Die Luca-App wird als Weg aus dem Lockdown gepriesen. Von prominenten Musikern beworben, haben unterdessen mehrere Bundesländer über 20 Millionen Euro in die App des privaten Start-Ups investiert. Das Land Hessen beteiligt sich mit zwei Millionen Euro. Das Luca-System soll Gesundheitsämter bei der digitalen Nachverfolgung von Kontakten unterstützen und die Öffnung von Geschäften oder Restaurants erleichtern. In einer gemeinsamen Stellungnahme äußern jedoch über 70 IT-Experten und Wissenschaftlerinnen deutschlandweit massive Bedenken wegen möglicher Sicherheitslücken und Missbrauchspotenzial. Zu den Kritikern zählt Andreas Heinemann, Professor für Computernetzwerke und IT-Sicherheit am Fachbereich Informatik der Hochschule Darmstadt. Er leitet die Arbeitsgruppe User-Centered Security.

Ein Interview von Astrid Ludwig, 12.05.2021

impact: Prof. Heinemann, Sie sind auf die IT-Sicherheit gerade aus Sicht der Nutzerinnen und Nutzer spezialisiert. Welche Kriterien sollte ein App zur digitalen Kontaktnachverfolgung erfüllen?

Heinemann: Nun, wir wissen aus der Forschung, dass für App-Nutzer selbst zunächst wichtig ist, dass sie die App einfach bedienen können. Über Fragen zur Sicherheit oder zum Schutz personenbezogener Daten machen sie sich erst nachträglich Gedanken. Wir sprechen hier von primary goal und secondary goal. Das Forschungsgebiet „Usable Security and Privacy“ zielt darauf ab, hier einen Ausgleich zu schaffen und IT-Sicherheit sowie Fragen zu Privacy in Einklang mit guter Benutzbarkeit zu bringen. Eine App zur Kontaktnachverfolgung, die aus meiner Sicht sehr schützenswerte persönliche Daten verarbeitet - also wo bin ich wann gewesen - sollte sicherlich leicht benutzbar sein; aber auch verstärkt auf den Schutz der persönlichen Daten achten.

impact: Was sind Ihrer Ansicht nach die Hauptschwachpunkte der so gehypten Luca-App?

Heinemann: Aus meiner Sicht ist vor allem der Entwicklungsprozess zu kritisieren. Erst am 14. April wurde der vollständige Quelltext der Luca-App zur Einsicht veröffentlicht. Für eine unabhängige Begutachtung ist das sehr spät. Sehr viele Bundesländer haben sich ja bereits für Luca ausgesprochen. Die Corona-Landesverordnung von Mecklenburg-Vorpommern hat Luca explizit als einziges System aufgeführt und spricht von einer landeseinheitlichen Form der elektronischen Kontaktverfolgung. Damit wird die Luca-App zum „de facto“ Standard erhoben.

impact: Die Daten werden von einem privaten Unternehmen zentral gesammelt. Welche Probleme in puncto Datenschutz, Datenmissbrauch oder Weitergabe ergeben sich daraus?

Heinemann: Jeder Nutzer und jede Nutzerin der Luca-App muss sich darüber im Klaren sein, dass die Daten zentral von einem privaten Betreiber gesammelt und verarbeitet werden. Diesem System muss vollständig vertraut werden. Zentrale Systeme sind ein attraktives Angriffsziel, insbesondere wenn dort Informationen abgelegt werden, die sagen, wer, wann, mit wem, wie lange an welchem Ort seine Zeit verbracht hat. Da es selbst für Staaten herausfordernd ist, sich vor Cyber-Sicherheitsangriffen zu schützen, bin ich skeptisch, dass dies einem vergleichsweise kleinen Unternehmen gelingen sollte. Aber gehen wir mal davon aus, dass dies zutrifft. Was weiter auffällt, wenn man sich die Nutzungsbedingungen der App ansieht, ist, dass hier eine Software zur Kontaktdatenübermittlung angeboten wird. Kein Wort zu COVID-19. Hier sind die Nutzungsbedingungen der Corona-Warn-App des Robert Koch-Instituts deutlich konkreter. Ganz davon abgesehen, dass Nutzungsbedingungen beziehungsweise AGBs von Apps nur selten gelesen und meist ungelesen von Nutzern akzeptiert werden.

impact: Ist die Gesundheit in Pandemiezeiten nicht wichtiger als der Datenschutz?

Heinemann: Auf diese Frage gibt es leider keine einfache Antwort. Die COVID-19 Pandemie ist ohne Zweifel zurzeit eine unserer größten Herausforderungen und die Auswirkungen unserer Entscheidungen und der Vorgaben aus der Politik wird man wahrscheinlich erst viel später umfassend bewerten können.

