Auch schon eingecheckt mit der Luca-App? Spart schließlich den lästigen Schreibkram. Doch wie sinnvoll ist die App eigentlich? Und warum kann man nicht einfach nur mit der Corona-Warn-App einchecken?
„Bitte registrieren Sie sich mit der Luca-App.“ Diese Aufforderung hört und liest man in den letzten Tagen sehr oft, wenn man durch Hamburg spaziert. Denn egal ob in Bars, Restaurants oder Geschäften: Fast überall braucht man die Luca-App, um reinzukommen.
Funktionsweise der App
Mit der kostenlosen App kann sich der oder die Nutzer:in über einen QR-Code beinahe überall einchecken – egal ob in der Bar, im Geschäft oder Museum. Die persönlichen Kontaktdaten wie E-Mail, Telefonnummer und Adresse hinterlegt man in der App bereits bei der ersten Anmeldung. Diese Daten werden verschlüsselt, zentral auf den Servern der App gespeichert und können im Falle einer Infektion mit dem Gesundheitsamt geteilt werden. Wird eine Person später positiv auf das Coronavirus getestet, kann sie dem Gesundheitsamt über die Luca-App eine Liste aller Orte freigeben, die sie in den vergangenen 14 Tagen aufgesucht hat. Das Gesundheitsamt kann anhand dieser Daten alle Personen kontaktieren, die zur gleichen Zeit am selben Ort waren.
Für alle Menschen ohne Smartphone bietet das System einen Schlüsselanhänger mit QR-Code an. So kann man auch ohne Handy bei Veranstaltungen, Events oder in der Gastronomie ganz einfach einchecken. Bezahlen müssen Interessierte – zumindest in Hamburg – dafür nichts. Hier werden die Schlüsselanhänger kostenlos in den Kundenzentren der einzelnen Bezirke verteilt.
Hamburger Gastronomie begrüßt die Luca-App
Luca ersetzt damit also die Zettelwirtschaft, die im letzten Jahr gerade in der Außengastronomie Gang und Gäbe war. Gleichzeitig bietet sie eine Anbindung an die Systeme der Gesundheitsämter. Auch Hamburg setzt auf die Luca-App und hat wie viele andere Bundesländer eine Jahreslizenz für die Nutzung von Luca zur digitalen Kontaktnachverfolgung gekauft. Kostenpunkt: 664.000 Euro – laut der Finanzbehörde der Stadt Hamburg.
Laut App-Gründer Patrick Hennig setzen bereits mehr als 11.000 Betriebe in Hamburg die Luca-App ein. Viele Bar- und Lokalbetreiber:innen in Hamburg freuen sich, endlich nicht mehr Listen und Formulare bereithalten zu müssen. So wie Thomas Heppe, Inhaber des Dock 3 Beachclub am Hamburger Hafen: „Es geht einfach schnell und ist auf alle Fälle besser, als wenn sich die Zettel im Büro stapeln und womöglich noch einer verloren geht“, sagt er. Ähnlich sieht das auch Laetitia, Barkeeperin im Pub Froggys: „Dadurch, dass die Zettelwirtschaft wegfällt, können wir uns viel mehr um die Kunden kümmern.“
Es gibt allerdings auch Barbetreiber:innen, die dem Ganzen etwas kritischer gegenüberstehen. So wie Thomas Nast, Betreiber des Mathilde Cafés in Eimsbüttel. Er habe vom Chaos Computer Club (CCC) gehört, dass die Luca-App daten- und softwaretechnisch echt schlecht sein soll: „Deshalb benutzen wir weiter die Zettel. Die haben wir eh noch da und das funktioniert super“, sagt er. „Ich traue dem Internet viel weniger als unserem Tresor.“
“Intransparentes System”: Expert:innen kritisieren Luca-App
Der CCC hatte Mitte April einen Stopp der Luca-App gefordert, weil sie keinen der zehn Prüfsteine des Clubs für die Beurteilung von „Contact Tracing“-Apps einhalten würde. Eine Contact Tracing App – also eine App zur digitalen Kontaktnachverfolgung – ist beispielsweise auch die Corona-Warn-App, die vom CCC ebenfalls an diesen zehn Prüfsteinen gemessen wurde. „Zu diesen Prüfsteinen zählen unter anderem Punkte wie Datensparsamkeit, dass man die App nicht missbrauchen kann und natürlich, dass sie vernünftig gebaut sein muss“, sagt Jan Girlich vom CCC FINK.HAMBURG. „Und bei der Luca-App mussten wir feststellen, dass sie keinen dieser zehn Prüfsteine erfüllt.“
Auch führende IT-Sicherheitsforscher:innen kritisierten die App Ende April in einer gemeinsamen Stellungnahme. Mit der Luca-App sei „ein intransparent entwickeltes System“ in Betrieb genommen und „selbst leicht zu findende Sicherheitslücken“ seien erst im laufenden Betrieb entdeckt worden.
