Kontaktnachverfolgung mit Luca: Mal wieder eine Corona-App, die es richten soll

Die Zettelwirtschaft bei der Kontaktnachverfolgung von Corona-Infektionen muss weg - das finden selbst Datenschützer. Ist die Luca-App die Lösung?

Ein Bericht von veröffentlicht am
Die Luca-App soll die Kontaktnachverfolgung bei Corona-Infektionen erleichtern.
Die Luca-App soll die Kontaktnachverfolgung bei Corona-Infektionen erleichtern. (Bild: Martin Wolf/Golem.de)

Es ist deprimierend, wenn ein Jahr nach Beginn der Corona-Pandemie immer noch über eine digitale Kontaktnachverfolgung diskutiert werden muss. Die meisten Menschen sind genervt, weiterhin an vielen Orten auf Zetteln und Listen ihre Daten hinterlassen zu müssen. Doch warum sich die Politik nun plötzlich auf die Luca-App versteift hat, ist für andere Anbieter und manche Datenschützer nicht ganz nachvollziehbar. In einem Webinar der Europäischen Akademie für Datenschutz (EAID) wurde am Montagabend zwei Stunden lang über Vor- und Nachteile der Konzepte diskutiert.

Inhalt:
  1. Kontaktnachverfolgung mit Luca: Mal wieder eine Corona-App, die es richten soll
  2. Kritik an Erfassung von Kontaktdaten zur Corona-Bekämpfung
  3. Gegen Corona hilft "nicht irgendeine Krauterlösung"

Die Popularität der Luca-App beruht auf zwei Faktoren: Zum einen hat der Rapper Smudo von den Fantastischen Vier, die an der Entwicklung der App beteiligt waren, vor kurzem sogar den nordrhein-westfälischen Ministerpräsidenten und CDU-Vorsitzenden Armin Laschet als Fürsprecher gewinnen können. Zum anderen ist der Druck aus dem Gaststättengewerbe und der Veranstaltungsbranche groß, mit einer besseren Kontaktnachverfolgung Lockerungen zu ermöglichen.

Erstes Bundesland kauft Luca-App

Mecklenburg-Vorpommern hat dem Druck bereits nachgegeben und in der vergangenen Woche für 440.000 Euro eine Lizenz bei der Berliner Entwicklungsfirma Nexenio, einer Ausgründung des Hasso-Plattner-Instituts, gekauft. "Die App ersetzt die handschriftliche Eintragung von Kundennamen und -adressen in Listen, die bislang zum Beispiel in Restaurants oder Kinos auslagen", teilte die Landesregierung in Schwerin mit.

Nexenio-Chef Patrick Hennig verteidigte am Montag das Konzept als Versuch, "Gesundheitsamt und Bürger näher zusammenzubringen". Es gehe vor allem darum, die manuelle Kontaktnachverfolgung zu beschleunigen und dabei zwei bis drei Tage Zeit zu gewinnen. Zu diesem Zweck soll es möglich sein, die Daten von Luca direkt in das Datenverarbeitungssystem Sormas zu übertragen.

Kontaktdaten werden doppelt verschlüsselt

Stellenmarkt
  1. DevOps Engineer / Cloud Operator (m/w/d)
    GK Software SE, Schöneck (Vogtland), St. Ingbert, Pilsen (Tschechische Republik)
  2. Frontend Developer (f/m/d)
    HEINE Optotechnik GmbH & Co. KG, Weimar, Gilching bzw. remote
Detailsuche

Um dieses Ziel zu erreichen, melden sich Nutzer bei der App mit ihren persönlichen Daten an. Nehmen sie an einer Veranstaltung teil, scannen sie einen QR-Code ein, den der Betreiber erstellt hat. Dabei übermitteln sie ihre Kontaktdaten, die mit einem Tagesschlüssel der deutschen Gesundheitsämter verschlüsselt werden. Der Betreiber sendet die Kontaktdaten, die er mit seinem eigenen Schlüssel zusätzlich schützt, zusammen mit einer Betreiber-ID, einer Trace-ID und einem Zeitstempel an Luca.

