Nutzen brachte. Als Reaktion darauf sollte die Kontaktnachverfolgung digitalisiert und verbessert werden. Zahlreiche lokale Anbieter hatten dafür Apps entwickelt, doch Luca setzte sich immer mehr durch.

Fernsehauftritte des Musikers Smudo, der über die Firma Culture4life an Luca gewinnbeteiligt ist, hatten im Winter für viel öffentliche Aufmerksamkeit gesorgt. Mitbewerber werfen der Politik vor, Luca haben die Zuschläge nicht wegen des besten Systems bekommen, sondern durch den Promibonus des Musikers der Fantastischen Vier.