Hennig: Noch keine Sicherheitslücke bei Luca gefunden

"Bis heute gab es keine einzige Sicherheitslücke. Alles, was als vermeintliche Sicherheitslücke tituliert war, sind bewusste Entscheidungen zugunsten der Datensparsamkeit gewesen. Das Kryptokonzept ist das stärkste, was es auf dem Markt gibt in dem Bereich", sagte der Nexenio-Chef. Mitentwickler Marian Margraf vom Fraunhofer AISEC habe im Bundesinnenministerium die Kryptografie des Personalausweises verantwortet.

Warum lassen renommierte Sicherheitsforscher und der CCC dennoch kein gutes Haar an Luca? Für Hennig beruht dies vor allem auf der Grundsatzdiskussion im vergangenen Jahr, ob die Corona-Warn-App (CWA) die Daten zentral oder dezentral speichern solle.

"Schon damals wollte man ein zentrales System, das Daten mit den Gesundheitsämtern austauscht. Damals war die Pandemie noch sehr am Anfang, man wusste auch noch deutlich weniger über die Verbreitung des Virus als heute", sagte Hennig und räumte ein: "Wir sind von der Kritik der netzpolitischen Szene auch etwas überrascht worden und haben an der ein oder anderen Stelle falsch oder zu emotional reagiert."

Datenschützer nicht gegen die Luca-App

Anders als im vergangenen Jahr musste die Politik bei der Luca-App jedoch keine Rücksicht auf die Vorgaben der Betriebssystemhersteller Google und Apple nehmen. Vermutlich wollte man einfach eine schnelle Lösung für das Problem, ohne langwierige Debatten mit Bedenkenträgern aus der Netzcommunity. Dafür spricht zum Beispiel, dass Berlins Regierender Bürgermeister Michael Müller den Lizenzkauf praktisch im Alleingang beschlossen hat. Er wolle nicht mehr auf den Langsamsten warten, sagte er. Zudem hatten die Datenschutzbehörden im Prinzip nichts gegen das Konzept von Luca einzuwenden.

So lehnten die Datenschutzbehörden von Bund und Ländern Ende April 2021 in einer Orientierungshilfe zu Kontaktverfolgungs-Apps (PDF) solche zentralen Systeme wie die Luca-App nicht grundsätzlich ab. Sowohl zentrale als auch dezentrale Ansätze wie die Corona-Warn-App ermöglichten "grundsätzlich die gleiche Funktionalität" sowohl im Hinblick auf die Erfüllung der infektionsschutzrechtlichen Anforderungen als auch auf die Einhaltung der datenschutzrechtlichen Vorgaben.

Datenschützer wollen weg von der Zettelwirtschaft

Die Bereitschaft der Datenschützer, die Luca-App zu akzeptieren, kommt nicht von ungefähr. "Wir haben ein großes Interesse daran, dass der Datenschutz hier ermächtigt und nicht verhindert", sagte der Hamburgische Datenschutzbeauftragte Johannes Caspar Mitte März und fügte hinzu: "Wir brauchen eine Lösung, wir brauchen vielleicht sogar mehrere Lösungen. Aber wir müssen irgendwann mal antreten und die Dinge auf den Weg bringen."

Denn seine Behörde stört sich schon seit Längerem an der "Zettelwirtschaft" mit teilweise offenen Gästelisten. Die Apps könnten "viel datenschutzgerechter" sein, sagte Caspar, "anders kann es gar nicht funktionieren".

Doch die Sicherheitsexperten haben ihre Kritik nicht eingestellt, sondern noch verstärkt. Der CCC forderte Mitte April öffentlichkeitswirksam eine "Bundesnotbremse" für Luca. Mehr als 70 Sicherheitsexperten warnten Ende April vor den Gefahren einer zentralen Speicherung der Daten. Selbst große Unternehmen seien kaum in der Lage, solche Systeme vollständig zu sichern.

Kritisiert wird vom CCC vor allem die Verschwendung von Steuermitteln "für digitale Heilsversprechen".