Die Besuchshistorie wird in der App gespeichert und kann im Falle einer Infektion dem Gesundheitsamt zur Verfügung gestellt werden. Um die Daten zu entschlüsseln, stellt die Luca-App Nutzern eine TAN zur Verfügung, die diese an das Amt weitergeben. Auf Basis dieser Daten fragt die Behörde dann bei Luca die entsprechenden Veranstaltungen an. Das System erfragt anschließend bei den ermittelten Veranstaltungen zunächst den Betreiberschlüssel.

  • Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
  • Die Luca-App verwendet dazu die Verschlüsselungsverfahren AES 128 CTR und das Authentifizierungsverfahren HMAC SHA-256. (Grafik: Luca App/Screenshot: Golem.de)
  • Es gibt nur einen Tagesschlüssel für alle Gesundheitsämter, der die Kontaktdaten verschlüsselt. (Grafik: Luca App/Screenshot: Golem.de)
  • Die infizierte Person leitet die Daten freiwillig an das Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Luca gibt die Daten zu einzelnen Veranstaltungen an das anfragende Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Die verwendeten kryptographischen Verfahren (Grafik: Luca App/Screenshot: Golem.de)
  • Der Quellcode der App wurde Ende März 2021 veröffentlicht. (Grafik: Luca App/Screenshot: Golem.de)
Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)

Luca sendet die in erster Stufe entschlüsselten Datensätze an das Gesundheitsamt. Nur das Amt kann daraus mit seinem eigenen Schlüssel die Kontaktdaten der Teilnehmer ermitteln. Da es bundesweit nur einen täglich wechselnden Schlüssel für alle Ämter gibt, ist die Entschlüsselung unabhängig davon möglich, wo eine infizierte Person eine Veranstaltung besucht hat. Luca setzt auf die Verschlüsselungsverfahren AES 128 CTR und HMAC mit SHA-256. Die doppelte Verschlüsselung solle sicherstellen, dass weder der Betreiber noch Luca die Kontaktdaten einsehen könnten, erläuterte Marian Margraf von der FU Berlin, der das Kryptokonzept mitentwickelt hat.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Trotz dieser Vorkehrungen stört sich Jan Kus von der Initiative Wir für Digitalisierung an dem Konzept.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Kritik an Erfassung von Kontaktdaten zur Corona-Bekämpfung 
  1. 1
  2. 2
  3. 3
  4.  


treysis 19. Mär 2021

Naja, eine Telefonnummer wollen sie. Der Rest ist optional.

mfeldt 17. Mär 2021

Also mir gefällt am besten, daß sie offenbar jeden Tag auf's Neue maßlos überrascht...

DerCaveman 17. Mär 2021

Ja, dass da einiges mehr als Bescheiden lief und läuft braucht man nicht...

Ely 17. Mär 2021

Sormas ist modular und wird nur mit den notwendigen Funktionen in den Ämtern eingesetzt...

Iruwen 17. Mär 2021

Dann werden dir Impfpflicht, Waffengesetze und Drogenverbote ja große Freude bereiten.



Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

  2. Hohe Nachfrage: BMW plant Sonderschichten für den neuen i4
    Hohe Nachfrage
    BMW plant Sonderschichten für den neuen i4

    Das neue Elektroauto ist begehrt: Die Wartezeiten für den BMW i4 könnten ohne zusätzliche Produktion auf bis zu ein Jahr steigen.

  3. Wirtschaftsministerium Niedersachsen: Bisher gelten noch 56 KBit/s als Breitband
    Wirtschaftsministerium Niedersachsen
    "Bisher gelten noch 56 KBit/s als Breitband"

    Das Recht auf schnelles Internet und Universaldienstverpflichtung sind im neuen Telekommuniktionsgesetz (TKG) noch nicht bestimmt. Bisher gilt eigentlich ein absurder Wert aus der Vergangenheit.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /