Die Luca App ist – datenschutztechnisch betrachtet – ein schlecht konstruiertes Kernkraftwerk. Ein Kernkraftwerk, weil es – by design – ein im Konzept innewohnendes Problem gibt, das man nicht ausräumen kann: Sie speichert alle Daten zentral auf ihrem Server, dabei fallen große Mengen frei einsehbarer Metadaten an.
Nutze ich den Schlüßelanhänger, kann ich sehen: Wann sich wer, wo eingeloggt hat. Dadurch entsteht ein Bewegungsprofil jeder Person, die die App nutzt. Auf der Ebene der Location, kann der Server sehen, welcher Ort gut frequentiert ist und welche Art von Endgeräten sich dort aufhalten.
Schlecht konstruiert bedeutet: Sie setzt dieses Konzept auch mit vielen Sicherheitsmängeln und Schwachstellen um, vor der sachkundige und interessierte Bürger:innen und Forschende, warnen.
Der Hersteller des Kernkraftwerks agiert nicht wie ein seriöses Unternehmen, sondern verspricht Funktionen zu liefern, die es noch gar nicht gibt oder die gar nicht funktionieren.
Auch die vielbeworbene doppelte Verschlüsselung der #LucaApp sei ein Problem, so die Forscher:innen: "Sie liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer:innen allein aufgrund der anfallenden Metadaten erstellen lassen."
— Eva Wolfangel (@evawolfangel) April 29, 2021
Zur politischen Lage
Die Luca App wird, so scheint es, vor allem eingeführt da sich die Bundesländer nach dem Beschluss der Ministerpräsidentenkonferenz vom 3.März erhoffen schneller und sicher in geregelte Öffnungen von Gastronomie, Kultur und Veranstaltungen zu kommen.
Daneben gibt es uneindeutige Aussagen, dass die Bundesregierung für die Kosten einstehen wird. So gibt es zwar eine Kostenzusage für die Schnittstelle, nicht aber für das ganze „LucaSystem“ bzw. die sog. „Fachanwendung“.
Dieses Öffnungsversprechen und die vermeintliche Kostenlosigkeit für die Bundesländer, aber auch die Städte und Landkreise, haben zu einer seltsamen Eigendynamik geführt. Bei der viele Entscheidungsträger:innen Tätigkeit simulieren wollten, vielleicht auch um vor Ostern oder zu Pfingsten Perspektiven für Öffnungen bieten zu können. Denn so glaubt man die Gefahr eines Anstiegs der Inzidenzen kontrollieren zu können. Stellenweise hatte ich sogar der Eindruck, man wolle einen Trend nicht verschlafen, besonders digital und öffnungsbereit zu wirken.
Zur Technik
Technisch macht die Luca App jedoch nur eines: Sie digitalisiert den ungeliebten Zettelprozess aus dem Sommer 2020 mit der Pflicht Kontaktdaten in Restaurants und bei Veranstaltungen anzugeben. Das können neben Luca auch viele andere Systeme. Mit einer App muß ich mich auch nicht durch ein Onlineformular klicken, was schneller geht. Dadurch könnten dann an vielen Stellen zusätzliche Check-Ins erfolgen, etwa im Bus.
Hier versucht die „Luca App“ einen von der Landespolitik verschuldeten bürokratischen Fauxpax zu heilen: Die Corona Verordnungen der meisten Bundesländer, außer z.B. Sachsens (!), verlangen verpflichtend die Erfassung von Kontaktdaten, also Telefonnummer und E-Mail Adressen, wie auf den Zetteln auch. 2020 hatte man wohl die Hoffnung, dass die Listen den Gesundheitsämtern entscheidende Vorteile bringen würden bei der Aufspüren von Infektionsherden und -ketten.
Das hat sich im Nachhinein zumindest als großer Trugschluss herausgestellt: Die Zettel, auch wenn sie von Luca digital bereit gestellt werden, werden von den Gesundheitsämtern im Grunde nie angefragt und durch sie waren fast nie Kontaktketten zu erkennen, geschweige denn zu brechen.
Wieder ein #LucaApp-Sicherheitslücke.
