Die Luca-App soll die Zettelwirtschaft bei der Kontaktverfolgung beenden. Gleich zwölf Bundesländer investieren Steuergelder, um sie einsetzen zu können. Doch Computer-Experten stellen beim genaueren Hinsehen "unnötige" Sicherheitslücken fest.

Die europäische Hackervereinigung Chaos Computer Club (CCC) hat gefordert, keine Steuermittel mehr für die Luca-App zur Corona-Kontaktnachverfolgung auszugeben. Club-Sprecher Linus Neumann verwies auf eine "nicht abreißende Serie von Sicherheitsproblemen" bei dem System. Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind.

"Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren", kritisiert Neumann. Er verwies dabei auf Recherchen, die im Netz unter dem Titel "Lucatrack" veröffentlicht wurden. "Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit."

"Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen", erklärt der CCC-Sprecher. "Mecklenburg-Vorpommern will die Installation sogar zur Voraussetzung der Teilhabe am öffentlichen Leben machen."

Entwickler räumt Fehler ein

Der Entwickler der App, das Berliner Start-up Nexenio, räumt ein, "dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten". "Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden."

Die Macher der Luca-App empfehlen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen "böswilligen Missbrauch zu vermeiden".

Technik 09.04.21 12:20 min

Nach Kritik am Datenaustausch Luca-Entwickler: "App für maximale Sicherheit gebaut"

Mit dem Luca-System lassen sich Kontaktdaten erfassen, es sind drei Seiten daran beteiligt: Gast, Gastgeber und Gesundheitsämter. Beispielsweise erhalten Besucher von Restaurants oder Kunden im Einzelhandel einen QR-Code, der mit der Handy-App gescannt wird. Bei einer Infektion sollen die Daten direkt und verschlüsselt an die kooperierenden Gesundheitsämter übermittelt werden. Die bisherige Zettelwirtschaft in vielen Betrieben soll damit beendet werden.

"Umgehendes Moratorium"

Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg setzen die App, deren Entwicklung unter anderem von Hip-Hop-Sänger Smudo von den "Fantastischen Vier" unterstützt wurde, ein. Finanziert wird sie über Steuermittel. Nach Recherchen von Netzpolitik.org geben die Länder insgesamt 20 Millionen Euro dafür. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Der Chaos Computer Club forderte ein "umgehendes Moratorium" beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten durch den Bundesrechnungshof überprüft werden. Niemand dürfe gezwungen werden, die App zu verwenden, um am öffentlichen Leben teilzunehmen. "Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbietet sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst."