NSI-Meinung: Zur „luca App“

Karoline Busse und Daniel Sandvoß stellen aufgrund des fehlenden Sicherheitsaudits den Datenschutz und die Datensicherheit bei der Anwendung der luca App in Frage.

Das anhaltende Infektionsgeschehen im Zuge der Corona-Pandemie macht insbesondere den Gesundheitsämtern der Kommunen zu schaffen. Die Nachverfolgung der Kontaktpersonen bringt das Personal an seine Leistungsgrenzen und überfordert vielerorts schlichtweg.

Gerade in Zeiten der Digitalisierung ist es da nur sinnvoll und verständlich, wenn Rufe nach einer digitalen Lösung für diesen Ressourcenengpass laut werden. Eine plattformübergreifende Lösung zur Nachverfolgung und Übermittlung der Kontakte preist da die „luca App“ an. Mit der Anwendung wird es den Nutzerinnen und Nutzern ermöglicht, beim Besuch diverser Lokalitäten per QR-Code einzuchecken, sofern seitens der Lokalität ein entsprechender QR-Code über luca erzeugt und bereitgestellt wurde. Auch ein automatisierter Check-Out ist möglich. Dem Gast bleibt dabei in der App stets ein Protokoll sichtbar, über welches die Check-Ins einsehbar sind. Weiterhin hat die App das Potenzial auch als Eintrittskarte zu Events fungieren zu können. Die gespeicherten Daten werden laut Anbieter vier Wochen nach Besuch der Veranstaltung gelöscht.

Einige Bundesländer setzen inzwischen voll auf luca und wähnen ihre Probleme damit gelöst. Doch die App weist diverse Schwierigkeiten auf.

Datenschutz
luca proklamiert, datenschutzkonform zu sein. Durch eine laut Anbieter „zweifache Verschlüsselung“ seien die Daten geschützt. Außerdem würden dem Veranstalter zu keiner Zeit die mittels luca übermittelten Daten zur Verfügung gestellt. Die Datenhoheit bleibe damit stets bei den Nutzerinnen und Nutzern. Gepaart mit der automatisierten Löschung klingt die App nach einer datenschutzrechtlich guten Lösung. Kritisch ist an dieser Stelle jedoch zu sehen, dass der Anbieter sich sehr lange und mit fadenscheinigen Argumenten gegen eine Offenlegung des Source Code gesträubt hat und dann nur stückweise und mit selbstgebauten, restriktiven Lizenzen veröffentlicht hat. Transparenz auf technischer Ebene ist jedoch integral wichtig für ein Projekt mit so großer potenzieller Tragweite und solcher politischen Brisanz. Darüber hinaus hat luca es bisher vermissen lassen, seine Anwendung unabhängig auditieren und auf die Wahrheit der gemachten Angaben überprüfen zu lassen. Aus Sicht von Datenschutz und Datensicherheit bleiben hier starke Zweifel.

Datensicherheit
Ohne ein unabhängiges Sicherheitsaudit sollte eine Software nicht flächendeckend und quasi-verpflichtend eingesetzt werden. Eine Gruppe von Forschenden der EPFL und der Radboud Universität (T. Stadler et al., Preliminary Analysis of Potential Harms in the Luca Tracing System) hat sich auf freiwilliger Basis eines Audits angenommen und schwerwiegende Datenlecks sensitiver Informationen entdeckt. Was jedoch viel schwerer wiegt ist eine architektonische Schwäche des Systems, denn es setzt auf eine zentralisierte Architektur mit dem luca Backend Server als Abhängigkeitskomponente. Selbst wenn die Gesundheitsämter mit eigenen Schlüsseln verschlüsseln, werden diese dennoch vom luca Server ausgestellt. Durch eine Kompromittierung des Backend Servers wäre ein Vollzugriff auf die komplette Kontakt- und Bewegungshistorie aller Nutzenden möglich. Wenn man die Codequalität der bereits veröffentlichten Fragmente der App als Maßstab für die Gesamt-Security des Projektes anlegt, ist bei zunehmender Verbreitung der App eine Kompromittierung des Servers durch gezielte fortgeschrittene Angrifft sehr wahrscheinlich.

