Digitale Gästelisten: Woher kommt der Hass auf die Luca-App?
Es hat wohl selten eine Smartphone-App gegeben, der so viel Häme und Abneigung entgegengeschlagen ist. Renommierte Sicherheitsforscher, der Chaos Computer Club und große Teile der Netzcommunity verdammen die Luca-App zur Kontaktnachverfolgung und fordern den sofortigen Verzicht auf "den blöden Scheiß" oder die "unkontrollierte Jauchegrube für personenbezogene Daten" , wie es der Entwickler Kristian Köhntopp formulierte(öffnet im neuen Fenster) . Doch ist diese extreme Abneigung, die schon als Hass bezeichnet werden kann, auf die Luca-App berechtigt? Das ganze Konzept der Kontaktnachverfolgung scheint viel fragwürdiger als die Luca-App selbst.
Zunächst lässt sich festhalten: Die Bundesländer haben mit der Luca-App eine digitale Lösung für ein Problem gefunden, das sie sich selbst geschaffen haben. Denn weiterhin schreiben die Coronaverordnungen aller Bundesländer außer Sachsen vor, dass bei Veranstaltungen oder in Restaurants die Kontaktdaten von Besuchern und Gästen aufgenommen werden müssen. Um diesen Prozess zu vereinfachen, gab es auch schon vor der Luca-App zahlreiche digitale Lösungen.
Wer braucht eigentlich die Gästelisten?
Allerdings muss die Frage erlaubt sein, was dieser Aufwand für die Kontaktnachverfolgung überhaupt bringt. Einblicke in die entsprechende Arbeit der Behörden gab in der vergangenen Woche die Webentwicklerin Bianca Kastl, die seit August 2020 das Gesundheitsamt Bodenseekreis bei der digitalen Kontaktnachverfolgung unterstützt. In einem Fachgespräch des Bundestags-Digitalausschusses(öffnet im neuen Fenster) sagte Kastl: "Infektionsszenarien, die unbedingt vollständige Gästelisten benötigen, sind selten. Es waren bisher lediglich drei im Gesundheitsamt Bodenseekreis in der gesamten Pandemie. Die Zahlen in anderen Ämtern sind ähnlich."
Das bedeutet: Die Gesundheitsämter brauchen die Gästelisten nur, wenn sie zu der Überzeugung gekommen sind, dass bei einer Veranstaltung gehäuft Infektionen aufgetreten sind oder es sich gar um einen "Super-Spreader-Event" handelt. Doch da es solche Veranstaltungen wie die berüchtigten Après-Ski-Partys in Ischgl offiziell schon lange nicht mehr gibt, sind die Gästelisten für die Polizei möglicherweise interessanter als für die Gesundheitsämter. Und wer illegal Partys veranstaltet, wird wohl kaum zuverlässige Gästelisten führen.
Laschet: Alle technischen Möglichkeiten nutzen
Daher haben wir uns bei Golem.de gewundert, als der nordrhein-westfälische Ministerpräsident und CDU-Vorsitzende Armin Laschet Ende Februar die damals noch ziemlich unbekannte Luca-App empfahl . Mitten im Übergang von der zweiten zur dritten Infektionswelle schien es wenig sinnvoll, Veranstaltungen zu erlauben oder Restaurants zu öffnen, die eine solche App überhaupt benötigt hätten.
Doch Laschet forderte "neue Wege im Umgang mit der Pandemie" . Alle technischen Möglichkeiten sollten genutzt werden. Von den angeblichen Vorteilen der Luca-App hatte ihn der Musiker Smudo von den Fantastischen Vier offenbar am Tag zuvor in einem Telefonat überzeugt. Anders als von Laschet gewünscht, wurde der Einsatz der Luca-App zwar nicht von den Ministerpräsidenten in einer Videokonferenz am 3. März bundesweit beschlossen. Doch schon am 8. März kaufte Mecklenburg-Vorpommern eine Lizenz von den Entwicklern. Laschet hat hingegen bis heute keine Lizenz für Nordrhein-Westfalen gekauft.