Die Kontaktnachverfolgung ist hier ein wichtiger Baustein zur Eindämmung der Pandemie. Aber bei all den Maßnahmen muss aus meiner Sicht stets die Verhältnismäßigkeit und Risikoabwägung mitgedacht und breit diskutiert werden. Wir haben mit der vom Robert Koch-Institut herausgegebenen Corona-Warn-App eine vorbildlich entwickelte Lösung, die jetzt auch Funktionen zur Kontaktnachverfolgung bietet. Warum die Politik voreilig auf Luca gesetzt hat, dies vereinzelt sogar – wie in Mecklenburg-Vorpommern geschehen – empfiehlt, ist mir unverständlich. COVID-19 beschäftigt uns ja nicht erst seit gestern und man hätte ja bereits vor einem Jahr über datenschutzfreundlichere aber auch leicht benutzbare Lösungen zur Kontaktverfolgung nachdenken können.

impact: Sie kritisieren das Luca-System als intransparent; Sicherheitslücken könnten erst im Betrieb aufgespürt werden. Welche Folgen kann das für die Nutzerinnen und Nutzer haben?

Heinemann: Im schlimmsten Fall werden Angreifer von mir Bewegungsprofile erstellen und veröffentlichen, das heißt zum Beispiel wann und mit wem ich mich im Kino, Baumarkt, Restaurant oder Hotel aufgehalten habe. Die Frage ist doch: Möchte ich dieses Risiko eingehen und hat die Politik alles getan, um dieses Risiko zu minimieren?

impact: Es hat sich gezeigt, dass man mit der Luca-App per QR-Code an Orten einchecken kann, wo man tatsächlich nie war. Lassen sich damit Menschen gezielt und zu Unrecht in Quarantäne schicken?

Heinemann: Die Luca-App setzt stark auf die Kooperation seiner Nutzer. Sie kann aber nicht überprüfen, ob ich meine Adresse oder die Adresse meines Nachbarn verwende. Im Internet finden sich diese QR-Codes und ich kann sie am Bildschirm abscannen. Damit verunreinige ich erst einmal die von Luca erhobenen und von den Gesundheitsämtern auszuwertenden Daten. Ich könnte also meinen Nachbarn in den Osnabrücker Zoo einchecken, wie es Jan Böhmermann neulich medienwirksam vorgeführt hat. Ich muss eben nur den QR Code vom Bildschirm abscannen.

Sollte es zu einem COVID-19 Ausbruch im Osnabrücker Zoo gekommen sein und das zuständige Gesundheitsamt dann die Kontaktverfolgung via Luca-Daten anstößt, so hoffe ich doch, dass es hier ein paar Plausibilität-Checks gibt und mein Nachbar aus Darmstadt nicht in Quarantäne muss. Aber dazu weiß ich zu wenig über die internen Prozesse in den Gesundheitsämtern.

impact: Wie beurteilen Sie den Nutzen der Luca-App? Erleichtert sie Gesundheitsämtern tatsächlich die Arbeit?

Heinemann: Die Luca-App erleichtert zunächst erst einmal die Arbeit des Personals in Geschäften, Restaurants und so weiter. Und natürlich verringert sie den Aufwand der Gäste. Es müssen keine handschriftlichen Zettel ausgefüllt, abgelegt und weiterverarbeitet werden.

Die eigentliche Arbeit der Gesundheitsämter, also die Kontaktaufnahme zum jeweiligen Gast, beginnt erst danach. Außerdem besteht ja aktuell und zum Glück noch kein Zwang zur Nutzung von Luca. Von daher wird es Geschäfte geben, die auch noch die handschriftlichen Zettel anbieten. Im Gesundheitsamt werden die Daten also wahrscheinlich über mehrere Wege eintreffen. Das kann auch zu Mehrarbeit führen. Das Gesundheitsamt Aachen etwa sieht hier nach meiner Kenntnis zumindest keinen Mehrwert in der Nutzung von Luca und hat sich – nach einer Testphase – nicht daran angebunden.

impact: Die Corona-Warn-App ist datenkonform und mit neuen Funktionen nachgebessert. Ist es nicht sinnvoller diese mehr zu nutzen? Welche Lösungen schlagen Sie als IT-Experte vor?

Heinemann: Nun – Fluch oder Segen, das sei dahingestellt – wir haben jetzt den „Bundes-Lockdown“. Und die Corona-Warn-App des RKI bietet ebenfalls die Möglichkeit, QR Codes zur Kontaktnachverfolgung zu scannen, auch wenn diese Funktion erst kürzlich hinzugekommen ist. Meines Erachtens sollten die Bundesländer dem Beispiel Sachsens folgen und die Verwendung der Corona-Warn-App zur Kontaktnachverfolgung in die jeweiligen Corona-Schutz-Verordnungen und Konzepte zur Pandemiebekämpfung aufnehmen. Dies wurde ja auch unlängst von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden gefordert.
Damit würde man zum einen dem Wunsch der Gastronomiebetreiber und Gäste nach einer einfacheren technischen Möglichkeit zur Dokumentation der Aufenthalte gerecht werden, wäre aber aus Sicht des Datenschutzes, der Datensparsamkeit und Zweckbindung deutlich besser dran.