Stellungnahme: Entwickler der Luca-App bezeichnen CCC-Kritik als überzogen

Die Entwickler der Kontaktverfolgungs-App Luca haben in einem acht Seiten umfassenden Dokument Stellung zu Vorwürfen des Chaos Computer Clubs (CCC) bezogen. In ihren Ausführungen, die Golem.de vorliegen, weisen sie die Kritik der Hackervereinigung als "überzogen" zurück, räumen aber auch berechtigte Kritik an einigen Schwachpunkten ein, die mittlerweile behoben worden seien.

Die Macher der Luca-App betonen, dass die Anwendung lediglich ein Hilfsmittel zur Eindämmung der Coronapandemie sei und nicht als "alleiniger Heilsbringer" betrachtet werden dürfe. Den Vorwurf massiver Sicherheitsmängel können die Entwickler eigenen Angaben zufolge nicht nachvollziehen, ihnen seien keine Lücken im Luca-System bekannt.

Auch den Vorwurf unseriöser Geschäftspraktiken wollen die Entwickler nicht gelten lassen. Das Service-Angebot sei transparent, das Geschäftsmodell klar und nachvollziehbar strukturiert. Luca biete Bundesländern den Erwerb von Lizenzen zur Nutzung des hauseigenen Systems durch die jeweiligen Gesundheitsämter an.

Die Software ermögliche die Kontaktnachverfolgung, indem sie Nutzer- und Betreiberdaten Ende-zu-Ende-verschlüsselt an die Ämter übertrage. Die Anbindung ans Luca-System erfolge für alle Parteien unentgeltlich. Die Erfassung von Check-in-Daten sei zweckgebunden und werde von Datenschutzbehörden kontinuierlich überwacht.

Keine Unregelmäßigkeiten bei Luca-Auftragsvergabe

Dass es Unregelmäßigkeiten bei der Auftragsvergabe durch die Bundesländer gegeben habe, weisen die Luca-Entwickler ebenfalls zurück und berufen sich auf die gesetzlichen Regeln zur Vergabe öffentlicher Aufträge, die alle eingehalten worden seien. Das hätten unter anderem das Sozialministerium Baden-Württemberg sowie das Ministerium für Energie, Infrastruktur und Digitalisierung in Mecklenburg-Vorpommern bestätigt.

Auf viele der zahlreichen vom Chaos Computer Club beanstandeten Mängel im Bereich Datenschutz, Transparenz und Sicherheit haben die Luca-Entwickler eigenen Angaben zufolge bereits mit Verbesserungen reagiert. So habe man etwa die SMS-Verifizierung durch Einrichtung eines Rate-Limits abgesichert.

Ein potenzielles missbräuchliches Skript könne damit nicht mehr unbegrenzt viele gefälschte Anrufe im Namen der App absetzen. Eine Blacklist für IP-Adressen von Bot-Netzwerken und dem TOR-Netzwerk soll zusätzliche Sicherheit bieten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Den fehlenden Quellcode zur Umsetzung des Open-Source-Versprechens haben die Entwickler jüngst nachgereicht. Seit dem 14. April 2021 ist der komplette Code auf Gitlab öffentlich einsehbar.

Den Vorwurf, das Luca-Backend könne Geräte eindeutig identifizieren und Check-ins somit Personen zuweisen, bezeichnen die Entwickler als Fundamentalkritik an zentraler Datenspeicherung. Entsprechende Vorwürfe ließen sich auch auf diverse andere Bereiche des gesellschaftlichen Lebens anwenden.

Missbrauch des Schlüsselanhängers nicht mehr möglich

Den wegen Sicherheitsmängeln heftig in die Kritik geratenen Schlüsselanhänger, der die Nutzung der Smartphone-App ersetzen soll, verteidigen die Luca-Macher ebenfalls. Nach den Vorwürfen habe man die Möglichkeit deaktiviert, die Nutzerhistorie durch Dritte auszulesen. Die Kontaktdaten der Nutzer seien jedoch schon vorher sicher gewesen.

Ob sich die Debatte nach Veröffentlichung des Statements abkühlt, bleibt abzuwarten. Nicht jede Erklärung dürfte Kritiker zufriedenstellen. Die Datenschützerin Theresa Stadler bezeichnete die Diskussion um die Luca-App in einem aktuellen NDR-Podcast als PR-Schlacht, die zunehmend eine fachliche Grundlage vermissen lasse.