Eine Vision

„Gemeinsam das Leben erleben“^[:]. Das verspricht die Luca-App auf ihrer Startseite. Erreicht werden soll dies durch ein System zur Kontaktnachverfolgung durch die manuelle Registrierung der Nutzer an einem bestimmten Ort. In der Praxis läuft das folgendermaßen ab: Der Nutzer scannt am Eingang eines Geschäfts oder einer Veranstaltung einen QR-Code mit seinem Smartphone ein. Die App sendet dann die Daten an einen Server der Betreiberfirma. Bei einem Corona-Fall innerhalb einer solchen Gruppe an Personen, die zur gleichen Zeit an dem gleichen Ort registriert waren, sollen die Gesundheitsämter so leicht die Betroffenen kontaktieren können. Das kommt dir bekannt vor? Richtig: Gibt es schon. Die Corona-Warn-App ist genau dafür entwickelt worden. Nur ermittelt diese Kontakte durch BLE, einem Teil der Bluetooth 4.0 Funktechnik, die extrem stromsparend arbeitet. Du fragst dich jetzt sicher, wozu die Luca-App dann gut sein soll, oder? Die Entwicklerfirma gibt dazu folgende Antwort: „Somit ist luca ein guter Zusatz zur Corona-Warn-App, kann und möchte sie aber nicht ersetzen.“^[:] Doch von vorne:

Das Drama

1. Akt - Exposition

Eine Idee

Die Corona-Krise dauerte an. Unter anderem leiden die Kulturschaffenden bis heute extrem unter den Folgen der Kontaktbeschränkungen. Es brauchte eine Idee, um unter anderem wieder Veranstaltungen durchführen zu können. Aus dieser Problematik heraus, so zumindest vermittelt es die Werbung, ist die Idee zu Luca entstanden. Das eingangs erwähnte Versprechen klang gut. Mit Smudo als Werbegesicht wurde nun von der culture4life GmbH, einem Unternehmen mit dem Zweck „Entwicklung und der Vertrieb von Software, Durchführung von erlaubnisfreien Beratungsdienstleistungen, Akquise und Abwicklung von Software-Projektgeschäften als Auftragsdienstleistung.“^[:] zu erbringen, die Entwicklung vorangetrieben.

2. Akt - Entwicklung

Intransparenz, Millionen und Manipulationen

Besucht man die Webseite der App, dann hat man den Eindruck eines dynamischen Umfelds, in dem zum Wohle aller eine Anwendung entwickelt wurde, mit der die Pandemie besser in den Griff bekommen werden soll. Die Realität sieht anders aus. Selbstverständlich geht es den beteiligten Firmen und Investoren nicht um das Allgemeinwohl, sondern um Geld.

Das Geld kommt hierbei nicht direkt von den Nutzern der App, sondern von der öffentlichen Hand. Diese muss eine Lizenz zur Nutzung der Anbindungsmöglichkeit an die Gesundheitsämter nämlich bezahlen. Stolze 440.000 Euro blättert allein das Land Mecklenburg-Vorpommern hierfür hin.^[:] Weitere Bundesländer folgen oder folgten bereits dem Vorstoß. Stand bisher fallen somit Gesamtkosten von mindestens unglaublichen 11,2 Millionen für die Anbindung von 7 Bundesländern an.^[:] Spitzenreiter ist dabei Baden-Württemberg mit ganzen 3,7 Millionen Euro, die Sozialminister Manfred Lucha (Grüne) in die App stecken will. Anfragen an andere Bundesländer zu den Ausgaben für die App oder auch zu den Sicherheitsaspekten stehen zum Teil noch aus.^[:]

