(GZ-9-2021)

► Trotz Kritik:

Bayern hält an Luca-App fest

Die Luca-App soll in Geschäften, Restaurants oder auf Veranstaltungen die bisher genutzten Papierlisten zur Kontaktnachverfolgung ersetzen. Mehrere Bundesländer haben bereits Lizenzen gekauft und das System an ihre Gesundheitsämter angeschlossen. Datenschützer und Programmierer bemängeln Sicherheitslücken. So forderte der Chaos Computer Club ein „umgehendes Moratorium“ beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten zudem durch den Bundesrechnungshof überprüft werden. Bayern hält trotz der Kritik an der Einführung der App fest.

Die Luca-App ist eine Art virtuelle Visitenkarte: Nutzer müssen zunächst ihre Kontaktdaten eingeben, das Programm verschlüsselt die Informationen dann und generiert wechselnde QR-Codes. Mit den Codes können sich die Nutzer in Restaurants, Kinos oder anderen Orten anmelden. Dies ersetzt das Eintragen in eine Liste. Tritt im Umfeld des besuchten Ortes eine Infektion auf, kann das Gesundheitsamt die gefährdeten Besucher über die App ermitteln. So soll eine schnellere und effektivere Nachverfolgung der Risikokontakte erreicht werden.

Apps wie Luca, darfichrein.de, Recover oder eGuest sind vor allem dazu gedacht, die in den Bundesländern vorgeschriebene Erfassung von Personen in Restaurants, Geschäften oder bei Events digital umzusetzen. Dazu müssen die Besucher aber ihre kompletten Kontaktdaten abgeben. Solange die Infektionsschutzverordnungen der Bundesländer die Erfassung der persönlichen Daten vorschreiben, kann die Corona-Warn-App des Bundes diese Aufgabe nicht übernehmen. Das Luca-System befindet sich momentan im Roll-Out in 13 Bundesländern. Innerhalb von wenigen Wochen sollen circa 300 von 375 Gesundheitsämtern angeschlossen werden. Vier Millionen Bürger sind bereits bei Luca registriert und 81.000 Standorte in Deutschland nutzen Luca laut Angaben der Initiative.

Luca-App unterstützt Gesundheitsämtern

In Bayern sollen die 76 Gesundheitsämter flächendecken von Ende April an die Luca-App zur Kontaktverfolgung in der Corona-Pandemie nutzen können. Das kündigte Digitalministerin Judith Gerlach (CSU) am 15. April im Landtag an. Bisher hätten 23 Gesundheitsämter die notwendige Technik. Großer Vorteil der Luca-App sei, dass die gesammelten Daten direkt in das Sormas-System der Gesundheitsämter einfließen können und damit die Arbeit der Ämter erheblich erleichtert werde, sagte Gerlach. Seit Februar dieses Jahres können alle Gesundheitsämter in Bayern Sormas nutzen.

Der Datenschutz sei in alle Schritte einbezogen. Bisher habe kein Datenschutzbeauftragter in Deutschland Einspruch erhoben, sagte Gerlach. Mit der Luca-App können die Menschen dann über einen QR-Code etwa beim Besuch in Gaststätten „einchecken“. Die Daten landen beim Gesundheitsamt, Kontakte könnten direkt nachverfolgt, mögliche Kontaktpersonen direkt über die App informiert werden.

Die Luca-App wird aktuell noch in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Sachsen-Anhalt und Hamburg aus Steuermittel finanziert. Die eingesetzten Mittel summieren sich auf insgesamt 20 Millionen Euro. Das geht aus Antworten hervor, die netzpolitik.org von den zuständigen Staatskanzleien und Ministerien erhalten hat. Bayern zahlt mit 5,5 Millionen den höchsten Preis für die Jahreslizenz. Es handelt sich um das bislang einzige Bundesland, das die Vergabe der App ausgeschrieben hat. Insgesamt zehn Länder haben das Luca-System in einem gemeinsamen Verhandlungsverfahren ohne Teilnahmewettbewerb beauftragt.

Die Länder verweisen darauf, dass die Vergabeverordnung Ausnahmen zulassen, wenn eine besondere Dringlichkeit vorliege oder ohnehin nur ein Anbieter in der Lage sei, den Auftrag zu erfüllen. Das Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Quellcode veröffentlicht

Die Entwickler der Luca-App haben den Quellcode ihres Systems zur Corona-Kontaktverfolgung vollständig unter einer Open-Source-Lizenz veröffentlicht. So ist der Code der beiden App-Versionen (Android und iOS) sowie des Backend-Systems auf der Plattform GitLab einsehbar. Er kann damit nun von unabhängigen Stellen überprüft werden. Man wolle eine transparente Analyse und Weiterentwicklung der Software ermöglichen, erklärte die Culture4life GmbH, das Unternehmen hinter dem Luca-System.

Firmenchef Patrick Hennig sagte, es gehe dabei auch darum, „ein hohes Vertrauen in die Sicherheit bei allen Beteiligten und interessierten Nutzer zu erzeugen“. Das Verfahren sorge außerdem dafür, dass der Quellcode oft getestet und mögliche Probleme schnell identifiziert werden könnten. Hennig wies gleichzeitig den Vorwurf des CCC zurück, das Luca-System sei potenziell jederzeit in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen.