Es hieß, wir brauchen Luca, weil sich Menschen als "Donald Duck" in Papierlisten eintragen. @mame82 und andere zeigen in einem fort, dass Luca genau das NICHT löst. Und dass das System unsicher ist. Sein USP ist gestorben. Es kann weg. 1/3 https://t.co/lvGRCCNpeN— Eva Wolfangel (@evawolfangel) May 14, 2021
Hierbei spielt Qualität der Daten und die benötigte Zeit eine wesentliche Rolle. Nachdem Polizei(behörd)en im letzten Jahr Zugriff auf Papierlisten haben wollten, ging die Qualität der Angaben massiv zurück. Auch in einer Luca App finden sich viele Falschangaben.
„Wir haben testweise alle Ministerpräsident*innen in ganz viele Restaurants angemeldet“ ?#LucaApp https://t.co/0z1vn2hvpL
— Eva Wolfangel (@evawolfangel) May 4, 2021
Luca hat zudem noch die unangenehme Eigenschaft das die Daten zeitlich und örtlich mangelhaft aufgelöst werden, so ist ein Checkout regelmäßig nicht möglich, dass Geo-Fencing – das automatische Auschecken, nachdem sich das Handy aus einem Bereich heraus bewegt hat – funktioniert nicht. Menschen sind mitunter Tagelang an Orten eingecheckt. (siehe dazu Praxisbericht aus Weimar)
Übrigens gibts offenbar in ganz Deutschland sinnlose Luca QR Codes für riesige Flächen, deren Check-In Daten zu 100% wertlos für ein Gesundheitsamt sein dürften, neben dem MaxiPark in Hamm (ü 20 Hektar) auch die Modellstadt Rostock mit 56 Hektar. #LucaApp #LucaFail /5 https://t.co/XJAyQLKrS2
— ?anke domscheit-berg (@anked) April 7, 2021
Örtlich sind große Areale mit nur einem einzigen QR-Code ein Extrembeispiel, aber alles was über den direkten Nahbereich hinaus geht und keinen eigenen QR-Code hat, ist für den Zweck der Kontaktverfolgung schlicht wertlos.
Kaum schneller als Papierlisten
Ein Märchen ist auch der Glaube, dass es mit der Luca App schneller ginge. Es mag sein, dass unter günstigen Bedingungen ein Tag gewonnen werden kann, im Vergleich zu schlecht gesammelten und schlecht leserlichen Papierlisten. Es ist aber immer noch so, dass es regelmäßig fünf Tage von Infektion bis zur Datenabfrage des Gesundheitsamts an der Location dauert. Dann ist es auch noch notwendig, dass die Anfrage durch die Location zeitnah bestätigt wird und den notwendigen privaten Schlüssel übermittelt.
Je nach Studie wird man aber zwischen dem dritten und fünften Tag selbst ansteckend. Eine Warnung nach fünf Tagen ist daher wenig hilfreich, da man ab dem 5. Tag meist selbst schon Symptome hat. Diese Warnung erfolgt dann über einen Anruf durch das Gesundheitsamt, in der App selbst sieht der Nutzende nur, dass Daten an das Gesundheitsamt übermittelt wurden, nicht dass er selbst etwas tun soll. Hier fehlt die mehrfach beworbene Warnung der Nutzenden.
Deutlich schneller wäre die Warnung über die Corona-Warn-App, die seit dem 21.4.2021 auch eine Check-In-Funktion hat. Die Corona-Warn-App umgeht dabei ganz bewusst das Gesundheitsamt und gewinnt nicht nur Zeit. Sie ist schneller, genauer und schafft keine unnötigen Risiken für die (Gesundheits)Daten der Nutzer:innnen. Sie ermöglicht auch ein anonymes Einchecken, etwa in sozialen Situationen in denen man die eigenen Kontaktdaten oder den Namen nicht offenlegen will, etwa beim Besuch im Bordell und der dann folgenden Beichte in der Kirche oder bei einer Demo.
So bleibt, als einziger „Unique Selling Point“, dass Argument der Luca App, dass sie das von der Landespolitik geschaffene Problem der Corona VO (§7, Abs (4), mit dem Erfassen von Kontaktlisten mit Adress- und Telefondaten, digitaler löst, als Zettel. Dieses Problem könnte man aber mit einer Änderung der Verordnung leicht beheben.
