Corona: Steigt endlich aus der Luca-App aus

In den nächsten Wochen laufen die Millionenverträge der Bundesländer mit der Luca-App aus. Entsprechend wird über eine Verlängerung diskutiert, denn noch haben sich viele Bundesländer nicht festgelegt. Dabei gibt es eigentlich gar nichts zu diskutieren. Die Fakten liegen auf der Hand: Die Luca-App war eine Verschwendung von rund 20 Millionen Euro Steuergeldern, die auf keinen Fall wiederholt werden sollte.

Anfang letzten Jahres ging auf einmal alles ganz schnell. Wegen Öffnungsperspektive und dem Glauben mit einer App, die von einem Rapper beworben wird, könnte alles wieder gut werden mit der Corona-Pandemie, kaufte ein Bundesland nach dem anderen Hals über Kopf die App. Für insgesamt besagte 20 Millionen Euro.

So hatte beispielsweise Michael Müller, der damals regierende Berliner Bürgermeister, nach einer Sitzung der Ministerpräsidenten erklärt: "Und ich sage hier klar: Wenn das nicht abschließend zu einem Ergebnis kommt in unserer Runde, mache ich es auf eigene Rechnung mit dieser App." Er wolle nicht mehr auf den Langsamsten warten. Fachliche Prüfung oder Ausschreibung? Fehlanzeige! Am 23. März erklärte er dann dem Senat, man habe eine Lizenz für 1,1 Millionen Euro erworben. In den anderen Bundesländern lief es ähnlich. Schnelles Geld für Smudo und Co.

Luca-App: Pleiten, Pech und Pannen

Doch dann kam, was kommen musste: Die von Smudo in etlichen Talk-Shows als Heilsbringer angepriesene Luca-App stellte sich als absolutes Desaster heraus. Schnell fanden Sicherheitsforscher heraus, dass sich mit einem Foto eines beliebigen Luca-Schlüsselanhängers, der parallel zur App verwendet werden kann, ein Bewegungsprofil der betroffenen Person auslesen lies. Zu diesem Zeitpunkt waren bereits mehr als 100.000 solcher Schlüsselanhänger im Umlauf. Zuvor hatten Sicherheitsforscher entdeckt, dass sich die Anhänger ohne Registrierung und mit beliebiger PIN nutzen ließen.

Auch in der App selbst und in deren Backend wimmelte es nur so von Bugs und Sicherheitsproblemen. CCC-Mitglied Manuel Atug sammelte in einem Twitter-Thread die Probleme und kam binnen kürzester Zeit auf 250 Einträge. Der Sicherheitsforscher Marcus Mengs entdeckte eine Sicherheitslücke nach der anderen: Beispielsweise eine Code-Injection per Excel-Dateien, die beim Öffnen der Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen hätten führen können. Irgendwann gab Mengs frustriert auf: "Der Hersteller gibt mir keine Zeit, die Zusammenhänge zu dokumentieren, welche zu Sicherheitslücken im Code führen, und patcht stattdessen ständig Code mit neuen Fehlern nach."

Peinlich waren auch die öffentlichen Reaktionen der Luca-App-Macher auf die gefundenen Lücken. So behauptete Nexenio-Chef Pascal Hennig im Gespräch mit Golem.de, dass ein Angriff nicht möglich sei. In einer Stellungnahme behaupteten die Luca-Entwickler obendrein, dass die Möglichkeit einer Ausführung von Schadcode im behördlichen Umfeld nicht gegeben sei, da dort üblicherweise Office-Makros deaktiviert würden.

Dabei beweist der Emotet-Befall mehrerer Behörden das Gegenteil, denn auch diese Schadsoftware setzte auf Makros. Letztlich sah sich das BSI genötigt, auf Twitter klarzustellen, dass Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden einer Makro-Ausführung, "keine ausreichende Sicherheitsmaßnahme" darstelle. Die anschließend von Luca eingespielten Patches lösten das Problem laut Mengs zudem unzureichend.

Das alles ist an Peinlichkeit kaum zu überbieten. Dabei waren dies bei weitem nicht die einzigen (Sicherheits-)Probleme und Peinlichkeiten bei der Luca-App. Beispielsweise wurde auch die lang angekündigte Veröffentlichung unter einer Open-Source-Lizenz komplett in den Sand gesetzt.

Experten fordern Bundesnotbremse, Politiker ignorieren das

Schon im März und im April 2021 warnten Datenschützer vor der Luca-App und der Chaos Computer Club (CCC) forderte eine Bundesnotbremse für die Lizenzierung der App durch die Länder. Kurz darauf warnten mehr als 70 Sicherheitsexperten zahlreicher Universitäten und Forschungsinstitute vor den Risiken der App bei der digitalen Kontaktnachverfolgung.

Doch 13 Länder hatten die App bereits gekauft und richteten die Corona-Regelungen nach der Luca-App aus. Alternativen jenseits von Papierlisten sind bis heute in vielen Bundesländern nicht vorgesehen, die Corona-Warn-App mit ihrer Check-In-Funktion meist nicht zugelassen. Erst im November forderte die Berliner Datenschutzbehörde, die Corona-Warn-App auch in Berlin zuzulassen.

Doch mittlerweile kommt etwas Bewegung in die App-Käufe - die zum Teil rechtswidrig und damit unwirksam sind.