Luca App mal wieder

Noch vor der Bundestagswahl haben einige Personen E-Mails an unterschiedliche Stellen geschrieben, aus dem Grünen Landesarbeitskreis Digitalisierung gab es eine E-Mail an unterschiedliche Grüne Entscheidungsträger*innen im Land, die nochmal auf die Probleme der Luca App hingewiesen hat. Die E-Mail ging an den Fraktionsvorsitzenden, den Abgeordneten der für Digitales zuständig sei – leider weiß man nicht ob sich die Zuständigkeit auch auf den Einsatz der Luca App bezieht – Peter Seimer und an Uli Skerl, sowie Oliver Hildenbrand, sowie an den Gesundheitsminister Luca.

Darin schreiben die Unterzeichnenden, zu denen ich auch gehöre:

„Die zahlreichen Probleme, die im praktischen Einsatz der LUCA App bundesweit aufgetreten sind, zeigen, dass der Praxistauglichkeit der Anwendung sehr begrenzt ist. Schwerwiegende fachliche Mängel und geringe Support-Qualität führen zu mangelhafter Akzeptanz und Schwierigkeiten bei der Integration mit anderen digitalen Lösungen. Durch Defizite in den Bereichen IT-Sicherheit und Datenaustausch entsteht zusätzlich ein hohes Risiko des Datenmissbrauchs sensibler Gesundheitsdaten sowie von eingeschleppten Sicherheitsproblemen in den Gesundheitsbehörden.“

Und fordern:

„Wegfall einer verpflichtenden Personendaten-Erfassung fu?r Gastronomie Betriebe. Dies ist der einzige Grund für die Anwendung der LUCA App. Stattdessen reicht ein anonymisiertes Cluster Tracing, wie es in der Event-Registrierung der Corona-Warn-App VWA  seit April 2021 implementiert ist. Baden-Württemberg muss dem Beispiel von Nordrhein-Westfalen folgen, wo diese Anforderung schon im Juli aus der Verordnung gestrichen wurde.“

Ende August habe ich auch an den Landesrechnungshof geschrieben und meine Bedenken bezüglich der Luca App mitgeteilt und angeregt die Vergabe zu prüfen:

Sehr geehrter Herr Präsident Benz,
sehr geehrte Frau Vizepräsidentin Taxis,
sehr geehrte Damen und Herren,

Wohlwissend, dass der Rechnungshof selbst festlegt, was konkret geprüft werden soll, wenden wir uns heute an Sie mit der Bitte um die Prüfung der Nutzung der Luca App durch das Land Baden-Württemberg. Wir das sind Mitglieder*innen und Menschen im Umfeld des Chaos Computer Clubs Freiburg, für die und mit denen ich diese E-Mail verfasst habe, die aber nicht namentlich unterzeichnen.

(Update: Der Landesrechnungshof hat sich bei mir gemeldet und wir haben darüber gesprochen, bin gespannt ob hier noch eine Reaktion kommt. Dieser Text dient lediglich der Dokumentation meines Briefs, er erhebt keinen Anspruch auf Richtigkeit und Vollständigkeit, insbesondere ob es sich bei der Exportfunktion um eine API handelt oder eine andere Art Schnittstelle, ist zwischen Herstellern und Öffentlichkeit umstritten)

Obwohl die Kontaktverfolgung durch die Gesundheitsämter, die Teil der Landkreise sind, durchgeführt werden, wird die App zentral vom Land bestellt und bezahlt.

Da der Rechnungshof mit seiner Arbeit Landtag, Regierung und Verwaltungen bei der Wahrnehmung ihrer Aufgaben unterstützt, wenden wir uns an Sie, um hier auf deutliches Verbesserungspotential aufmerksam zu machen.

