Anzeige

Anzeige

Schneller Aufstieg, rasanter Fall – so enden normalerweise hochgehypte Produkte, die nicht halten, was sie versprechen. Nicht so die Luca-App. Als Rapper Smudo die App Ende 2020 bei Maischberger & Co. als „Weg zurück ins kulturelle Leben” vorstellte, war die Begeisterung zunächst groß. Die Luca-App konnte, was die Corona-Warn-App damals noch vermissen ließ: die Zettelwirtschaft im Restaurant oder bei Veranstaltungen digitalisieren.

Aber renommierte Sicherheitsforschende und IT-Expertinnen und -Experten meldeten rasch Bedenken an: Mangelnder Datenschutz, Urheberrechtsverletzungen und eine technische Infrastruktur, die Hackerinnen und Hackern Tür und Tor zu sensiblen Gesundheitsdaten öffnet, waren nur einige der Vorwürfe. Der Chaos Computer Club (CCC) forderte sogar eine „Bundesnotbremse”, auch um die Verschwendung von Steuermitteln „für digitale Heilsversprechen” zu beenden.

Da hatten schon einige Bundesländer Lizenzen gekauft, offenbar ohne vorher eine Markterkundung zu machen (ein Vorwurf, der in Mecklenburg-Vorpommern von Gerichten untersucht wird). Eingestampft wurde die App also nicht. Stattdessen sollte nachgebessert werden. Das Luca-Team bemühte sich um Schadensbegrenzung und versprach, man werde sich um die Vorwürfe kümmern.

Ein Schwert im Kampf gegen die Pandemie?

Anzeige

Die Vorwürfe scheinen Luca bisher wenig geschadet zu haben – zumindest, wenn man sich die Zahlen der Hersteller anschaut. 300 der 400 Gesundheitsämter sind nach Angaben von Luca angeschlossen an die App. 13 Bundesländer haben insgesamt mehr als 20 Millionen Euro ausgegeben, nur Sachsen, Nordrhein-Westfalen und Thüringen setzen nicht flächendeckend auf Luca. Ende Juli lobte der stellvertretende Ministerpräsident Baden Württembergs Thomas Strobl die App als „scharfes Schwert im Kampf gegen die Pandemie”.

Die Pandemie und wir Der neue Alltag mit Corona: In unserem Newsletter ordnen wir die Nachrichten der Woche, erklären die Wissenschaft und geben Tipps für das Leben in der Krise ‒ jeden Donnerstag. Aktivierungsmail verschickt Vielen Dank für Ihr Interesse an unserem Newsletter. In Kürze erhalten Sie einen Aktivierungslink per E-Mail von uns. Die Newsletter-Anmeldung hat leider nicht geklappt. Bitte versuchen Sie es noch einmal und laden Sie die Seite im Zweifel neu. Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu. ABONNIEREN Abbestellen ABONNIEREN Mit RND-Konto abonnieren

Anzeige

Aber ist die App wirklich ein Schwert im Kampf gegen die Pandemie? „Luca ist ein Produkt, das Gästelisten digitalisiert und das nicht mal so gut”, sagt Sicherheitsforscher Marcus Mengs dem RedaktionNetzwerk Deutschland. „Das Gesundheitsamt braucht ganz andere Daten – wie Kontaktzeiträume oder Raumpläne – als die, die Luca liefert, um sinnvoll Kontakte nachverfolgen zu können.”

Luca nehme dem Gesundheitsamt auch keine Arbeit ab oder warne vor Infektionsgefahr, das seien nur leere Werbeversprechen, kritisiert Mengs. „Luca schiebt Gästelisten zum Gesundheitsamt. Die Arbeit bleibt dann trotzdem bei denen. Die Nutzer werden auch nicht gewarnt, sondern nur informiert, wenn das Gesundheitsamt sich die Gästeliste anschaut – und das macht es teilweise auch zu Testzwecken.”

Kaum Hilfe beim Nachverfolgen der Kontakte?