Jede:r kann sich überall anonym einchecken
Tatsächlich ist die App in den letzten Wochen und Monaten immer wieder durch Schwächen im System und Datenlecks aufgefallen. So demonstrierte Jan Böhmermann Anfang April auf Twitter, wie man sich über ein Foto des QR-Codes ganz einfach von Berlin aus im Osnabrücker Zoo einchecken konnte. Da die App keine Falschangaben verhindert, weil kein Personalausweis überprüft wird, checkte Jan Böhmermann kurzerhand als Michi Beck von den Fantastischen Vier ein. Ein Seitenhieb auf Rapper Smudo – ebenfalls Mitglied der Fantastischen Vier und Mitinitiator der Luca-App.
Digitalisierung machts möglich: Ich habe mich soeben um 0:40 Uhr über diesen QR Code mit der LucaApp als “Michi Beck” von Berlin aus im Zoo Osnabrück eingecheckt und verbringe jetzt eine Nacht virtuell in Gedanken bei Elefantenbaby Yaro.
Würde sagen, die App funktioniert! https://t.co/JdsTEOnvVW
— Jan Böhmermann 🦠🤨 (@janboehm) April 6, 2021
Kurz darauf veröffentlichte das Kunstkollektiv Peng! die Website „luci-app“, auf der man sich beliebig oft und anonymisiert an Orten einchecken kann, die die Luca-App zur Kontaktnachverfolgung nutzen.
Sicherheitslücke Schlüsselanhänger
Durch eine weitere Schwachstelle in der Software des Luca-Systems konnte man außerdem auslesen, wann und wo eine Person mit ihrem Schlüsselanhänger eingecheckt hatte. Dazu reichte ein einfaches Foto des QR-Codes, der auf den Schlüsselanhängern aufgedruckt ist. Diese Lücke wurde von den IT-Expert:innen Bianca Kastl und Tobias Ravenstein entdeckt – ist laut Luca-App-Gründer Patrick Hennig inzwischen aber behoben.
Wer allerdings den Code oder die Seriennummer einer anderen Person besitze, sagt Girlich vom CCC im Gespräch mit FINK.HAMBURG, könne sich damit weiterhin unter falschem Namen bei Veranstaltungen als Gast registrieren. Daher raten die Betreiber der Luca-App den Nutzer:innen in einer Stellungnahme auf ihrer Website, den Code „nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen.“
Code-Injection sorgt für Aufregung
Vor einigen Wochen sorgte die nächste Sicherheitslücke für Aufregung: IT-Experte Marcus Mengs zeigte in einem Video, dass über die App Schadcode in das System der Gesundheitsämter eingeschleust hätte werden können. „Code-Injection“ wird dieses Szenario genannt. Es hätte fatale Folgen für Ämter und Bürger:innen. Denn: Die Rechner und Server hätten damit komplett lahmgelegt werden können. Gesundheitsämter könnten dann beispielsweise keine Menschen mehr in Quarantäne schicken. Außerdem wären die Hacker:innen im Besitz von hochsensiblen, persönlichen Daten.
Kurz nach Veröffentlichung des Angriffsszenarios wurde die Lücke nach Angaben der Luca-App-Betreiber:innen behoben. Allerdings gab es gleich das nächste Problem: Man konnte die Software der Gesundheitsämter nun ganz abstürzen lassen. Auch dieser Fehler sei schnell behoben worden, so Hennig.
Lücken und Designfehler
„Es wirkt auf mich, als ob die App einfach schnell hingebaut wurde, ohne darauf zu achten, dass das System für den Zweck angemessen ist“, sagt Girlich vom CCC Hamburg. „Privacy wurde bei der Entwicklung einfach nicht mitgedacht.“ Jede kleine Behebung führe am Ende zu weiteren Lücken, so Girlich. „Das sind dann keine Sicherheitslücken im Sinne von ‚Da ist eine Zeile Code falsch geschrieben‘. Sondern sie haben das System einfach falsch entworfen.“
Da die Luca-App-Betreiber:innen jedoch immer wieder sagen würden, sie hätten die Lücken jetzt behoben, würden sie den Kritiker:innen schnell den Wind aus den Segeln nehmen, so der Sprecher des CCC. „Dabei müsste ja eigentlich jetzt mal der Punkt gekommen sein, wo gesagt wird: Komm‘ wir haben jetzt schon so viele Sicherheitslücken gefunden, jetzt ist Schluss“, so Girlich.
Auch der Datenschutzbeauftragte der Stadt Hamburg, Johannes Caspar, kritisiert den Umgang der Hersteller mit den Sicherheitslücken: „Im Falle der Luca-App reagiert der Hersteller zwar auf bekanntgewordene Lücken, hat diese jedoch erst nach konkret demonstrierten Angriffsszenarien behoben. Dies darf bei Projekten dieser Größenordnung nicht geschehen,“ schreibt er FINK.HAMBURG.
Kritk an zentraler Datenspeicherung
Auch die zentrale Speicherung der Nutzerdaten wird von vielen Expert:innen kritisiert. Anders als bei der Corona-Warn-App, die alle Daten anonym und dezentral auf den Smartphones der Benutzer:innen speichert, werden die Daten der Luca-App auf zentralen Servern gespeichert. So eine umfassende Datensammlung an zentraler Stelle berge ein massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks, schreiben hunderte IT-Sicherheitsforscher:innen in einer gemeinsamen Stellungsnahme.