Das ganze erfolgte dabei intransparent und unter der Hand. So gab die Digitalagentur Thüringen öffentlich bekannt, dass sie „zu keinem Zeitpunkt mit der Beschaffung der App beauftragt“^[:] war. Eine öffentliche Ausschreibung erfolgte meinen Recherchen nach in keinem der Bundesländer, die die Dienstleistung einkauften. In jedem Fall versuchten die Verantwortlichen der App eine öffentliche Ausschreibung tunlichst zu vermeiden, denn es gibt vergleichbare Lösungen bereits haufenweise und diese hätten sonst auch eine faire Chance am Markt.^[:] Dies wurde jedoch von der Firma hinter der App abgetan und behauptet, dass eine öffentliche Ausschreibung nicht nötig sei. So wurde der normale Ablauf mit Ausschreibung und Bewerbung der Anbieter umgangen. Vergaberechtlich alles sehr problematisch. Ich wage an dieser Stelle mal die steile These, dass hier früher oder später mit einem, eventuell auch juristischen, Nachspiel zu rechnen ist. Der Anschein des gezielten Umgehens von Vergaberecht und damit auch eine Manipulation des fairen Wettbewerbs am freien Markt stehen im Raum. Diese These stütze ich unter anderem auf äußerst umfassende Recherchen der „Zeit“.^[:]

Der wichtigste Punkt ist jedoch, dass die App im Gegensatz zur Corona-Warn-App erst auf massiven Druck aus der Netzwelt zumindest in kleinsten Teilen veröffentlicht wurde. Selbst hierbei zeigten die Macher hinter der Luca-App, wie wenig sie trotz dieses Schrittes an einer öffentlichen Überprüfung der Anwendung interessiert waren. So wurde bei der ersten Veröffentlichung der Code derart eingeschränkt lizenziert, dass es für IT-Profis und Wissenschaftler wie beispielsweise den Mitgliedern des Chaos Computer Club (CCC) nicht möglich war, den Code angemessen zu untersuchen.^[:] Auch die notwendigen Lizenzhinweise auf die freien Projekte Dritter, die bei der Entwicklung Verwendung fanden (Wie üblich bei Softwareentwicklungen) wurden dreist entfernt.^[:]

3. Akt - Tragödie

Versagen

Die App verspricht im Kern drei wesentliche Dinge:

• Schnelle und lückenlose Kontaktverfolgung
• Entlastung der Gesundheitsämter
• Sicherheit der Daten

Halten kann die Anwendung davon keines. Im Gegenteil.

Schnelle und lückenlose Kontaktverfolgung

Dass das nicht funktioniert, das zeigte der Moderator Jan Böhmermann in der Nacht von Dienstag auf Mittwoch sehr eindrücklich auf Twitter: Er postete um 1:15 Uhr ein Foto des QR-Codes der Luca-App vom Zoo Osnabrück. Der QR-Code war damit von jedem, der das wollte, einscannbar. Schon kurze Zeit später tummelten sich über 100 „Besucher“ auf dem ca. 20 Hektar großen Gelände. Selbstverständlich war keiner davon vor Ort. Der QR-Code erlaubte es jedoch den Leuten, sich bequem von der Couch aus in der entsprechenden Gruppe der Luca-App zu registrieren.^[:] Die Daten, die die App damit produzierte, wären in einem Ernstfall also völlig nutzlos. Eine Quarantäne kann aufgrund dieser Daten nicht angeordnet werden. Allenfalls die Information an die Teilnehmer, sich doch bitte freiwillig testen zu lassen und in häusliche Quarantäne zu begeben, wäre möglich. Das kann die Corona-Warn-App aber mindestens genauso gut. Sie erfordert sogar weniger Aufwand der Nutzer, reicht es doch schon, das Handy dabei zu haben. Die App ist folglich nicht schneller. Zudem lässt sich die Luca-App auch mit falschen Daten nutzen. Es müsste wie zuvor auch genau so eine Eingangskontrolle mit Liste geführt werden, wenn man verlässliche Daten will.

Für die Nutzer der Schlüsselanhänger, die für Menschen ohne Smartphone gedacht sind, gibt noch ein weiteres Problem: Diese können sich gar nicht auschecken aus dem registrierten Areal. Sie sind damit dazu verdammt, in der Gemüseabteilung zu nächtigen. Für alle anderen wird ein automatischer Check-out per Geofencing bereitgestellt. Das heißt, dass bildlich gesprochen ein Teil der Karte eingefärbt wird und sobald man das Gebiet verlässt, der Check-out selbstständig durchgeführt wird. Die Problematik dahinter: Das System funktioniert noch nicht wirklich und erfordert sehr viel Aufwand durch den Administrator eines Bereiches. Zudem endet die Möglichkeit, sobald verschiedene Areale übereinander liegen oder kein GPS verfügbar ist, wie in den meisten Kaufhäusern.

