Stellungnahme: Entwickler der Luca-App bezeichnen CCC-Kritik als überzogen

Der Chaos Computer Club fordert die Aussetzung der Luca-App. In einer ausführlichen Stellungnahme verteidigen die Entwickler ihre Anwendung.

Artikel veröffentlicht am , Manuel Bauer
Die Entwickler der Luca-App weisen Kritik an ihrer Anwendung zurück.
Die Entwickler der Luca-App weisen Kritik an ihrer Anwendung zurück. (Bild: Friedhelm Greis/Golem.de)

Die Entwickler der Kontaktverfolgungs-App Luca haben in einem acht Seiten umfassenden Dokument Stellung zu Vorwürfen des Chaos Computer Clubs (CCC) bezogen. In ihren Ausführungen, die Golem.de vorliegen, weisen sie die Kritik der Hackervereinigung als "überzogen" zurück, räumen aber auch berechtigte Kritik an einigen Schwachpunkten ein, die mittlerweile behoben worden seien.

Stellenmarkt
  1. IT-Spezialist als Software-Entwickler (m/w/d)
    McPaper AG, Berlin
  2. Product Designer UX/UI (m/f/d)
    ToolTime GmbH, Berlin
Detailsuche

Die Macher der Luca-App betonen, dass die Anwendung lediglich ein Hilfsmittel zur Eindämmung der Coronapandemie sei und nicht als "alleiniger Heilsbringer" betrachtet werden dürfe. Den Vorwurf massiver Sicherheitsmängel können die Entwickler eigenen Angaben zufolge nicht nachvollziehen, ihnen seien keine Lücken im Luca-System bekannt.

Auch den Vorwurf unseriöser Geschäftspraktiken wollen die Entwickler nicht gelten lassen. Das Service-Angebot sei transparent, das Geschäftsmodell klar und nachvollziehbar strukturiert. Luca biete Bundesländern den Erwerb von Lizenzen zur Nutzung des hauseigenen Systems durch die jeweiligen Gesundheitsämter an.

Die Software ermögliche die Kontaktnachverfolgung, indem sie Nutzer- und Betreiberdaten Ende-zu-Ende-verschlüsselt an die Ämter übertrage. Die Anbindung ans Luca-System erfolge für alle Parteien unentgeltlich. Die Erfassung von Check-in-Daten sei zweckgebunden und werde von Datenschutzbehörden kontinuierlich überwacht.

Keine Unregelmäßigkeiten bei Luca-Auftragsvergabe

Golem Akademie
  1. Data Engineering mit Apache Spark: virtueller Zwei-Tage-Workshop
    25.–26. April 2022, Virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

Dass es Unregelmäßigkeiten bei der Auftragsvergabe durch die Bundesländer gegeben habe, weisen die Luca-Entwickler ebenfalls zurück und berufen sich auf die gesetzlichen Regeln zur Vergabe öffentlicher Aufträge, die alle eingehalten worden seien. Das hätten unter anderem das Sozialministerium Baden-Württemberg sowie das Ministerium für Energie, Infrastruktur und Digitalisierung in Mecklenburg-Vorpommern bestätigt.

Auf viele der zahlreichen vom Chaos Computer Club beanstandeten Mängel im Bereich Datenschutz, Transparenz und Sicherheit haben die Luca-Entwickler eigenen Angaben zufolge bereits mit Verbesserungen reagiert. So habe man etwa die SMS-Verifizierung durch Einrichtung eines Rate-Limits abgesichert.

Ein potenzielles missbräuchliches Skript könne damit nicht mehr unbegrenzt viele gefälschte Anrufe im Namen der App absetzen. Eine Blacklist für IP-Adressen von Bot-Netzwerken und dem TOR-Netzwerk soll zusätzliche Sicherheit bieten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Den fehlenden Quellcode zur Umsetzung des Open-Source-Versprechens haben die Entwickler jüngst nachgereicht. Seit dem 14. April 2021 ist der komplette Code auf Gitlab öffentlich einsehbar.

Den Vorwurf, das Luca-Backend könne Geräte eindeutig identifizieren und Check-ins somit Personen zuweisen, bezeichnen die Entwickler als Fundamentalkritik an zentraler Datenspeicherung. Entsprechende Vorwürfe ließen sich auch auf diverse andere Bereiche des gesellschaftlichen Lebens anwenden.

Missbrauch des Schlüsselanhängers nicht mehr möglich

Den wegen Sicherheitsmängeln heftig in die Kritik geratenen Schlüsselanhänger, der die Nutzung der Smartphone-App ersetzen soll, verteidigen die Luca-Macher ebenfalls. Nach den Vorwürfen habe man die Möglichkeit deaktiviert, die Nutzerhistorie durch Dritte auszulesen. Die Kontaktdaten der Nutzer seien jedoch schon vorher sicher gewesen.

Ob sich die Debatte nach Veröffentlichung des Statements abkühlt, bleibt abzuwarten. Nicht jede Erklärung dürfte Kritiker zufriedenstellen. Die Datenschützerin Theresa Stadler bezeichnete die Diskussion um die Luca-App in einem aktuellen NDR-Podcast als PR-Schlacht, die zunehmend eine fachliche Grundlage vermissen lasse.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


JackOfAllRaidz 20. Mai 2021

Seh ich auch so, aber diejeniegen die auf Kosten anderer Spaß haben, sollten automatisch...

einglaskakao 16. Apr 2021

Der Product owner ist das RKI.

ubuntu_user 16. Apr 2021

außerdem ist die Qualität deutscher Industriestandard

ubuntu_user 16. Apr 2021

wir haben ja offensichtlich kein Geld für GesundheitsmitarbeitermKontrolleure, Impfstoff...

anstaendiger 16. Apr 2021

Vom Schloss und Schlüssel..... sollte heute nicht mehr möglich sein nur anhand eines...



Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /