Update 14.04.21, 09.18 Uhr
Chaos Computer Club fordert: «Keine Steuermittel mehr für Luca-App».
Die europäische Hackervereinigung Chaos Computer Club (CCC) hat gefordert, keine Steuermittel mehr für die Luca-App zur Corona-Kontaktnachverfolgung auszugeben. Club-Sprecher Linus Neumann verwies am Mittwoch auf eine «nicht abreißende Serie von Sicherheitsproblemen» bei dem Luca-System.
Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind. «Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren», kritisierte Neumann. Er verwies dabei auf Recherchen, die im Netz unter dem Titel «Lucatrack» veröffentlicht wurden. «Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit.»
Der Entwickler der App, das Berliner Start-up neXenio, räumte ein, «dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten». «Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.»
Die Macher der Luca-App empfahlen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen «böswilligen Missbrauch zu vermeiden».
Die Luca-App, für die unter anderem Hip-Hop-Sänger Smudo von den «Fantastischen Vier» geworben hatte, wird in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg aus Steuermittel finanziert. Die eingesetzten Mittel summieren sich nach Recherchen des Portals Netzpolitik.org auf insgesamt 20 Millionen Euro. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.
Der Chaos Computer Club forderte ein «umgehendes Moratorium» beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten durch den Bundesrechnungshof überprüft werden. Niemand dürfe gezwungen werden, die App zu verwenden, um am öffentlichen Leben teilzunehmen. «Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbietet sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst.»
dpa
14.04.21, 07.37 Uhr
Trotz Kritik an der Luca-App empfiehlt das Sozialministerium den Menschen in Baden-Württemberg, die Technik zur Kontaktverfolgung bei Corona-Infektionen zu nutzen.
«Die Luca-App ist einer von vielen wichtigen Bausteinen, um die Corona-Pandemie zu bekämpfen», sagte ein Sprecher in Stuttgart. Wichtig sei für das Land vor allem, dass die Nutzung der App auf allen gängigen Smartphones möglich und für alle Bürgerinnen und Bürger sowie die teilnehmenden Betriebe kostenlos sei. Zudem erfülle die App die hohen Anforderungen des Datenschutzes, so der Sprecher. Das habe der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg dem Ministerium gleich zweimal bestätigt.
Luca versucht, der Zettelwirtschaft bei Restaurant-Besuchen und anderen Events ein Ende zu bereiten, bei denen man sich bislang in der Regel in Papierlisten eintragen musste. Zwar kann man sich bei der Check-in-App des Berliner Start-ups Nexenio auch unter falschem Namen eintragen. Aber bei der Angabe der Mobiltelefonnummer ist Mogeln nur schwer möglich, weil diese mit einer SMS bestätigt wird. So wüssten die Gesundheitsämter immerhin, wie jemand erreichbar ist.
Die Macher der Luca-App versprechen, dass die Einträge nur im Infektionsfall von den Gesundheitsämtern eingesehen werden – und das auch nur, wenn die Anwender dem zustimmen. Das Verfahren sei durch eine doppelte Verschlüsselung abgesichert. Unter anderem hatte Smudo von den Fantastischen Vier die App beworben.
Hintergrund ist unter anderem, dass die Corona-Warn-App des Bundes nicht so stark genutzt wird wie von der Politik erhofft und dass die Infektionsschutzverordnungen der Bundesländer sich nicht mit der anonymen Erfassung von Risiko-Begegnungen begnügen. Gesundheitsämter sollen im Zweifelsfall auf die kompletten Kontaktdaten zurückgreifen können, um Infektionsketten zu erkennen und zu unterbrechen.
Kritiker der Luca-App etwa aus dem Chaos Computer Club bemängelten unter anderem, dass Daten im Gegensatz zur anonymen Corona-Warn-App des Bundes zentral gespeichert werden. Dies wecke Begehrlichkeiten bei Strafverfolgungsbehörden und Geheimdiensten. Außerdem seien die Macher nicht sauber mit Lizenzen sogenannter Open-Source-Komponenten umgegangen. ZDF-Moderator Jan Böhmermann wollte zudem zeigen, wie manipulationsanfällig die Anwendung ist, weil sie nicht überprüft, ob die Nutzer beim Einchecken tatsächlich vor Ort sind. Er forderte per Twitter auf, sich per QR-Code im Zoo Osnabrück einzuchecken.
Zudem gibt es Kritik von Konkurrenten an der Vergabe an die Luca App. So etwa von der Vidavelopment GmbH, die mit der Vida App eine ähnliche Lösung anbietet. Geschäftsführer Robel Haile beklagt ein intransparentes Vergabeverfahren. In Mecklenburg-Vorpommern habe sein Unternehmen deshalb ein Nachprüfverfahren der Vergabe beantragt. Sollte dieses Erfolg haben, würden sie auch in Baden-Württemberg rechtliche Schritte veranlassen, sagte Haile.
Mehrere Bundesländer setzen aber auf die App, so auch Baden-Württemberg. Sozialminister Manne Lucha (Grüne) hatte Ende März verkündet, Lizenzen für den flächendeckenden Einsatz beschafft zu haben. «Die App soll landesweit dabei helfen, Kontakte im Fall einer Corona-Infektion nachvollziehen zu können», erklärte er dazu.
Wie neun andere Länder habe das Land die Anbieter des Luca-Systems in einem gemeinsamen Verhandlungsverfahren ohne Teilnahmewettbewerb beauftragt, erläuterte der Ministeriumssprecher. «Die Vergabestelle, die das Verfahren für die zehn Länder durchgeführt hat, hat diese Form der Vergabe umfassend geprüft und für rechtlich zulässig erachtet. Ein Markterkundungsverfahren hat stattgefunden.» Das Land habe zunächst einen Einjahresvertrag abgeschlossen.
dpa