Warum in wenigen Wochen zwölf weitere Bundesländer dem Beispiel Mecklenburg-Vorpommerns folgten und für mehr als 20 Millionen Euro Lizenzen kauften, ist auf den ersten Blick nicht ganz nachvollziehbar.
Luca-App-Entwickler: Wir waren die ersten
Patrick Hennig, der mit seinen Firmen Nexenio und Culture4life das Luca-System entwickelt und vermarktet, sagte dazu im Gespräch mit Golem.de: "Wir waren die ersten, die mit den Gesundheitsämtern geredet haben. Weil wir immer gesagt haben: Ein Businessmodell, das auf Restaurants aufbaut, wird nicht funktionieren und keinen Beitrag in der Pandemie leisten. Wir haben gesagt, wir müssen mit den Gesundheitsämtern sprechen, weil wir gesehen haben, dass dort das Problem ist. Das war das Wichtige für uns."
Nexenio hat im September 2020 mit der Entwicklung des Systems begonnen. Von den 60 Mitarbeitern beschäftigen sich 30 mit Luca. Im November und Dezember vergangenen Jahres liefen die ersten Prototypen. Dann wurde das System zunächst auf drei Gesundheitsämter ausgeweitet. Erst Mitte bis Ende Februar wurde damit gestartet, das System in die Gesundheitsämter zu verteilen. "90 Prozent der Entwicklung ist für das System dahinter aufgewendet worden, die App ist 'dummes Frontend'" , sagte Hennig.
Andere erfüllten Anforderungen nicht
Doch die Anbindung an die Gesundheitsämter ist laut Nexenio nicht die einzige Besonderheit der App. "Wir haben erkannt: Andere Apps genügten nicht den Anforderungen der Länder und Datenschutzbehörden. Dazu zählen Ende-zu-Ende-Verschlüsselung und alleiniger Zugriff durch die Gesundheitsämter. Da gibt es kein anderes Produkt" , sagte Hennig.
Dass solche Anforderungen an ein System zur Kontaktnachverfolgung sinnvoll sind, haben die Sicherheitsprobleme bei anderen Anbietern im vergangenen Jahr gezeigt. So gelang es Sicherheitsexperten vom CCC, die digitale Gästeliste des Anbieters Gastronovi zu hacken .
Doppelte Verschlüsselung
Laut CCC-Sprecher Linus Neumann lag ein Problem darin, dass viele digitale Kontakterfassungswerkzeuge schnell an die Bedürfnisse der Coronalisten angepasst wurden, anstatt sich mit den besonderen Datenschutzanforderungen auseinanderzusetzen. "Die sensiblen Daten landen dann nicht etwa beim Restaurant, sondern auf einem großen Haufen irgendwo im Internet, wo sie die nächsten Jahre auf interessierte Hackerinnen warten" , sagte Neumann.
Um das zu verhindern, hat Nexenio ein eigenes Kryptokonzept entwickelt . Dabei werden die Kontaktdaten der Nutzer doppelt verschlüsselt: von den Veranstaltern mit einem individuellen Schlüssel sowie mit einem täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann.
Hennig ist erkennbar stolz auf dieses Konzept.
Hennig: Noch keine Sicherheitslücke bei Luca gefunden
"Bis heute gab es keine einzige Sicherheitslücke. Alles, was als vermeintliche Sicherheitslücke tituliert war, sind bewusste Entscheidungen zugunsten der Datensparsamkeit gewesen. Das Kryptokonzept ist das stärkste, was es auf dem Markt gibt in dem Bereich" , sagte der Nexenio-Chef. Mitentwickler Marian Margraf vom Fraunhofer AISEC habe im Bundesinnenministerium die Kryptografie des Personalausweises verantwortet.
Warum lassen renommierte Sicherheitsforscher und der CCC dennoch kein gutes Haar an Luca? Für Hennig beruht dies vor allem auf der Grundsatzdiskussion im vergangenen Jahr, ob die Corona-Warn-App (CWA) die Daten zentral oder dezentral speichern solle.
