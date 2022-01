Anzeige

Hannover. Es klang alles ziemlich verlockend. Damals, im Herbst 2020, als Rapper Smudo von den Fantastischen Vier in der Talkshow von Sandra Maischberger saß und die Luca-App vorstellte. Ein kleines Programm mit viel Symbolwirkung. Es sollte Konzerte, Tanz­veranstaltungen und Theater­aufführungen auch mitten in einer Pandemie möglich machen – mithilfe digitaler Kontakt­nach­verfolgung.

Mehr als ein Jahr später ist die Bilanz ernüchternd – aus vielerlei Hinsicht. Gleich mehrfach machte die Corona-Pandemie der Kulturbranche trotz Luca einen Strich durch die Rechnung. Und auch die App selbst steht seit ihrer Einführung immer wieder in der Kritik.

Zur Einführung machten Datenschutzexperten und -expertinnen auf Sicherheits­lücken aufmerksam, der Chaos Computer Club forderte gar eine „Bundes­notbremse“ für die App. Später erklärten Gesundheits­ämter, dass die App ihnen herzlich wenig nütze. Und im Januar 2022 wird klar: Mindestens eines der teilnehmenden Bundesländer, nämlich Schleswig-Holstein, wird künftig gänzlich auf die App verzichten. Ist das der Anfang vom Ende?

Smudo glaubt nicht ans Aus der Luca-App

Für Rapper Smudo, seit jeher prominentes Werbegesicht der App, ist die Entscheidung aus Schleswig-Holstein jedenfalls noch kein Grund für voreilige Schlüsse. „Alle, mit denen wir sprechen, sind noch unentschlossen“, so der 53-Jährige im Gespräch mit dem Redaktions­Netzwerk Deutschland (RND). Zudem sei die Lage wegen Omikron unsicher. „Da ist so viel in Bewegung, da möchte ich gar keine Prognose wagen.“

Auch der Entwickler der Luca-App, das Unternehmen Nexenio, blickt offenbar noch hoffnungsvoll in die Zukunft. Selbst wenn sich die Länder künftig gegen Luca entschieden, habe man Pläne in der Hinterhand, wie Sprecherin Christina Gehlen auf RND-Anfrage sagt. „Wir haben das Ziel, die Luca-Minimal­strukturen in jedem Bundesland aufrecht­zu­erhalten. Und wir geben jedem Bundesland die Möglichkeit, jederzeit nach Bedarf, die Nutzung von Luca für einen nahezu beliebigen Zeitraum zu nutzen. Wir wollen damit dazu beitragen, dass Luca immer dort und immer dann eingesetzt werden kann, wo und wann die Lösung dringend gebraucht wird.“

Dass die Diskussion um eine Abschaffung der App nun in den Vordergrund rückt, hat vertragliche Gründe: Der Software­entwickler Nexenio hatte im vergangenen Jahr mit den Bundesländern einen Lizenzvertrag für die App abgeschlossen. Dieser beläuft sich auf ein Jahr und muss dann verlängert werden – das wäre in Kürze der Fall. Das Luca-System beinhaltet nicht nur die App, sondern auch eine Schnittstelle für die Gesundheits­ämter. Im vergangenen Jahr hatten die 13 teilnehmenden Bundesländer zusammen rund 20 Millionen Euro dafür ausgegeben.

Vorfall in Mainz sorgt für Aufsehen

Inzwischen allerdings ist die Stimmung mehrfach gekippt. Nach Datenschutzbedenken von IT-Experten und -Expertinnen und einer ernüchternden „Spiegel“-Umfrage bei den Gesundheits­ämtern sorgte zuletzt ein Fall aus Mainz für Empörung. Hier hatten Polizeibeamte nach dem tödlichen Sturz eines Gastes in einer Gaststätte Daten aus der Luca-App beim Gesundheits­amt angefragt, um Zeugen zu ermitteln. Anlass genug für Politiker und Politikerinnen, das System noch einmal zu hinterfragen. Manche riefen gar zur Löschung der App vom Smartphone auf.

IT-Expertin und -Entwicklerin Bianca Kastl würde diesen Boykott­aufrufen zustimmen. Sie kenne praktisch alle Sicherheits­lücken im Luca-System, sagt sie gegenüber dem RND – manche von ihnen hatte Kastl im vergangenen Jahr sogar mit aufgedeckt. Das Problem: Viel verbessert habe sich nach der anfänglichen Kritik nicht.