Sie warnen davor, dass solche Systeme erfahrungsgemäß kaum vor Angriffen zu schützen seien. In der gemeinsamen Stellungnahme heißt es: „Es ist nicht zu erwarten, dass dies einem Start-up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte.“
Auch Jan Girlich vom Chaos Computer Club (CCC) Hamburg sagt: „Das Problem bei Luca ist meiner Einschätzung nach, dass sie versucht haben, ein grundsätzliches simples, geeignetes Modell zu nehmen und das immer weiter um etliche Anwendungsfälle ergänzt haben, wo sie Fehler und Probleme eingebaut haben.“ Da die Daten zentral gespeichert werden, sei das System viel anfälliger für Angriffe, weil die “Belohnung” für mögliche Angreifer:innen sehr groß wäre.
Doppelte Verschlüsselung
Um solche Angriffe zu verhindern, hat Nexenio – die Firma hinter der Luca-App – ein eigenes Kryptokonzept entwickelt. „Damit das Gesundheitsamt die persönlichen Daten lesen kann, werden vier Dinge benötigt: Das doppelt verschlüsselte Datenpaket, der Schlüssel bei der Betreiber:in, der tägliche wechselnde Schlüssel bei den Gesundheitsämtern und der individuelle Schlüssel des Gesundheitsamtes”, so Hennig. Außerdem sei ein zentrales System notwendig, um die Kontaktdaten mit den Gesundheitssystemen austauschen zu können.
Doch sind die Gesundheitsämter der einzig richtige Weg? Sollten sie noch zusätzlich mit der Auswertung von Daten belastet werden? Girlich hat da so seine Zweifel.
Corona-Warn-App als Alternative?
Er findet die dezentrale und anonyme Lösung über die Corona-Warn-App viel sinnvoller. Denn sie warnt die Leute direkt bei möglichen Risikokontakten – ohne das Gesundheitsamt dazwischen. „Das hat auch den Vorteil, dass die Gesundheitsämter nicht komplett mit der Auswertung überlastet sind“, sagt Girlich. „Die Leute da machen das ja schließlich nicht automatisch, sondern müssen die Daten filtern, die Leute finden, sie anrufen und das kostet Zeit.“ Hinzu komme, dass die Corona-Warn-App schon weit verbreitet sei und seit Kurzem auch die Möglichkeit biete, sich über einen QR-Code einzuchecken.
Eine alleinige dezentrale Lösung lässt die Hamburger Corona-Eindämmungsverordnung jedoch aktuell nicht zu, da die Gesundheitsämter personenbezogene Daten bekommen sollen.
Datenschutzbeauftragter Caspar schreibt FINK.HAMBURG dazu: „Der Senat hat sich entgegen unserer deutlichen Empfehlung bislang dagegen entschieden, alternativ die datensparsame Corona-Warn-App zuzulassen. Sie entspricht nicht den Anforderungen der Verordnung, weil sie ohne Namen und Adressdaten funktioniert.” Alternativ müsse stets die Erfassung auf analogem Weg ermöglicht werden, so Caspar.
Statt Luca-App also nur Stift und Papier?
Nein. „Niemand wird zur Nutzung einer bestimmten App verpflichtet“, schreibt Jörg Schmoll vom Amt für IT und Digitalisierung der Stadt Hamburg auf Nachfrage von FINK.HAMBURG. Jede:r Nutzer:in kann also selbst entscheiden, ob er oder sie einen Zettel ausfüllt, die Luca-App benutzt oder sich eine andere App herunterlädt.
Problem hierbei ist allerdings, dass in den Bars, Restaurants oder Geschäften QR-Codes angeboten werden müssen, die auch mit einer anderen App kompatibel sind.
Schnittstelle Iris connect
Genau deswegen setzt Nordrhein-Westfalen seit Mitte Juni auf „Iris connect“. Bei diesem offenen System spielt es nämlich keine Rolle, für welchen App-Anbieter sich der oder die Barbetreiber:in entschieden hat. Das Iris-Gateway fungiert dabei als eine Art Türsteher vor den Servern der Gesundheitsämter. Über diese Schnittstelle können alle App-Anbieter – nicht nur einer – Daten mit den Gesundheitsämtern austauschen und die Kontaktnachverfolgung ermöglichen. Gleichzeitig wird Hacker:innen der direkte Zugang auf die Server der Gesundheitsämter versperrt.
Eine Lösung, die wohl auch für Hamburg attraktiv wäre – hätte man dort nicht schon viel Geld für die Luca-App ausgegeben. Alternativ gäbe es aber auch die Check-In-Funktion der Corona-Warn-App – doch um ausschließlich dezentral und anonym einchecken zu können, müsste die Stadt ihre Verordnung ändern. Informationen aus der zuständigen Behörde gibt es dazu bislang noch nicht.
Titelfoto: Max Rohloff