Entlastung der Gesundheitsämter

Hier zeigt sich auch das zweite Problem: Eine einzige Luca-instanz für 20 Hektar Zoo, übrigens kein Einzelfall, beinhaltet vermutlich einige hundert Menschen. Ein Infizierter würde das zuständige Gesundheitsamt also regelrecht mit Daten zumüllen. Nutzlosen Daten. Die Chance, dass von diesen Hunderten Menschen mehr als eine Handvoll wirklich Kontakt zu der infizierten Person hatte, ist verschwindend gering. Das mag im engen Lädchen um die Ecke funktionieren, doch schon bei einem normalen Lebensmittelhändler wird der Datensatz völlig wertlos sein. Die Arbeit für die Ämter erhöht sich dadurch folglich signifikant, ohne jedoch einen Nutzen zu bieten. Eine Lösung wäre natürlich die weitere Untergliederung. Aber wer will ernsthaft beim Wechsel von der Obst- und Gemüseabteilung zu den Teigwaren, dann zur Wursttheke und am Ende noch mal bei den TK-Wahren jedes Mal einen neuen Code scannen und sich bei der alten Abteilung ausloggen? Es ist offensichtlich: Das Konzept ist absolut amateurhaft zusammen gestümpert. Würde ich meinem Chef das vorschlagen, dann würde er vermutlich die Hände über dem Kopf zusammen schlagen.

Sicherheit der Daten

Wo Daten erfasst werden, da können Daten auch missbraucht werden. Die Corona-Warn-App löst das sehr elegant, indem keine Daten außer einer Reihe an zufälligen Zeichenkombinationen erfasst und ausgetauscht werden. Diese ändern sich zudem ständig. Sollte jemand hier tatsächlich an diese Daten kommen, so könnte er weder nachvollziehen, wer, noch wo, noch was irgendein Nutzer gemacht hat. Er hätte lediglich einen Haufen wertloser Codes, von denen manche als positiv gekennzeichnet sind und andere nicht.

Zur Veranschaulichung, wie ein solcher Datensatz aussehen könnte:

12:00-12:32 2254bf45-ab51-4506-8902-2a57cd927aa7
12:47-13:16 ee8376d5-a159-459e-b49b-e625f14f4956
14:03-15:00 8136ab6d-c988-4a0f-a421-10d2eea9e9ee

Bei Luca hätte der Angreifer etwas mehr an Informationen:

Name: Max
Nachname: Mustermann
Telefon: 0123 456789
E-Mail: max.mustermann@hotmail.com
Straße und Hausnummer: Hauptstraße 12
Postleitzahl und Ort: 12345 Bielefeld
IP: 123.456.789.123
Gerät: iPhone 42s von Max Mustermann
12:00-12:32 Kaufhaus Müller zusammen mit Günter Koch, Ayleen Özgür, Alex Krasvic, ...
12:47-13:16 Paradiesapotheke zusammen mit Irmgard Neumann, Heinz Müller
14:03-15:00 Stadtpark zusammen mit Ali Fischer, Wolfgang Peters, ...

Das sind zwar nur Beispiele, jedoch wird daraus der Umfang der theoretisch verfügbaren Informationen und auch der miteinander verknüpfbaren Informationen klar. So könnte mit Leichtigkeit der Datensatz von Max Mustermann mit dem von Ayleen Özgür verknüpft werden usw. So kann ein vollständiges Bewegungsprofil erstellt werden und Muster im Privatleben erkannt und ausgewertet werden.