„Luca hat sich nach der ersten größeren Sicherheits­lücke, Luca-Track, kaum von der technischen Qualität gebessert“, sagt Kastl. Generelle Datenschutz­bedenken hat die Expertin aufgrund der Architektur der App und der massenhaft erhobenen Daten. Hinzu kämen allerdings auch immer wieder handwerkliche Mängel.

Schadsoftware fürs Gesundheitsamt

Mitte Mai vergangenen Jahres habe etwa der Sicherheits­forscher Marcus Mengs demonstriert, dass er mit Schadcode in den eigenen Kontaktdaten der Luca-App dahinterliegende Gesundheitsämter per sogenannter „CSV-Injection“ angreifen konnte. „Dieses Szenario hat auch das BSI als plausibel bezeichnet“, sagt Kastl. Das gleiche Problem sei einen Monat später wieder aufgetreten.

„Luca gilt seitdem in der IT-Security-Community gewissermaßen als verbrannt“, sagt die Entwicklerin. Viele Experten und Expertinnen hätten irgendwann einfach aufgehört, die App zu überprüfen. „Dass von Luca in der Zwischenzeit nach Juni 2021 keine größeren Probleme bekannt wurden, ist also kein Zeichen von besser gewordener Sicherheit.“

Auch der Datenschutz­jurist Malte Engeler würde es begrüßen, wenn die Länder die Lizenzverträge für Luca auslaufen ließen. Die aktuelle Diskussion bewertet er als positiv: „Einerseits freue ich mich, weil nicht noch mehr Steuergelder in die Schaffung/Erhaltung einer Nutzerbasis für eine private Infrastruktur ohne Mehrwert investiert werden. Andererseits ist das Gefühl bittersüß, weil die Kritik der Experten und Expertinnen und der Netzgemeinde so lange und geradezu trotzig ignoriert wurde“, sagt er dem RND.

Das Problem der zentralen Speicherung

Eines der größten Probleme sieht Engeler beim Datenschutz. „Zu den größten Kritikpunkten gehörte immer schon die zentralisierte Infra­struktur der Luca-App, die es unter anderem der Polizei ermöglichte, auf Daten zuzugreifen.“ Das sei ein großer Unterschied zur Corona-Warn-App, wo die Daten nur zentral auf dem Smartphone der Nutzerin oder des Nutzers gespeichert werden.

Und auch der Fall aus Mainz sei beispielhaft dafür. „Dieser Mangel lag und liegt in der Art und Weise, wie die Luca-App und die hinter ihr stehende Infrastruktur gebaut wurden“, sagt Engeler. Der Vorfall mahne erneut, „dass wir bei der Schaffung digitaler Infrastrukturen niemals darauf vertrauen sollten, dass die darin verarbeiteten Daten nur zu (zunächst) harmlos wirkenden Zwecken verarbeitet werden sollen und niemand vorhabe, die Daten zu missbrauchen. Gesetze lassen sich ändern, und die Versprechen staatlicher Stellen sind nur so gut wie die politischen Ideale derer, die sie derzeit personell besetzen.“

Digitale Infrastrukturen sollten daher von Anfang an so gebaut werden, dass Vertrauen gar nicht nötig sei, weil ein Missbrauch technisch ausscheidet. Die Corona-Warn-App sei dafür ein „hervorragendes Beispiel“, wie Engeler sagt.

Was Luca zu den Vorwürfen sagt

Die Entwickler der Luca-App selbst sehen das natürlich ein bisschen anders. „Das Sicherheits­system von Luca wurde nicht ausgehebelt“, sagt Sprecherin Christina Gehlen zum Fall von Mainz. Im Gegenteil, Luca zeige in diesem Fall sogar, dass das System „Schlimmeres verhindern“ könne. „Das zuständige Gesundheits­amt hat im Falle einer Infektion jeweils nur zeitlich und örtlich begrenzten Zugriff auf Daten, weil es jeweils bei einzelnen Betrieben anfragen muss und diese dann mit ihrem Schlüssel nur für den jeweiligen Infektionstag begrenzt Kontakte freigeben, auf die dann ausschließlich das Gesundheits­amt Zugriff hat. In diesem Fall waren das 21 Kontaktdaten von Luca-Nutzern und -Nutzerinnen.“