"Schon damals wollte man ein zentrales System, das Daten mit den Gesundheitsämtern austauscht. Damals war die Pandemie noch sehr am Anfang, man wusste auch noch deutlich weniger über die Verbreitung des Virus als heute" , sagte Hennig und räumte ein: "Wir sind von der Kritik der netzpolitischen Szene auch etwas überrascht worden und haben an der ein oder anderen Stelle falsch oder zu emotional reagiert."
Datenschützer nicht gegen die Luca-App
Anders als im vergangenen Jahr musste die Politik bei der Luca-App jedoch keine Rücksicht auf die Vorgaben der Betriebssystemhersteller Google und Apple nehmen. Vermutlich wollte man einfach eine schnelle Lösung für das Problem, ohne langwierige Debatten mit Bedenkenträgern aus der Netzcommunity. Dafür spricht zum Beispiel, dass Berlins Regierender Bürgermeister Michael Müller den Lizenzkauf praktisch im Alleingang beschlossen hat(öffnet im neuen Fenster) . Er wolle nicht mehr auf den Langsamsten warten, sagte er. Zudem hatten die Datenschutzbehörden im Prinzip nichts gegen das Konzept von Luca einzuwenden.
So lehnten die Datenschutzbehörden von Bund und Ländern Ende April 2021 in einer Orientierungshilfe zu Kontaktverfolgungs-Apps (PDF)(öffnet im neuen Fenster) solche zentralen Systeme wie die Luca-App nicht grundsätzlich ab. Sowohl zentrale als auch dezentrale Ansätze wie die Corona-Warn-App ermöglichten "grundsätzlich die gleiche Funktionalität" sowohl im Hinblick auf die Erfüllung der infektionsschutzrechtlichen Anforderungen als auch auf die Einhaltung der datenschutzrechtlichen Vorgaben.
Datenschützer wollen weg von der Zettelwirtschaft
Die Bereitschaft der Datenschützer, die Luca-App zu akzeptieren, kommt nicht von ungefähr. "Wir haben ein großes Interesse daran, dass der Datenschutz hier ermächtigt und nicht verhindert" , sagte der Hamburgische Datenschutzbeauftragte Johannes Caspar Mitte März und fügte hinzu: "Wir brauchen eine Lösung, wir brauchen vielleicht sogar mehrere Lösungen. Aber wir müssen irgendwann mal antreten und die Dinge auf den Weg bringen."
Denn seine Behörde stört sich schon seit Längerem an der "Zettelwirtschaft" mit teilweise offenen Gästelisten. Die Apps könnten "viel datenschutzgerechter" sein, sagte Caspar, "anders kann es gar nicht funktionieren" .
Doch die Sicherheitsexperten haben ihre Kritik nicht eingestellt, sondern noch verstärkt. Der CCC forderte Mitte April öffentlichkeitswirksam eine "Bundesnotbremse" für Luca. Mehr als 70 Sicherheitsexperten warnten Ende April vor den Gefahren einer zentralen Speicherung der Daten. Selbst große Unternehmen seien kaum in der Lage, solche Systeme vollständig zu sichern.
Kritisiert wird vom CCC vor allem die Verschwendung von Steuermitteln "für digitale Heilsversprechen" .
CCC: Luca-App ist irreparabel kaputt
Auf die Anfrage von Golem.de, ob die Community neidisch auf die Lizenzzahlungen für das System sei, antwortete der CCC: "Über 20 Millionen Euro für eine nach Mehrheitsmeinung der Sicherheitsforschung irreparabel kaputte App sind zweifelsohne sehr großzügig und wären besser in der Impfung von benachteiligten und marginalisierten Bevölkerungsgruppen aufgehoben gewesen."