Keine Pflicht zur Nutzung, Orte müssen analoge Möglichkeiten anbieten
Unter § 7 „Datenverarbeitung“, regelt die Corona-Verordnung (CoronaVO), der Landesregierung unter Absatz 4: „Wird eine Datenverarbeitung nach Satz 1 vorgesehen, ist alternativ eine analoge Erhebung von Kontaktdaten der betroffenen Person zu ermöglichen.„, Wobei sich Satz 1 auf die Möglichkeit bezieht eine digitale Möglichkeit zur Datenerfassung anzubieten. Es halt also kein Geschäft oder Veranstalter das Recht auf einen Check-In mit der Luca App zu bestehen.
Haftung für die Daten bleibt beim Veranstalter
Die Luca App Hersteller versuchen es mit viel Aufwand so aussehen zu lassen als ob das Übermitteln Ende zu Ende verschlüsselt geschieht, dem ist vielfach nicht so.
Richtig ist, das Betreiber nicht mehr so leicht in die Daten einsehen können. Allerdings haben die Betreiber oder Veranstalter weiter die volle Verantwortung für die Daten – im Sinne der DSGVO wie auch der Corona-Schutz-Verordnung. Dessen dürften sich die meisten Betreiber nicht bewusst sein.
Das muss diese Ende-zu-Ende-Verschlüsselung sein, von der die #LucaApp Macher einige Bundesländer überzeugt haben. Tatsache ist wohl: Um diese Daten auszulesen, braucht es weder die Anforderung von GAs, noch die Zustimmung von Einzelhändlern oder Nutzern. #LucaAppGate (SPIEGEL) pic.twitter.com/u7ZEuBXqeK
— Ralf Rottmann (@ralf) April 14, 2021
Sicherheitsmängel und schlecht programmiert
Es würde den Umfang dieses Blogartikels sprengen, alle Sicherheitsmängel, Programmierfehler oder Schwachstellen, die in den vergangenen Wochen aufgefallen sind, aufzulisten. Daher findet sich hier nur eine Auswahl. (Wer mehr will, lese bei Manuel Atug einen Twitter Thread mit bald 700 Einträgen)
Fangen wir mit den Schlüßlanhängern an:
- Luca Schlüsselanhänger waren durch einen Fehler im Programmcode für Gesundheitsämter bis Mitte Mai NICHT BENUTZBAR
- Luca Schlüsselanhänger erlaubten bis Anfang Mai die Lückenloses Stalking der Inhaber:innen auf Schritt und Tritt, diese Möglichkeit besteht weiter – allerdings nur für Luca (ist also nicht „behoben“ wie behauptet)
- die Datensätze der Schlüsselanhänger konnten unbemerkt im Nachhinein verändert werden
- die Schlüsselanhänger konnten ohne Registrierung benutzt werden – also ohne das Kontaktdaten dazu existieren
- Es ist unklar wer alles diese Schlüßelanhänger herstellt
So in Summe handelt es sich bei den Schlüsselanhängern im Luca System also Stand z.B. Mitte April (vor #LucaTrack) um:
– Schlüsselanhänger, deren Historie von extern beliebig gelesen
– vom Gesundheitsamt aber nicht (?)
– deren Personendaten aber eh beliebig überschreibbar sind— Bianca Kastl (@bkastl) May 14, 2021
Und machen wir mit anderen Sicherheitslücken weiter, gibt genug.
- Luca erlaubte massenhafte Telefon/SMS Belästigungen über deren API bei der Registrierung, damit wurden Bundestagsabgeordnete mitten in der Nacht von solchen Anrufen belästigt.
- bei Luca kann mit wenig Aufwand jeder beliebige Datensatz von jedem Beliebigen Ort eingecheckt werden
- Luca gilt teilweise als Verpflichtend, obwohl das ein Smartphone voraussetzt und Datenguthaben – viele Vertrauen den Macherinnen der Software aber nicht, haben kein Smartphone oder kein Datenguthaben dafür übrig.
- Luca App ist weitgehend nicht Barrierefrei
- Luca QR Code sind trotz anders lautender Versprechen nicht Corona-Warn-App-QR-Code kompatibel
- Luca funktioniert ohne Internetanbindung NICHT
- Luca kann Statistiken über die Besucher:innen jeder Veranstaltung erstellen
- Luca kann im Nachhinein Veranstaltungen „verschwinden“ lassen, die Daten manipulieren
- Luca möchte das System im Nachgang für Ticketing und anderes weiter monetarisieren.
