Ein Beitrag von Julian Häffner @Lord__Julius

Die Luca-App. Kaum jemand hat mittlerweile noch nicht von dieser App gehört, die zuerst von zahlreichen Politikern als großer Heilsbringer und Retter in der Pandemie gepriesen wurde. So wurde sie auch bereits zu Beginn massiv von Steuergeldern finanziert, bisher rund 20 Millionen Euro. [1]

Wenn der Staat soviel Geld seiner Bürger ausgibt, dann will das wohlüberlegt sein – oder sollte eigentlich. Tatsächlich aber wurden dabei Ausschreibungen umgangen, Datenschutzbedenken der Landesdatenschutzbeauftragten ignoriert und teilweise ohne Prüfung der technischen Daten einfach mal eine Million Euro investiert, wie das der regierende Bürgermeister Berlins Michael Müller getan hat. [2]

Aber nicht nur die Finanzierung lief kritikwürdig ab.

Bereits kurz nach Bekanntgabe kamen erste Probleme auf. Dafür, dass die App nahezu komplett aus öffentlicher Hand finanziert wurde, weigerten sich die Entwickler anfangs den Quellcode zu veröffentlichen. Erst als der öffentliche Druck immer größer wurde, veröffentlichte man ihn endlich. Dabei entdeckte man schnell, dass dieser Teile von anderen Entwicklern ohne Quellenangaben enthielt. Doch das ist nur der Anfang des ganzen Dramas. Als nächstes versprachen das Entwicklerteam, die Validierung des Kontos in der App mittels SMS sei sicher, aber leider lässt sich diese leicht austricksen, so dass es sehr einfach ist, mehrere Fake-Accounts zu erstellen. Mit seinem Account kann man sich dann aber auch beliebig in alle möglichen Veranstaltungen einloggen, deren QR-Code man besitzt. Es reicht also wenn jemand den QR-Code im Netz teilt und plötzlich ist Jan Böhmermann um 0:40 Uhr als Michi Beck aus Berlin im Osnabrücker Zoo. [3] Das stellt den kompletten Nutzen der Luca-App für die Kontaktnachverfolgung ad absurdum, da man sich ja nie sicher sein kann, welche Personen tatsächlich in der entsprechenden Location waren und welche nicht.

Die größte Sicherheitslücke sind aber die Luca-Schlüsselanhänger mit QR-Code, welche die Nutzung des Luca-Systems auch ohne Smartphone ermöglichen soll. Jedoch ist es hier bereits ausreichend, wenn man in einem unaufmerksamen Moment ein Foto des QR-Codes macht und schon hat der- oder diejenige das komplette Bewegungsprofil der betroffenen Person. [4] Man müsse eben gut auf seinen Schlüsselanhänger aufpassen… Datenschutz at its best.

Als wären das nicht schon genug Gründe gegen eine Nutzung der App, ist sie auch noch nicht im mindesten barrierefrei und eine verpflichtende Nutzung wäre somit auch diskriminierend.

In einer Stellungnahme auf die Kritik des CCC wird diese als überzogen bezeichnet. Zum Einen sei die App ja kein “Heilsbringer” und zum Anderen habe man Probleme wie die SMS-Verifizierung und die Schlüsselanhänger nun behoben. Bei der Datenverarbeitung ist es aber weiterhin möglich die Geräte eindeutig zu identifizieren und die Check-Ins den Personen zuzuweisen. [5]

Alles in allem weist die Luca-App gravierende Datenschutzmängel auf und ist in ihrer Anwendung keinerlei Verbesserung gegenüber der bereits vorhandenen Corona-Warn-App. Hier wurden in einem Anflug von Übermotivation ohne vorherige Prüfung Steuergelder für einen angeblichen hochgepriesenen “Heilsbringer” verpulvert, die man andernorts sicherlich besser hätte einsetzen können. Das zeigt eindeutig, dass man in Zukunft unbedingt vermehrt auf Open-Source setzen muss, um solche Mängel schnell finden und beheben zu können.


[1]: https://netzpolitik.org/2021/digitale-kontaktverfolgung-fast-20-millionen-euro-fuer-luca/
[2]: https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse
[3]: https://www.golem.de/news/coronapandemie-luca-app-ermoeglicht-check-ins-von-beliebigen-orten-aus-2104-155530.html
[4]: https://netzpolitik.org/2021/sicherheitsluecke-bei-luca-schluesselanhaenger-mit-folgen/
[5]: https://www.golem.de/news/stellungnahme-entwickler-der-luca-app-bezeichnen-ccc-kritik-als-ueberzogen-2104-155763.html  https://www.luca-app.de/stellungnahme-zum-schreiben-des-ccc-vom-13-april-2021/