Wir halten eine weitere Lizensierung der Luca App aufgrund der hohen Kosten für nicht akzeptabel. Es bestehen insbesondere auch Zweifel an der Rechtmäßigkeit des Einsatzes  als Hilfsmittel / Fachanwendung  zur Kontaktverfolgung, da hier hohe Risiken einem  festzustellenden geringen Nutzen entgegen stehen. Ein erheblicher Nutzen wäre nur dann festzustellen, wenn durch das Verfahren wirksam mehr Kontaktketten unterbrochen werden könnten und die Gesundheitsämter des Landes durch die Anwendung entlastet würden in ihrer Aufgabe, Quarantänemaßnahmen für alle direkten Kontakte von infizierten Personen anzuordnen. Das hohe Risiko dieses Verfahrens ergibt sich aus den bisher dokumentierten zahlreichen konzeptionellen und technischen Mängeln des Luca-Systems und seiner nach wie vor unzureichendem Datenschutz.

Dabei ist klar, dass eine Überprüfung der Datenschutzbedenken und Technikfolgen, die zahlreiche Mitglieder des Chaos Computer Clubs, Sicherheitsforscher, Journalisten und IT Sicherheitsexperten geäußert haben, nicht Hauptgegenstand einer Untersuchung durch den Landesrechnungshof sein können. Sie sind aber aus unserer Sicht durchaus maßgeblich, um die Zweckmäßigkeit einer Ausgabe  zu beurteilen für ein neues Verfahren, das bestellt wurde, bevor der Anforderungskatalog für die technische Lösung überhaupt fest stand.

Der Chaos Computer Club Freiburg beschäftigt sich immer wieder mit der LucaApp und verfolgt deren Einsatz kritisch. Mitglieder haben alle Gesundheitsämter in Deutschland zweimal nach der Nutzung der App angefragt. Über 100 Gesundheitsämter haben geantwortet, dabei lässt sich wesentlich folgendes festhalten:
1. Insgesamt gab es fast keinen Einsatz, der für die Bewältigung der Pandemie hilfreich war. Daher scheint der gedachte Einsatz, schnelle Listen für die Gesundheitsämter zum Warnen der Personen zu haben, die eine mögliche Exposition mit Corona haben, aus vielen Gründen fraglich zu sein.
2. Häufig führt das Tracing, sofern es denn überhaupt klappt, nicht zu einer Quarantäne, denn die ermittelten Personen haben gar kein Notwendigkeit für eine Quarantäne.
3. Die drei häufigsten Ursachen für das Versagen  sind, dass das Tracing zu spät kommt, dass die zeitliche oder örtliche Auflösung der Traces zu grob ist, und dass sich die Daten selbst als teilweise mangelhaft erweisen. Gerade diese Verspätung der Daten ist dabei ursächlich in der Konzeption der App.

Diese eigenen Recherchen unterstützten Berichterstattung unterschiedlicher Medien über den geringen Nutzen der Anwendung:
– Laut Spiegel hat die App bislang erst in 60 Fällen bei der Kontaktverfolgung geholfen (https://www.spiegel.de/netzwelt/apps/luca-app-gesundheitsaemter-kritisieren-dass-die-app-kaum-weiterhilft-a-472ea68e-0002-0001-0000-000178784919)
– Auch aus dem Gesundheitshamt, das für Freiburg zuständig ist, wurde bisher keine erfolgreiche Kontaktverfolgung mit der App durchgeführt: https://twitter.com/matthiasjundt/status/1429531193435959300?s=21
– Ebenso beim Gesundheitsamt des Schwarzwald-Baar-Kreises: https://www.suedkurier.de/region/schwarzwald/schwarzwald-baar-kreis/landratsamt-schwarzwald-baar-kreis-wurde-noch-nie-via-luca-app-ueber-positive-coronafaelle-gewarnt;art372502,10868236

Dabei kann aufgrund der Konzeption der Luca App, die Warnung immer nur langsamer funktionierten, als durch die Corona-Warn-App. Sobald die Corona Warn App das positive Testergebniss – also einen bestätigten Corona Fall kennt – warnt sie automatisch innerhalb weniger Stunden alle Handys die sich in der Nähe befanden. Dazu bedarf es keines Eingriffs des Gesundheitsamtes.

