Es klang alles ziemlich verlockend. Damals, im Herbst 2020, als Rapper Smudo von den Fantastischen Vier in der Talkshow von Sandra Maischberger saß und die Luca-App vorstellte. Ein kleines Programm mit viel Symbolwirkung. Es sollte Konzerte, Tanzveranstaltungen und Theateraufführungen auch mitten in einer Pandemie möglich machen – mithilfe digitaler Kontaktnachverfolgung.
Mehr als ein Jahr später ist die Bilanz ernüchternd – aus vielerlei Hinsicht. Gleich mehrfach machte die Corona-Pandemie der Kulturbranche trotz Luca einen Strich durch die Rechnung. Und auch die App selbst steht seit ihrer Einführung immer wieder in der Kritik.
Lesen Sie jetzt
Zur Einführung machten Datenschutzexperten und -expertinnen auf Sicherheitslücken aufmerksam, der Chaos Computer Club forderte gar eine „Bundesnotbremse“ für die App. Später erklärten Gesundheitsämter, dass die App ihnen herzlich wenig nütze. Und im Januar 2022 wird klar: Mindestens eines der teilnehmenden Bundesländer, nämlich Schleswig-Holstein, wird künftig gänzlich auf die App verzichten. Ist das der Anfang vom Ende?
Smudo glaubt nicht ans Aus der Luca-App
Für Rapper Smudo, seit jeher prominentes Werbegesicht der App, ist die Entscheidung aus Schleswig-Holstein jedenfalls noch kein Grund für voreilige Schlüsse. „Alle, mit denen wir sprechen, sind noch unentschlossen“, so der 53-Jährige im Gespräch mit dem RedaktionsNetzwerk Deutschland (RND). Zudem sei die Lage wegen Omikron unsicher. „Da ist so viel in Bewegung, da möchte ich gar keine Prognose wagen.“
Auch der Entwickler der Luca-App, das Unternehmen Nexenio, blickt offenbar noch hoffnungsvoll in die Zukunft. Selbst wenn sich die Länder künftig gegen Luca entschieden, habe man Pläne in der Hinterhand, wie Sprecherin Christina Gehlen auf RND-Anfrage sagt. „Wir haben das Ziel, die Luca-Minimalstrukturen in jedem Bundesland aufrechtzuerhalten. Und wir geben jedem Bundesland die Möglichkeit, jederzeit nach Bedarf, die Nutzung von Luca für einen nahezu beliebigen Zeitraum zu nutzen. Wir wollen damit dazu beitragen, dass Luca immer dort und immer dann eingesetzt werden kann, wo und wann die Lösung dringend gebraucht wird.“
Dass die Diskussion um eine Abschaffung der App nun in den Vordergrund rückt, hat vertragliche Gründe: Der Softwareentwickler Nexenio hatte im vergangenen Jahr mit den Bundesländern einen Lizenzvertrag für die App abgeschlossen. Dieser beläuft sich auf ein Jahr und muss dann verlängert werden – das wäre in Kürze der Fall. Das Luca-System beinhaltet nicht nur die App, sondern auch eine Schnittstelle für die Gesundheitsämter. Im vergangenen Jahr hatten die 13 teilnehmenden Bundesländer zusammen rund 20 Millionen Euro dafür ausgegeben.
Vorfall in Mainz sorgt für Aufsehen
Inzwischen allerdings ist die Stimmung mehrfach gekippt. Nach Datenschutzbedenken von IT-Experten und -Expertinnen und einer ernüchternden „Spiegel“-Umfrage bei den Gesundheitsämtern sorgte zuletzt ein Fall aus Mainz für Empörung. Hier hatten Polizeibeamte nach dem tödlichen Sturz eines Gastes in einer Gaststätte Daten aus der Luca-App beim Gesundheitsamt angefragt, um Zeugen zu ermitteln. Anlass genug für Politiker und Politikerinnen, das System noch einmal zu hinterfragen. Manche riefen gar zur Löschung der App vom Smartphone auf.
IT-Expertin und -Entwicklerin Bianca Kastl würde diesen Boykottaufrufen zustimmen. Sie kenne praktisch alle Sicherheitslücken im Luca-System, sagt sie gegenüber dem RND – manche von ihnen hatte Kastl im vergangenen Jahr sogar mit aufgedeckt. Das Problem: Viel verbessert habe sich nach der anfänglichen Kritik nicht.