Beide Apps verschlüsseln die Informationen. Der hierbei entscheidende Unterschied ist aber, dass bei der Corona-Warn-App die Sicherheit aus dem nicht-vorhanden-sein von sensiblen Daten und der Logik des Programms kommt. Zudem sind die Daten dezentralisiert. Bei einem Datenleck könnte der Angreifer nie eine vollständige Kontrolle oder einen vollständigen Datensatz aller Nutzer erhalten. Bei Luca kommt die Sicherheit aus der Integrität des zentralen Servers. Alle Daten sind an einem Ort entschlüsselbar, also wieder in den Klartext umwandelbar und somit dann lesbar, gespeichert. Ein Angreifer, der Zugriff auf den zentralen Server von Luca hat, kann all diese Information im Klartext lesen. Zu den oben gelisteten Daten käme durch die Verknüpfung mit den Gesundheitsämtern eventuell noch eine Reihe an persönlichen Gesundheitsdaten. Alleine das Vorhandensein dieser sehr interessanten Daten lockt kriminelle an. Auch der Staat sowie der Betreiber der App erhält so vollständige und umfassende Daten der Nutzer. Hierauf wurde auch vielfach von verschiedenen Seiten hingewiesen.^[:] Unter anderem in einem offenen Brief von Mitgliedern des CCC Freiburg.^[:]

Resümee

Die Grünen in Thüringen haben hier leider aus meiner Sicht deutlich bessere Arbeit geleistet als die Fraktion in Baden-Württemberg. In Thüringen scheint man sich mit Digitalisierung und Vergaberecht auszukennen und hat daher in der Landtagsfraktion einen Entschluss, der auch dem Bundesparteiprogramm gerecht wird, getroffen.^[:] Dieser Beschluss fasst die Lage mit der Luca-App perfekt zusammen und hätte ein Muster für eine vernünftige Arbeit der Grünen in Baden-Württemberg sein müssen. Auch weiß jeder Entwickler: Nur offener Code schafft Vertrauen und Sicherheit. Nicht um sonst ist der weltweit verbreitetste Code Open-Source und Linux das meist verwendete und sicherste Betriebssystem der Welt. Und ja, ich rege mich sehr darüber auf, dass der Landtag in Baden-Württemberg derart in Bezug zur Luca-App gehandelt hat und eine zweifelhafte, halb fertige, schlecht konzipierte Anwendung für einen Millionenbetrag besorgt hat. Klar: In der Bevölkerung wird das sicher als ein „Die tun endlich mal was!“ verstanden, aber wer etwas informationstechnisch gebildet ist oder sich informiert und etwas darüber nachdenkt, der wird einen weiten Bogen um die Luca-App machen und definitiv zur Corona-Warn-App greifen, wenn es um sinnvolle digitale Maßnahmen geht. Man muss nicht jeden schwachsinnigen Trend anderer Länder aufgreifen.

Zudem scheint immer wieder der Glaube aufzukommen, dass eine App uns alle endlich aus den Klauen des Virus befreien wird. Woher auch immer diese Vorstellung kommt: Jede digitale Kontaktnachverfolgungsmethode dient lediglich dazu, dass die Ausbreitung bei einem lokalen Ausbruch, die weitere Verbreitung durch die Vielzahl an möglicherweise Betroffenen unterbunden werden kann. Die App setzt also frühestens nach der ersten bekannten Infektion an.

Aus meiner Sicht als Jurist und Softwareentwicklers mutet das alles äußerst dubios an. Für mich ist auf diese Art und Weise eine breite öffentliche Nutzung der App ausgeschlossen. Lediglich das Vertrauen, dass die Öffentlichkeit in „Die Fantastischen Vier“ hat, verhilft der App momentan zu einer derartigen Publizität. Ich persönlich werde diese App nicht nutzen. Meine massiven Bedenken an ihrem Nutzen, der Sicherheit und ihrer Seriosität veranlassen mich dazu, persönlich von dieser Anwendung abzuraten. Wir Grünen haben uns zum Grundsatz gemacht, dass wir auf die Wissenschaft hören. Unser Kernthema, der Klimaschutz, ist ganz und gar wissenschaftlich. Warum hören wir plötzlich in Baden-Württemberg auf, auf die Wissenschaft zu hören, wenn es um Software geht?

Zu empfehlender Podcast zu dem Thema: https://logbuch-netzpolitik.de/lnp387-magisches-denken