Anzeige

Tatsächlich halten die Gesundheitsämter die Daten der Luca-App für zu unzuverlässig und nutzen sie kaum, wie eine aktuellen Spiegel-Umfrage nahelegt. Es sei nicht ersichtlich, was der Einsatz der App bringen solle, heißt es. In den entsprechenden Landkreisen kam es zu rund 130.000 Corona-Neuinfektionen. Nur in 60 Fällen waren die Luca-Daten demnach eine Hilfe beim Nachverfolgen von Infektionsketten.

CEO Patrick Hennig von Nexenio – dem Unternehmen hinter Luca – kommentiert das auf RND-Nachfrage folgendermaßen: „Generell ist das Feedback der Gesundheitsämter, dass nach dem Lockdown im Juni/Juli teilweise extrem wenig Infektionen überhaupt nachverfolgt wurden, wegen der niedrigen Inzidenzen. Daher lässt sich das gar nicht mit 130.000 Infektionen gegenüber stellen, die vorwiegend während dem Lockdown zu verzeichnen waren, während Luca sich auch noch in der Einführung befand.”

Die Pandemie und wir Der neue Alltag mit Corona: In unserem Newsletter ordnen wir die Nachrichten der Woche, erklären die Wissenschaft und geben Tipps für das Leben in der Krise ‒ jeden Donnerstag. Aktivierungsmail verschickt Vielen Dank für Ihr Interesse an unserem Newsletter. In Kürze erhalten Sie einen Aktivierungslink per E-Mail von uns. Die Newsletter-Anmeldung hat leider nicht geklappt. Bitte versuchen Sie es noch einmal und laden Sie die Seite im Zweifel neu. Mit meiner Anmeldung zum Newsletter stimme ich der Werbevereinbarung zu. ABONNIEREN Abbestellen ABONNIEREN Mit RND-Konto abonnieren

Sicherheitslücken und keine belastbaren Zahlen

Mit mehr als 25 Millionen Nutzerinnen und Nutzer wirbt Luca auf der Website, allein im Juni sollen neun Millionen dazugekommen sein. Stimmt das? Sicherheitsforscher Mengs sieht die Zahlen kritisch: „Luca kann systembedingt keine Nutzerzahlen erfassen. Die haben eine grobe Zahl über die Downloads der App, die beinhaltet aber keine Mehrfachdownloads oder Deinstallationen”, sagt er. „Jedes Mal, wenn jemand ein Problem mit der Luca-App hat und sie neu installiert, gibt es einen neuen Account im System.”

Mengs hatte zudem Ende Mai eine Sicherheitslücke, über die Eva Wolfangel wenige Wochen zuvor auf Zeit Online hingewiesen hatte, auf Twitter demonstriert. Darin zeigte er, wie Luca-Nutzende manipulierte Kontaktdaten für einen Angriff auf die Gesundheitsämter nutzen könnten.

Anzeige

Das Portal T3N zitiert in einer Analyse der Luca-Schwachstellen auch den IT-Sicherheitsexperte Manuel Atug. Der wies darauf hin, dass manipulierte Einträge die ganze Datenbank löschen und andere Datensätze auslesen können. Es gehöre deshalb zum Einmaleins der IT-Sicherheit, nicht zuzulassen, dass ungeprüfte Daten übernommen werden. Weiter warnt Atug die Gesundheitsämter davor, Luca zu nutzen, solange nicht klar sei, wie die Daten der Nutzer und Nutzerinnen technisch validiert und gefiltert würden. Laut Netzpolitik sei das eine neuerliche Sicherheitslücke, die sich einreihe in eine lange Kette von Fehlern, die das Unternehmen gemacht, aber nie zugegeben habe.

Von Seiten von Luca heißt es dazu: „Sicherheit steht für uns an oberster Stelle. Dabei sei aber auch gesagt Software ist nie perfekt. Wir haben dauerhaft externe Sicherheitsüberprüfungen, auch die haben leider die CSV-Schwachstelle nicht gefunden”, sagt Hennig. „Fehler passieren, selbst bei IT-Großprojekten mit vier Jahren Laufzeit.”

Zynismus aus der Technik-Bubble

Auch die technische Qualität der Luca-App lässt laut Experten und Expertinnen zu wünschen übrig: „Das Produkt ist aus meiner Sicht technisch nicht gut aufgebaut. Man sieht das im Code, da sind viele Sachen schiefgelaufen – auch was die Skalierung betrifft”, sagt Mengs. „Es gibt einen ganzen Blumenstrauß an Problemen, manche sehr belastbar, sehr konkret, manche eher abstrakt.”