„Luca hat sich nach der ersten größeren Sicherheitslücke, Luca-Track, kaum von der technischen Qualität gebessert“, sagt Kastl. Generelle Datenschutzbedenken hat die Expertin aufgrund der Architektur der App und der massenhaft erhobenen Daten. Hinzu kämen allerdings auch immer wieder handwerkliche Mängel.
Schadsoftware fürs Gesundheitsamt
Mitte Mai vergangenen Jahres habe etwa der Sicherheitsforscher Marcus Mengs demonstriert, dass er mit Schadcode in den eigenen Kontaktdaten der Luca-App dahinterliegende Gesundheitsämter per sogenannter „CSV-Injection“ angreifen konnte. „Dieses Szenario hat auch das BSI als plausibel bezeichnet“, sagt Kastl. Das gleiche Problem sei einen Monat später wieder aufgetreten.
„Luca gilt seitdem in der IT-Security-Community gewissermaßen als verbrannt“, sagt die Entwicklerin. Viele Experten und Expertinnen hätten irgendwann einfach aufgehört, die App zu überprüfen. „Dass von Luca in der Zwischenzeit nach Juni 2021 keine größeren Probleme bekannt wurden, ist also kein Zeichen von besser gewordener Sicherheit.“
Auch der Datenschutzjurist Malte Engeler würde es begrüßen, wenn die Länder die Lizenzverträge für Luca auslaufen ließen. Die aktuelle Diskussion bewertet er als positiv: „Einerseits freue ich mich, weil nicht noch mehr Steuergelder in die Schaffung/Erhaltung einer Nutzerbasis für eine private Infrastruktur ohne Mehrwert investiert werden. Andererseits ist das Gefühl bittersüß, weil die Kritik der Experten und Expertinnen und der Netzgemeinde so lange und geradezu trotzig ignoriert wurde“, sagt er dem RND.
Das Problem der zentralen Speicherung
Eines der größten Probleme sieht Engeler beim Datenschutz. „Zu den größten Kritikpunkten gehörte immer schon die zentralisierte Infrastruktur der Luca-App, die es unter anderem der Polizei ermöglichte, auf Daten zuzugreifen.“ Das sei ein großer Unterschied zur Corona-Warn-App, wo die Daten nur dezentral auf dem Smartphone der Nutzerin oder des Nutzers gespeichert werden.
Und auch der Fall aus Mainz sei beispielhaft dafür. „Dieser Mangel lag und liegt in der Art und Weise, wie die Luca-App und die hinter ihr stehende Infrastruktur gebaut wurden“, sagt Engeler. Der Vorfall mahne erneut, „dass wir bei der Schaffung digitaler Infrastrukturen niemals darauf vertrauen sollten, dass die darin verarbeiteten Daten nur zu (zunächst) harmlos wirkenden Zwecken verarbeitet werden sollen und niemand vorhabe, die Daten zu missbrauchen. Gesetze lassen sich ändern, und die Versprechen staatlicher Stellen sind nur so gut wie die politischen Ideale derer, die sie derzeit personell besetzen.“
Digitale Infrastrukturen sollten daher von Anfang an so gebaut werden, dass Vertrauen gar nicht nötig sei, weil ein Missbrauch technisch ausscheidet. Die Corona-Warn-App sei dafür ein „hervorragendes Beispiel“, wie Engeler sagt.