Öffentliche Patenschaft
Insbesondere die Politik scheint sich über eine „vorzeigbare“ Lösung mit einem prominenten deutschen Gesicht als Investor sehr zu freuen. Dabei dürfen jedoch keinesfalls etablierte Mechanismen zur Plausibilitäts- und Wirtschaftlichkeitsprüfung außer Acht gelassen werden. Die eigentliche Baustelle ist jedoch deutlich unsichtbarer für die Öffentlichkeit, denn bei der Digitalisierung der Gesundheitsämter besteht der eigentliche Bedarf an besseren Prozessen und Lösungen. Der Umstieg der Ämter auf digitale Lösungen wie SORMAS läuft weiterhin schleppend. Bei der Wahl einer entsprechenden Lösung sollte also besser an die institutionellen Großnutzer gedacht werden.

luca App ad absurdum geführt
Jüngst wurde in einer u.a. durch den Satiriker Jan Böhmermann veranlassten Aktion eine große Schwäche von luca aufgedeckt. Es genügt ein Foto des Veranstaltungs-QR-Codes, um einen Check-In zu dem Event vorzunehmen, eine Plausibilitätsprüfung über den Gerätestandort (wie sie bei Check-In Apps bereits seit Jahren Standard ist) fand offenbar nicht statt. So kam es, dass hunderte vermeintliche Besucherinnen und Besucher sich von daheim zu einem Zoo-Besuch eincheckten. Die Ergebnisse hinsichtlich der Kontaktdatenverfolgung und -übermittlung, die von luca geliefert werden können, sind damit leicht manipulierbar und folglich nicht belastbar. Müssen die zuständigen Behörden aus potenziell vielen falschen Datensätzen erst wieder eine Aussortierung vornehmen, verlagert sich die Arbeit und die gesamte App ist in ihrer Funktionalität ad absurdum geführt.

Ausblick: Update der CORONA-WARN-APP
Ein für April angekündigtes Update der CORONA-WARN-APP soll die Funktionalität zu digitalen Check-Ins nachrüsten. Diese erfolgt jedoch wie bisher anonym und datensparsam sowie auf individueller Basis, es findet keine Übermittlung personenbezogener Daten an Gesundheitsämter statt. Die zum Check-in verwendeten QR-Codes sollen mit denen der luca App kompatibel sein. luca wird somit nicht ersetzt, sondern ergänzt, denn eine Übermittlung einer Kontaktadresse an das Gesundheitsamt ist nicht vorgesehen. Viel sinnvoller als das Aufziehen von Parallelsystemen wäre jedoch die sinnvolle Ausweitung der CORONA-WARN-APP, beispielsweise nach dem Vorbild der großbritannischen App des Gesundheitsministeriums NHS. Dort können unter freiwilliger Angabe der Postleitzahl lokale Informationen über das Infektionsgeschehen bezogen werden, Corona-Tests direkt aus der App gebucht werden und eine Quarantäne wird durch Hinweise und einen Timer unterstützt. Vor allem in Zeiten großer Unsicherheit und schnell ändernder Informationslagen ist es hilfreich, einen zentralen, vertrauenswürdigen Anlaufpunkt an der Hand zu haben. Anstelle von Schnellschüssen und Medienglitzer sollten sich die Landesregierungen lieber auf Stetigkeit, Qualität und Transparenz konzentrieren. Es stehen schließlich Menschenleben auf dem Spiel.

Wenn Sie zum Thema luca App oder sonstigen Fragen rund um Digitalisierung, Datenschutz und Datensicherheit mit uns in Kontakt treten möchten, wenden Sie sich gerne an das Team von ID2, dem Institut für Digitalisierung und Datenschutz von NSI und HSVN.

In der Serie „NSI-Meinung“ nehmen Vertreterinnen und Vertreter des NSI/der HSVN unregelmäßig Stellung zu aktuellen Themen, die in der Öffentlichkeit diskutiert werden und einen Bezug zum Instituts- und Hochschulleben haben.

Foto: NSI