Das alles führt dazu, dass insbesondere im netzpolitischen Bereich jedes neue Sicherheitsleck und der Umgang des Unternehmens inzwischen nur noch zynisch kommentiert wird. So warf etwa CCC-Sprecher Linus Neumann dem Unternehmen auf Twitter vor, Schwachstellen „dreist” zu leugnen:

„Die analysieren das Problem gar nicht“

Die heftigen Reaktionen sind laut Marcus Mengs das Ergebnis einer Entwicklung: „Das ist schon bei der Veröffentlichung der Quellcodes am Anfang nicht gut gelaufen”, sagt er. „Die hat Luca erst veröffentlicht, als der Druck zu groß wurde – und am Ende behauptet, das sei eh der Plan gewesen.” Er kritisiert den Umgang der Entwickler mit Fehlern. „Das ist hochgradig unprofessionell. Die meinen, ein Problem zu erkennen, analysieren es aber gar nicht, machen ganz schnell irgendwas und treten dann an die Öffentlichkeit und behaupten, sie hätten das gelöst. Haben sie aber nicht. Und das ist ein Problem”, sagt Mengs.

Keine Gesamtbeurteilung durch den BSI

Ein interner Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) sieht bei Luca ebenfalls noch Luft nach oben: „Der BSI-Bericht kam zu dem Schluss, dass es bei der Luca-App und der zugehörigen IT-Infrastruktur noch Verbesserungsbedarf gab”, schreibt Staatssekretär Markus Richter.

Die Tests hätten allerdings nur eine begrenzte Prüftiefe und bezögen sich ausschließlich auf die mobile Anwendung. Eine Gesamtbeurteilung fand nicht statt. Der Grund: “Da der Einsatz der Luca-App in der Verantwortung der Länder erfolgt, ist eine Gesamtbeurteilung der Sicherheit der Luca-App und der zugehörigen IT-Infrastruktur mangels gesetzlicher Zuständigkeit nicht erfolgt”, so Richter.

Das galt auch für das Bundesland Hessen, dass das BSI nach Informationen des Spiegels kürzlich mit einer „Überprüfung des Gesamtsystems inklusive aller Komponenten der dahinter stehenden IT-Infrastruktur” der App beauftragte. Das Innenministerium lehnte die Anfrage ab. Stattdessen könne sich Hessen direkt an den Hersteller der Luca-App wenden, sagte ein Sprecher des Innenministeriums der dpa. Das sei ein bewährtes Verfahren und werde auch von Bundesbehörden genutzt.

„Sollte ein Bundesland eine Analyse unserer Software durch eigene Dienstleister vornehmen wollen, unterstützen wir das mit ganzer Kraft”, sagt Hennig von Nexenio. „Unabhängig davon sind wir uns der Relevanz von Sicherheitschecks bewusst und beauftragen daher regelmäßig selbst externe Dienstleister mit Sicherheitsüberprüfungen.”

Ernüchternde Bilanz auch in Thüringen

In vielen Ländern ist noch offen, ob die Luca-Lizenzen über Februar 2022 hinaus verlängert werden oder nicht. Thüringen zieht zumindest nach der Testphase, die Ende diesen Monats endet, eine ernüchternde Bilanz: Die Luca-App habe sich sich in großen Teilen des Landes nicht durchgesetzt. Weimar und der Kreis Schmalkalden-Meiningen werden die Lizenzen nach dem Modellversuch nicht verlängern, berichtet der MDR. Hauptkritikpunkt: Die App habe zu viele und zu unkonkrete Daten gesammelt und dem Gesundheitsamt schlicht nicht geholfen.

„Natürlich bedauern wir die Entscheidung von Weimar, sehen aber das Problem an einer ganz anderen Stelle”, sagt Hennig. Man habe dort die Daten eines Kaufhauses abgerufen und sich gewundert, dass die nicht differenzierter seien. „Im Kaufhaus tragen sowieso alle Masken. Hier macht es einfach keinen Sinn Daten abzurufen und Leute zu informieren, nur weil eine Person infiziert war.”