Was Luca zu den Vorwürfen sagt
Die Entwickler der Luca-App selbst sehen das natürlich ein bisschen anders. „Das Sicherheitssystem von Luca wurde nicht ausgehebelt“, sagt Sprecherin Christina Gehlen zum Fall von Mainz. Im Gegenteil, Luca zeige in diesem Fall sogar, dass das System „Schlimmeres verhindern“ könne. „Das zuständige Gesundheitsamt hat im Falle einer Infektion jeweils nur zeitlich und örtlich begrenzten Zugriff auf Daten, weil es jeweils bei einzelnen Betrieben anfragen muss und diese dann mit ihrem Schlüssel nur für den jeweiligen Infektionstag begrenzt Kontakte freigeben, auf die dann ausschließlich das Gesundheitsamt Zugriff hat. In diesem Fall waren das 21 Kontaktdaten von Luca-Nutzern und -Nutzerinnen.“
Auch die Kritik von IT-Experten und -Expertinnen geht an den Luca-Betreibern offenbar vorbei. „Teile des Chaos Computer Clubs kritisieren die Luca -App kategorisch, weil sie sich am Prinzip der zentralen Datenspeicherung stören“, sagt Gehlen. „Dabei hat sich unser System der verteilten Verschlüsselung bewährt: Bis heute ist kein einziger Kontakt in unserem System in die Hände unberechtigter Personen gefallen. Im Falle Mainz hat ein berechtigter Empfänger der Daten diese unzulässigerweise an die Polizei weitergeleitet – das war aber kein Problem der Verschlüsselung.“
Kritische Medienberichte, etwa dass die Luca-App nur wenigen Gesundheitsämtern helfe, relativieren die Macher. „Dass das System genutzt wird, belegen unsere Zahlen: 323 von 375 deutschen Gesundheitsämtern sind an Luca angeschlossen. Seit Mai letzten Jahres wurden über Luca mehr als 330 Millionen Check-ins digital durchgeführt, in mehr als 550.000 Fällen haben Gesundheitsämter nach einer individuellen Risikobewertung der Umstände vor Ort über Luca eine Warnmeldung ausgelöst, und mehr als 3500-mal haben Gesundheitsämter Restaurants um die Herausgabe von Kontaktdaten gebeten“, so Gehlen.
Kritik aus Rheinland-Pfalz und Sachsen-Anhalt
Wie genau es tatsächlich mit der Luca-App weitergeht, ist derweil noch völlig unklar. Die baden-württembergische Landesregierung sieht die App beispielsweise als „guten und datenschutzkonformen Baustein“ der Vorsorge. Die Gesundheitsämter im Land seien „sehr zufrieden“. Auch der Berliner Senat bewertet den Einsatz der App als positiv. Man wolle „nach einer umfassenden Bewertung des bisherigen Einsatzes und der pandemischen Lage“ demnächst entscheiden.
Aus Rheinland-Pfalz allerdings kommt Kritik. Der Datenschutzbeauftragte Dieter Kugelmann fordert, „ernsthaft zu prüfen, ob die Luca-App als Instrument zur Pandemiebekämpfung noch gebraucht wird“. In Sachsen-Anhalt wirbt Digitalministerin Lydia Hüskens (FDP) für ein Vertragsende. „Wir würden (…) empfehlen, den Vertrag zu kündigen, weil mit der Corona-Warn-App eine staatlich finanzierte App vorhanden ist, die Funktionalitäten analog zur Luca-App bietet“, sagt sie.
Nordrhein-Westfalens Gesundheitsminister Karl-Josef Laumann (CDU) forderte die Bundesregierung am vergangenen Dienstag auf, die Corona-Warn-App zügig weiterzuentwickeln.
Die Corona-Warn-App als bessere Alternative
Die Corona-Warn-App anstelle von Luca wünscht sich auch IT-Expertin Bianca Kastl. „In der aktuellen Pandemiesituation ist die Corona-Warn-App die einzige App, mit der sie bei der Menge von Fällen noch eine realistische Chance haben, überhaupt gewarnt zu werden. Im Gegensatz zur Luca-App skaliert die Corona-Warn-App auch mit steigender Fallzahl – also dann, wenn Gesundheitsämter gar nicht mehr dazu kommen, mit Luca irgendwelche Warnungen auszulösen“, sagt sie.
Und auch Malte Engeler spricht sich für die Corona-Warn-App als dezentrale Alternative aus. Eine mögliche Fortführung der Luca-App beobachtet der Datenschutzexperte in vielerlei Hinsicht mit Besorgnis.
„Die Luca-App hat uns daran gewöhnt, aktiv und bewusst bei allen möglichen Alltagssituationen einer zentralen Stelle mitzuteilen, wo wir sind. Ich bin skeptisch, ob es uns gelingen wird, uns diese Gleichgültigkeit bezogen auf die Datenerfassung wieder abzugewöhnen.“
RND