„Aus unserer Sicht ist das Fundamentalkritik an zentralen Datenspeicherungssystemen, die im Übrigen aber an vielen Stellen des gesellschaftlichen Lebens wie bei Telekommunikationsanbietern, Kreditkartenunternehmen und auch im Gesundheitswesen vielerorts zum Einsatz kommen.“

Das Luca-Geschäftsmodell sei zudem klar und transparent: Die Bundesländer erwerben eine Lizenz für ihre Gesundheitsämter für die Nutzung des Luca-Systems zur Ende-zu-Ende verschlüsselten Datenübermittlung von Nutzern und Betreibern an die Gesundheitsämter. Dieses diene der personifizierten Kontaktnachverfolgung, die die Aufgabe der Ärzte des Öffentlichen Gesundheitsdienstes sei.

Kritik an Barrierefreiheit

Der Bayerische Blinden- und Sehbehindertenbund (BBSB) kritisierte, dass die Luca-App zur Corona-Kontaktnachverfolgung nicht barrierefrei ist. Ohne Assistenz könnten Sehbehinderte die Anwendung derzeit nicht nutzen, sagte der Landesgeschäftsführer Verbands- und Sozialpolitik des BBSB, Steffen Erzgraber.

„Assistenz bedeutet aber einen weiteren Kontakt, zu dessen Vermeidung die App eigentlich eingesetzt werden soll.“ Nach Angaben des BBSB können blinde Nutzer die App auf Apple-Geräten gar nicht selbst einrichten, weil sie mit der Vorlesefunktion die Datenschutzbestimmungen nicht akzeptieren können. Auch bei der Version für Android-Betriebssysteme gebe es Probleme, sagte Erzgraber.

CCC: „Keine Steuermittel!“

Die europäische Hackervereinigung Chaos Computer Club (CCC) forderte, ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof, ein sofortiges Ende des App-Zwangs und keine Steuermittel mehr für die Luca-App zur Corona-Kontaktnachverfolgung auszugeben. Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbiete sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst, so der CCC. Club-Sprecher Linus Neumann verwies auf eine „nicht abreißende Serie von Sicherheitsproblemen“ bei dem Luca-System.

Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind. „Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren“, kritisierte Neumann. Er verwies dabei auf Recherchen, die im Netz unter dem Titel „Lucatrack“ veröffentlicht wurden.

„Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit.“ Der Entwickler der App, das Berliner Start-up neXenio, räumte ein, „dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten“.

Die Macher der Luca-App empfahlen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen „böswilligen Missbrauch zu vermeiden“.

Corona-Warn-App mit Check-in Funktion

Im Gegensatz zur Luca-App oder vergleichbaren Check-in-Anwendungen privater Anbieter werden die Kontakte der offiziellen Corona-Warn-App des Bundes nur anonymisiert registriert. Dieses Verfahren hatten Google und Apple vorgeschrieben, wenn man ihre Bluetooth-Schnittstellen für die Kontaktermittlung nutzen möchte. Mögliche Warnungen über gefährliche Begegnungen laufen bei der App des Bundes nicht über die Gesundheitsämter, sondern direkt als rote oder grüne Warnung über das System der Corona-Warn-App selbst.

Die Corona-Warn-App ist jetzt mit neuen Funktionen zur Pandemiebekämpfung ausgebaut worden. So wurde die neueste Version 2.0 der Smartphone-App um eine Check-in-Funktion erweitert. Damit sollen vor allem risikoreiche Begegnungen von Menschen in Innenräumen besser erfasst und Infektionsketten frühzeitig unterbrochen werden – was auch Superspreaderevents verhindern könnte.

Bisher werden Menschen nur gewarnt, wenn sie sich über einen bestimmten Zeitraum nahe kommen. Doch das Coronavirus verbreitet sich in geschlossenen Räumen auch über Aerosole, die größere Distanzen überbrücken. Für die neue Funktion setzt das Entwicklerteam aus SAP und Telekom auf QR-Codes. In der App lässt sich ein solcher Code erzeugen, den andere Nutzer einscannen können. Damit checken sie für die Veranstaltung ein.

In künftigen Versionen soll auch ein digitales Impfzertifikat angezeigt werden können. Anwender könnten damit nachweisen, dass sie vollständig geimpft worden sind. Außerdem sollen in der App die Ergebnisse von Schnelltests angezeigt werden können. Obwohl die deutsche Corona-Warn-App mit 27 Millionen Downloads die erfolgreichste Anwendung zur digitalen Kontaktverfolgung in Europa ist, wird die Wirksamkeit der App immer wieder in Frage gestellt. Dieser Eindruck wird allerdings durch aktuelle Zahlen aus Kreisen der Bundesregierung widerlegt. Allein in den vergangenen vier Wochen haben demnach 79.000 Nutzer ihre Kontakte über ein positives Testergebnis gewarnt.

 

 

Dieser Artikel hat Ihnen weitergeholfen?
Bedenken Sie nur, welche Informationsfülle ein Abo der Bayerischen GemeindeZeitung Ihnen liefern würde!
Hier geht’s zum Abo!