Chaos Computer Club fordert Moratorium für Luca-App

Luca-App
Statt auf die bundeseigene Corona-Warn-App setzen die Länder auf die viel kritisierte Luca-App und investieren Millionensummen – teils ohne öffentliche Ausschreibung. (Screenshot: Posteo)

Der Chaos Computer Club (CCC) hat dazu aufgerufen, keine Steuermittel mehr für die Luca-App zur Corona-Kontaktnachverfolgung auszugeben. Es seien eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt worden. “Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt”, teilte der CCC in einer Pressemitteilung am Mittwoch mit. Ein Team aus international renommierten Privacy- und Security-Forscherinnen und Forschern habe zudem schon früh vor verschiedensten Missbrauchspotenzialen des zentralen Ansatzes gewarnt.

Zuletzt hatten Datenschutz-Aktivisten auch Schwachstellen bei den Luca-Schlüsselanhängern entdeckt, die für Menschen ohne Smartphone gedacht sind. “Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren”, kritisierte Linus Neumann, Sprecher des Chaos Computer Clubs. Er verwies dabei auf Recherchen, die unter dem Titel “Lucatrack” veröffentlicht wurden. “Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit.”

Der CCC fordert nun ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs. Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbiete sich das Verbreiten ungeprüfter Software von selbst.

Die Macher der Luca-App räumten die Schlüsselanhänger-Schwachstelle ein, man habe diese Möglichkeit deaktiviert. Sie empfehlen jetzt, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen “böswilligen Missbrauch zu vermeiden”. Offensichtlich soll der Anhänger weiter vertrieben werden – und die Nutzer sollen selbst aufpassen, dass nichts passiert. Die Datenschutz-Aktivisten, die die Schwachstelle aufgedeckt hatten, empfehlen hingegen: “Alle Schlüsselanhänger, die von der Sicherheitslücke betroffen sind, sind fachgerecht zu entsorgen.”

Millionen Euro Steuergelder

Hip-Hop-Sänger Smudo von den “Fantastischen Vier” hatte monatelang für die Luca-App geworben.
Sie wird inzwischen in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, dem Saarland, Bayern, Sachsen-Anhalt und Hamburg aus Steuermitteln finanziert. Der CCC kritisiert, die Länder hätten diese Entscheidung getroffen, obwohl die App keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von “Contact Tracing”-Apps erfüllt. Die eingesetzten Mittel summieren sich nach Recherchen des Portals Netzpolitik.org bereits auf insgesamt 20 Millionen Euro. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Auch an dem Vergabeverfahren gibt es Kritik: Nur in Bayern gab es eine Ausschreibung, alle anderen Bundesländer verweisen auf Ausnahmen von den Vergaberegeln in Zeiten der Pandemie. In Thüringen, wo sich Ministerpräsident Bodo Ramelow (Linke) zunächst für Luca stark gemacht hatte, wurde eine landesweite Check-in-App letztendlich ausgeschrieben – unter anderem weil sich etliche Luca-Konkurrenten über Mauscheleien bei der Vergabe beschwert hatten. Rund 50 Start-ups bieten nämlich ähnliche Lösungen wie Luca an, müssen aber ohne ein populäres Aushängeschild wie Smudo auskommen.

Der CCC stört sich auch daran, dass das Geschäftsmodell von Luca zwar von der Allgemeinheit finanziert wird, aber die “Daten, App und Infrastruktur selbstverständlich in den Händen der privatwirtschaftlichen Betreiber” verbleiben würden. Die von den Ländern gekauften Lizenzen gelten nur für ein Jahr. Das sei genug Zeit, um die App zum “de-facto-Standard für Einlass-Systeme” zu machen. “Für die Zeit nach dem steuerlichen Geldregen hätten die Eigentümer schon heute ungenierte Pläne zur weiteren Kommerzialisierung der Kontaktverfolgung: Neben der Anbindung in Ticketing-Systeme hofft man auf breite Verbindung mit unterschiedlichen Geschäftsmodellen”, schreibt der CCC. Die Marke “luca” sei schon für Zwecke wie Besuchermanagement, gedruckte Eintrittskarten, sowie für die Reservierung von Tickets für Veranstaltungen und für wissenschaftliche Tagungen eingetragen. Mecklenburg-Vorpommern hat Luca im Rahmen der Infektionsschutzverordnung schon zur Pflicht gemacht. Dabei ist die App nicht einmal barrierefrei, laut des Deutschen Blinden- und Sehbehindertenverbandes schließe Luca Menschen mit Sehbehinderung von der Nutzung aus.

Warum die Politik nun mit Luca auf eine unsichere Lösung aus der Privatwirtschaft setze, obwohl mit der Corona-Warn-App bereits eine validierte, staatliche Anwendung bereit steht, bleibe unklar. “Die großzügige Verschwendung von Steuergeldern wird umso unverständlicher, weil die Landesregierungen damit in Konkurrenz zur dezentralen, datensparsamen und quelloffenen Corona-Warn-App gehen, die mit dem nächsten Update eine vergleichbare Funktionalität erhalten soll”, schreibt der CCC. Die vom Bund finanzierte Corona-Warn-App habe bereits eine breite Nutzungsbasis, sei aber nach einem erfolgreichen Start mehrere Monate lang nur stiefmütterlich weiterentwickelt worden.

Quellcode nun öffentlich

Die Kritiker der Luca-App aus dem Chaos Computer Club und zahlreicher anderer Organisationen hatten zunächst vor allem bemängelt, dass über Monate hinweg erarbeitete Grundsätze zur Verarbeitung von Daten einfach über Bord geworfen wurden: So werden bei der Luca-App beispielsweise Daten im Gegensatz zur anonymen Corona-Warn-App des Bundes zentral gespeichert. Dies wecke Begehrlichkeiten bei Strafverfolgungsbehörden und Geheimdiensten. Dieser Kritik schlossen sich der Hamburger Datenschutzbeauftragte Johannes Caspar an und die Berliner Datenschutzbeauftragte Maja Smoltczyk an.

Die Kritiker stellten auch in Frage, ob die Gesundheitsämter überhaupt in der Lage sind, die von Luca generierten Daten sinnvoll zu verwerten. Außerdem wurde bemängelt, dass die App nicht quelloffen (Open Source) entwickelt wurde.

Immerhin auf letzten Kritikpunkt haben die Macher der App nun (nach langer Wartezeit) reagiert: Am Donnerstag veröffentlichten sie den Quellcode ihres Systems zur Corona-Kontaktverfolgung nach eigenen Angaben vollständig unter einer Open-Source-Lizenz. Seit Mittwochabend ist der Code der beiden App-Versionen (Android und iOS) sowie des Backend-Systems auf der Plattform GitLab einsehbar.

IT-Experten hatten dies seit Monaten gefordert. Denn ohne den Quellcode konnte die Sicherheit der App nicht unabhängig validiert werden. Die Entwickler hatten der Veröffentlichung des Codes zunächst keine Priorität eingeräumt. (dpa / hcz)