Angesichts der Tatsache, dass das Bundesgesundheitsministerium ohne großes Zögern 2 Milliarden Euro ausgegeben hat, damit Apotheken FFP2-Masken zum Preis von 6 Euro pro Stück verschenken durften(öffnet im neuen Fenster) , erscheinen die Lizenzgebühren für die App wie die berühmten Peanuts. Und den Nachweis, dass die App "irreparabel kaputt" ist, hat bislang noch kein Sicherheitsexperte geführt. Selbst das Problem der gefälschten Check-ins soll demnach behoben werden .
Kritik teils unberechtigt
Politik und Nexenio haben daher gemeinsam den Zorn auf sich gezogen, weil sie sich erdreistet haben, ein Konzept umzusetzen, das nach Ansicht von Sicherheitsexperten nicht funktionieren darf . Daher scheint das Ziel der Community zu sein, den Misserfolg der Luca-App um jeden Preis herbeizuführen oder zumindest herbeizureden.
Nexenio-Chef Hennig sagte dazu: "Wir waren in den letzten Wochen sehr in der Kritik. Das bindet bei uns natürlich viel Energie und auch viele Kapazitäten." Ärgerlich findet er unberechtigte Kritik wie im Falle eines Schlüssels, der zum Testen des Codes hochgeladen worden war.
Lohnt sich das Risiko noch?
Die vier Forderungen der mehr als 70 Sicherheitsforscher an eine Kontaktnachverfolgung stehen nach Ansicht Hennigs überhaupt nicht zur Diskussion. "Die Punkte unterstreichen wir 100-prozentig" , sagte er Golem.de. Zu diesen Prinzipien zählen Zweckbindung, Offenheit und Transparenz, Freiwilligkeit und Risikoabwägung. In einem eigenen Blogbeitrag (öffnet im neuen Fenster) hat Luca versucht, die Kritik zu widerlegen.
Am schwierigsten ist dabei die Frage zu beantworten, ob der Nutzen digitaler Gästelisten in der Pandemiebekämpfung das Risiko rechtfertig, die Daten an zentraler Stelle verschlüsselt zu speichern. Da die Corona-Warn-App nun ebenfalls über eine Funktion zur Eventregistrierung verfüge, sei die Luca-App überflüssig, sagen Kritiker wie der CCC. Denn das Konzept der Corona-Warn-App sei besser, weil es dezentral und anonym funktioniere und schneller informiere.
Doch das ignoriert einige Nachteile des Konzeptes.
Auch die Corona-Warn-App hat Nachteile
So sind von den fast 3,3 Millionen seit September 2020 in Deutschland registrierten Corona-Infektionen nur 437.000 über die Corona-Warn-App gemeldet worden (PDF)(öffnet im neuen Fenster) . Das entspricht einem Anteil von 13,3 Prozent.
Daher ist die Wahrscheinlichkeit sehr gering , nach einer Veranstaltung tatsächlich über die App gewarnt zu werden, wenn die Infektion eines Teilnehmers festgestellt wurde. Falsche Warnungen sind ebenfalls möglich . Die Wahrscheinlichkeit könnte deutlich erhöht werden, wenn es den Gesundheitsämtern oder Veranstaltern möglich wäre, die entsprechenden Codes hochzuladen. Diese Möglichkeit fordert unter anderem der Bundesdatenschutzbeauftragte Ulrich Kelber. Sie wird bereits von den Entwicklern, der Deutschen Telekom und SAP, geprüft.
Datenqualität angeblich bei fast 100 Prozent
Andererseits stellt sich die Frage, wie sinnvoll eine ungefilterte Warnung aller App-Nutzer ist. Wenn die Gesundheitsämter, wie von Kastl erläutert, nur in den wenigsten Fällen solche Events als Infektionsherde einstufen, müsste im Grund nicht jeder Teilnehmer automatisch gewarnt werden. Kastl sagte in ihrem Statement (öffnet im neuen Fenster) vor dem Bundestagsausschuss: "Selbst mit Öffnungen ergibt sich durch Gästelistenapps wie Luca kaum weniger Arbeit für Gesundheitsämter, eher mehr. Denn Cluster bei Ereignissen brauchen oftmals eine ausführliche Analyse, während der die CWA vielleicht bereits die Anwesenden gewarnt hat."