Bei der Luca App wurde ein langwierigeres Verfahren gewählt: Zunächst meldet sich die infizierte Person, nachdem sie (über die Corona-Warn-App) von ihrem positiven Test erfahren hat, sich beim Gesundheitsamt oder dieses bei ihr. Das Gesundheitsamt fragt dann mit seinem Schlüssel die Daten bei Luca App, braucht aber dazu auch noch den Schlüssel des Location Betreibers. Hat dieser etwa den Schlüssel aus Versehen gelöscht oder ist wegen Ferien oder anderer Gründe nicht erreichbar, kann es die Daten nicht abfragen.
Andere möglicherweise betroffene bekommen dann eine Push Nachricht auf ihr Handy, dass die Daten an das Gesundheitsamt übermittelt wurden. Hier wäre bereits eine erste Aufforderung möglich, dass die Gefahr einer Infektion besteht und eine Aufforderung sich testen zu lassen, diese erfolgt nun nicht.
Aufgrund der versprochenen, aber fehlenden Schnittstelle zu SORMAS, muß dann das Gesundheitsamt die Daten herunterladen, händisch Sichten und kann dann mit dem abtelefonieren der Betroffenen beginnen. Alles das dauert selbst im besten Fall deutlich länger, als die Warnung per CWA.

In den Verträgen mit Luca wurde die direkte Nutzung der SORMAS API versprochen. Daher die Daten sollten direkt in die Fachanwendung der Gesundheitsämter hinein aus der Luca App zur Kontaktverfolgung geliefert werden. Dies war auch ein Alleinstellungsmerkmal im Rahmen der Vergabe, welches dafür sorgte, dass man direkt an die Betreiberfirma Nexenio vergibt, ohne eine Ausschreibung durchzuführen. Dieses Feature wurde bis heute nicht geliefert. Somit ist aus unserer Sicht fraglich ob hierdurch nicht die Verträge anfechtbar wären, da ein wesentliches Leistungsmerkmal fehlt.

Daneben haben wir bezüglich der Geschäftspraktiken des Anbieters Zweifel:
– ein großer Teil der positiven Bewertungenin den Appstores von Google und Appke kommt von Kunden, die das Restaurant bewerten, in dem sie die App benutzt haben. (https://www.heise.de/tp/features/Fuenf-Sterne-fuer-die-Luca-App-Das-Essen-war-sehr-gut-6149776.html)
– Sicherheitsforscher konnten zeigen, dass mithilfe eines manipulierten Datensatzes Schadsoftware auf die Systeme von Gesundheitsämtern geschickt werden konnte. (https://twitter.com/mame82/status/1400386509447049226)
– Laut Süddeutscher Zeitung beschwerten sich Verantwortliche von Berliner Gesundheitsämtern über mangelnden Nutzen der App und schlechte Kommunikation der Betreiber (https://www.sueddeutsche.de/wirtschaft/luca-app-kritik-1.5388136)

Vor diesem Hintergrund bitten wir Sie daher Nutzung, Kosten und Risiken zu prüfen. Da im kommenden Jahr die Lizenz zur Nutzung verlängert werden muß, was für das Land mit erheblichen Kosten verbunden sein wird.

Für Rückfragen stehen wir Ihnen selbstverständlich gerne zur Verfügung. Gerne vermitteln wir Ihnen auch Kontakt zu technischen Experten.

Bitte bestätigen Sie den Eingang dieses Schreibens und unterrichten uns über die weitere Bearbeitung.

Mit freundlichen Grüßen

Ein Gedanke zu „Luca App mal wieder“

  1. Ich finde, dass LUCA zu viele Daten sammelt. Warum die komplette Anschrit angeben? Für eine Kontaktaufnahme durch das Gesundheitsamt braucht es keine PLZ und keine Staße. Da habe ich entsprechendes eingetragen – „keinestrassenötig“ ist die Angabe bei mir. Denn es ist völlig ausreichend, wenn das Amt mich auf den schnellen Wegen erreicht; und das ist Telefon und Email.

    LG, Rosina Puch

Kommentare sind geschlossen.