- Luca stellt aufgrund unsauberer Programmierung eine Gefahr für die IT Systeme der Gesundheitsämter dar, die deren ungeprüfte Inhalte (teils automatisiert) importieren.
Update 26.5.: eine Reihe von Medien berichtet über ein gravierendes Sicherheitsproblem der Luca App: Über die Eingabe des Namens, kann mehr als der Namen eingegeben werden: Code der dann auf den Computern des Gesundheitsamtes, dass von Luca die Daten erhält Schaden anrichten kann. Dieses Sicherheitsproblem war seit Anfang Mai bekannt und die Luca App Macher, haben wohl nichts unternommen. Die Luca App Macher behaupten das Problem repariert zu haben, allerdings so das nun Doppelnamen, diverse Umlaute aus anderen Sprachen und eine Reihe von Deutschen Namen nicht mehr gehen.
Fazit
Man kann die Luca App schon einsetzen, aber muß sich bewußt sein: Der Nutzen ist marginal und steht in keinem Verhältnis zu den Gefahren, wie Beispielsweise verfrühten Öffnungen oder unvorsichtigen Handeln. Sie gaukelt einen Schutz vor, den es eben nicht gibt.
Um mögliche Infektionen frühzeitig zu erkennen und die anderen Teilnehmer schnell zu warnen und zu schützen ist die Corona-Warn-App technisch besser geeignet, sie ist in der Regel auch schneller dabei Menschen zur Vorsicht und Tests aufzurufen. Etwas das die Luca App trotz anderslautender Bewerbung schlicht nicht kann und macht.
Links zu diesem Thema
Kirchliche Datenschutzaufsicht der ostdeutschen Bistümer und des Katholischen Militärbischofs (!) warnt in einer Stellungnahme sehr explizit vor der Nutzung der Luca App:
„datenschutzrechtlich zweifelhaft (…) Die Datenschutzkonferenz (DSK) sieht in dieser Speicherung an einem zentralen Ort ein Risiko. Die unbefugte Einsicht in diesen Datenbestand kann nach ihrer Einschätzung zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen. (…) Den Gesundheitsämtern die personenbezogenen Daten all derer zu übermitteln, die sich zum selben Zeitpunkt wie ein/e Infizierte/r in einem Restaurant oder einem anderen Ort aufgehalten haben, ist nur dann sinnvoll, wenn das Amt den Betroffenen gegenüber konkrete Anweisungen aussprechen soll. Es gibt keine Möglichkeit des Gesundheitsamtes Zwang auf diese Personen auszuüben, sich einem Test zu unterziehen. Für alle betroffenen Personen eine Quarantäneanordnung auszusprechen dürfte rechtlich zumindest fragwürdig, jedenfalls aber realitätsfremd sein.(…) Den Gesundheitsämtern bleibt nur der Versuch telefonisch mit den Betreffenden in Kontakt zu treten. Zwar kann ein Verwaltungsakt auch mündlich oder elektronisch erlassen werden, ist dann aber schriftlich zu begründen.
Damit verbleibt es praktisch dabei, dass auch die Gesundheitsämter den Betroffenen nur die gleiche Aufforderung aussprechen können, wie dies das Robert Koch Institut über die CWA macht. Dieser zeitliche Verzug wird bei der CWA umgangen, da Kontaktpersonen direkt durch die App informiert werden. Die Gesundheitsämter würden mit dem Luca-System nicht unterstützt, sondern wie bislang mit der manuell schriftlichen Variante heillos überfordert.“
Auch die katholische Kirche in Villingen nutzt nun die @_lucaApp. Der @sbamueller vom @cccfr rät von der Nutzung ab. https://t.co/qXEnu9aaiL
— ??????? ???? ??? (@MatthiasJundt) May 20, 2021
Die @FreiburgGruene & @FreiburgJupi befragen die Stadt #Freiburg kritisch zum Einsatz der #LucaApp:
„Wie bewertet die Stadt Freiburg die Sicherheitsrisiken der luca-App? Welche Haftungsrisiken bestehen für die Stadt durch das Promoten dieser App“ uvmhttps://t.co/CJC18qnxOp— Sebastian Müller ?????? (@sbamueller) May 18, 2021