Laut Kastl lohnt sich die Auswertung von Gästelisten "nur bei erkennbar hohem Risiko eines Clusters" . Dabei helfe nur gute Datenqualität weiter. Auch das ist weiterhin ein strittiger Punkt bei der Luca-App, vor allem durch die Möglichkeit, falsche Personendaten anzugeben oder sich bei entfernten Veranstaltungen einzuloggen. Hennig sagte dazu in der Ausschusssitzung, dass es bei Öffnungen in der Modellregion Nordfriesland nach mehreren Infektionsfällen eine fast 100-prozentige Datenqualität gegeben habe: "Von über 100 Kontaktdaten war bei einem der Vorname falsch."
Wann hat sich das Thema erledigt?
Nach Ansicht des IT-Experten Henning Tillmann stellt sich ohnehin die Frage, ob diese ganzen Nachverfolgungssysteme bei einer durchgeimpften Bevölkerung noch erforderlich sind. "Wir lange wollen wir uns mit dem Thema noch beschäftigen?" , fragte er im Bundestag. Er verwies auf das Beispiel Israel, wo die Inzidenzwerte inzwischen bei 5 lägen und 60 Prozent der Bevölkerung geimpft seien.
Wie lange braucht man also noch Systeme wie Luca? Möglicherweise nur für den Zeitraum zwischen den ersten Lockerungen und einer Herdenimmunität mit sehr niedrigen Infektionswerten. So lange sollten nach Ansicht Hennigs die Luca-App und die Corona-Warn-App parallel eingesetzt werden. "Nur dezentral und anonym alleine funktioniert nicht. Es muss halt eine Mischung sein. Beides ergänzt sich" , sagte er Golem.de.
Im Streit mit der Sicherheits-Community setzt er darauf, "dass sich die Hitze der Diskussion etwas legt" . Er werde sich "jedenfalls freuen, wenn man öfter miteinander spricht als übereinander. Ich denke, das war zuletzt auch der Fall - wir haben ja ein gemeinsames Interesse, die Sicherheit von Lösungen wie Luca zu erhöhen."
Nachtrag vom 12. Mai 2021, 11:33 Uhr
Wir haben im ersten Absatz noch ergänzt, warum wir die Kritik an der Luca-App als extrem empfinden und sie unserer Ansicht nach in bestimmten Kreisen regelrecht verhasst ist.
Nachtrag vom 12. Mai 2021, 22:14 Uhr
Auf Anfrage von Golem.de, inwieweit das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Gutachten zur Luca-App erstellt hat, teilte die Behörde am 12. Mai 2021 mit: "Das BSI hat mit Stand Anfang Mai die iOS-Version der Luca-App im Rahmen seines App-Testing-Portals durch einen IT-Sicherheitsdienstleister prüfen lassen." Das App-Testing-Portal sei ein Angebot des BSI an die Bundesverwaltung, um den Einsatz von Apps auf Dienst-IT im vertraulichen Umfeld (VS/Verschlusssachen) überprüfen zu lassen. Diese Tests hätten eine begrenzte Prüftiefe und bezögen sich explizit nur auf die mobile Anwendung.
Weiter sagte ein Sprecher: "Es gibt kein Auftrag an das BSI, eine intensivere Prüfung der Luca-App vorzunehmen. Die Prüfung der Luca-App ist daher nicht vergleichbar mit der anhaltenden entwicklungsbegleitenden IT-Sicherheitsprüfung der Corona-Warn-App wie sie durch das BSI weiterhin durchgeführt wird." Ähnlich hatte sich auch BSI-Präsident Arne Schönbohm im Digitalausschuss geäußert: "Zum Thema der Luca-App ist es so: Das ist ja eine App wie viele andere Apps dementsprechend auch. Dort sind wir nicht intensiv eingebunden in die Prüfung letzten Endes der Sicherheit der einzelnen Funktionalitäten."