Auch die Kritik von IT-Experten und -Expertinnen geht an den Luca-Betreibern offenbar vorbei. „Teile des Chaos Computer Clubs kritisieren die Luca -App kategorisch, weil sie sich am Prinzip der zentralen Daten­speicherung stören“, sagt Gehlen. „Dabei hat sich unser System der verteilten Verschlüsselung bewährt: Bis heute ist kein einziger Kontakt in unserem System in die Hände unberechtigter Personen gefallen. Im Falle Mainz hat ein berechtigter Empfänger der Daten diese unzulässiger­weise an die Polizei weitergeleitet – das war aber kein Problem der Verschlüsselung.“

Kritische Medienberichte, etwa dass die Luca-App nur wenigen Gesundheits­ämtern helfe, relativieren die Macher. „Dass das System genutzt wird, belegen unsere Zahlen: 323 von 375 deutschen Gesundheitsämtern sind an Luca angeschlossen. Seit Mai letzten Jahres wurden über Luca mehr als 330 Millionen Check-ins digital durchgeführt, in mehr als 550.000 Fällen haben Gesundheits­ämter nach einer individuellen Risiko­bewertung der Umstände vor Ort über Luca eine Warnmeldung ausgelöst, und mehr als 3500-mal haben Gesundheits­ämter Restaurants um die Herausgabe von Kontaktdaten gebeten“, so Gehlen.

Kritik aus Rheinland-Pfalz und Sachsen-Anhalt

Wie genau es tatsächlich mit der Luca-App weitergeht, ist derweil noch völlig unklar. Die baden-württem­bergische Landes­regierung sieht die App beispielsweise als „guten und datenschutz­konformen Baustein“ der Vorsorge. Die Gesundheits­ämter im Land seien „sehr zufrieden“. Auch der Berliner Senat bewertet den Einsatz der App als positiv. Man wolle „nach einer umfassenden Bewertung des bisherigen Einsatzes und der pandemischen Lage“ demnächst entscheiden.

Aus Rheinland-Pfalz allerdings kommt Kritik. Der Datenschutz­beauftragte Dieter Kugelmann fordert, „ernsthaft zu prüfen, ob die Luca-App als Instrument zur Pandemie­bekämpfung noch gebraucht wird“. In Sachsen-Anhalt wirbt Digital­ministerin Lydia Hüskens (FDP) für ein Vertragsende. „Wir würden (...) empfehlen, den Vertrag zu kündigen, weil mit der Corona-Warn-App eine staatlich finanzierte App vorhanden ist, die Funktionalitäten analog zur Luca-App bietet“, sagt sie.

Nordrhein-Westfalens Gesundheits­minister Karl-Josef Laumann (CDU) forderte die Bundes­regierung am vergangenen Dienstag auf, die Corona-Warn-App zügig weiterzuentwickeln.

Die Corona-Warn-App als bessere Alternative

Die Corona-Warn-App anstelle von Luca wünscht sich auch IT-Expertin Bianca Kastl. „In der aktuellen Pandemie­situation ist die Corona-Warn-App die einzige App, mit der sie bei der Menge von Fällen noch eine realistische Chance haben, überhaupt gewarnt zu werden. Im Gegensatz zur Luca-App skaliert die Corona-Warn-App auch mit steigender Fallzahl – also dann, wenn Gesundheits­ämter gar nicht mehr dazu kommen, mit Luca irgendwelche Warnungen auszulösen“, sagt sie.

Und auch Malte Engeler spricht sich für die Corona-Warn-App als dezentrale Alternative aus. Eine mögliche Fortführung der Luca-App beobachtet der Datenschutz­experte in vielerlei Hinsicht mit Besorgnis.

„Die Luca-App hat uns daran gewöhnt, aktiv und bewusst bei allen möglichen Alltags­situationen einer zentralen Stelle mitzuteilen, wo wir sind. Ich bin skeptisch, ob es uns gelingen wird, uns diese Gleich­gültigkeit bezogen auf die Daten­erfassung wieder abzugewöhnen.“