Kostenlos die App aufs Smartphone herunterladen, die persönlichen Kontaktdaten eintragen und shoppen oder ins Restaurant gehen: Die Luca-App zur Corona-Kontaktnachverfolgung ist auf dem Vormarsch, zahlreiche Bundesländer wie etwa Bayern, Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen oder Baden-Württemberg wollen künftig bei der Eindämmung der Ausbreitung des Coronavirus auf das Luca-System setzen und finanzieren das Vorhaben gar aus Steuermitteln. Laut dem Portal Netzpolitik.org würden sich die Mittel bisher auf insgesamt 20 Millionen Euro summieren. Demnach werden mit Steuergeldern die Entwicklung der App, die Anbindung der Gesundheitsämter sowie der SMS-Service zur Validierung der Telefonnummern der Anwender finanziert.
Mit Auftritten in TV-Talkshows hatte in den vergangenen Wochen etwa der Rapper Smudo von den Fantastischen Vier die App als digitales Tool gegen die Corona-Pandemie ins Gespräch gebracht. Mehr als drei Millionen Menschen sollen sich inzwischen diese Anwendung auf ihr Smartphone heruntergeladen haben. Entwickelt wurde die App beim Berliner Start-up-Unternehmen neXenio. Auf einer Internetseite wird die App mit den Worten gepriesen: "Schnelle und lückenlose Kontaktrückverfolgung im Austausch mit den Gesundheitsämtern". Zudem wird auf die "verschlüsselte, sichere und verantwortungsvolle Datenübermittlung" hingewiesen.
Das Prinzip ist einfach: Mit dem Smartphone muss man in einem Laden oder einem Restaurant, wo die Luca-App eingesetzt wird, nur den QR-Code einscannen, womit man sich praktisch eingecheckt hat, indem die damit übermittelten Daten erfasst wurden. Das lesbare Hinterlassen von Namen, Adresse und Telefonnummer entfällt damit. Falls ein Corona-Vorkommnis registriert wird, wird man benachrichtigt.
Doch diese App, die eine Rückkehr wieder in ein normales Leben möglich machen soll, gerät zunehmend in Kritik. Die Rede ist von Sicherheitslücken in der Software. Neben der App gibt es auch noch den Luca-Schlüsselanhänger, der für jene Menschen gedacht ist, die gar kein Smartphone besitzen und sich dementsprechend auch keine App darauf herunterladen können.
Die europäische NGO für Computersicherheit Chaos Computer Club und andere Organisationen kritisierten etwa, dass Daten bei dieser Anwendung im Gegensatz zur anonymen Corona-Warn-App des Bundes zentral gespeichert werden. Dies wecke nebenbei Begehrlichkeiten bei Strafverfolgungsbehörden und Geheimdiensten. Die Skeptiker stellen auch in Frage, ob die Gesundheitsämter überhaupt in der Lage sind, die von Luca generierten Daten sinnvoll zu verwerten. Außerdem wurde bemängelt, dass die App nicht unter Offenlegung des Quellcodes (Open Source) entwickelt wurde.
Der Sprecher des Chaos Computer Clubs Linus Neumann verwies am Mittwoch auf eine "nicht abreißende Serie von Sicherheitsproblemen" bei dem Luca-System. Der Verein für Computersicherheit forderte, keine Steuermittel mehr dafür auszugeben.
Zuvor hatten etwa Datenschutz-Aktivisten auch auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, auf denen ein QR-Code aufgedruckt ist. Gegenüber der Nachrichtenagentur dpa sagte Neumann dazu:
"Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren."
Der Club-Sprecher verwies dabei auf Recherchen, die im Netz unter dem Titel "Lucatrack" veröffentlicht wurden.
"Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit."
Das Berliner Start-up neXenio räumte gegenüber dpa ein, "dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten". Der Entwickler der App betonte demnach:
"Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden."
Der Chaos Computer Club forderte ein "umgehendes Moratorium" beim Einsatz der Luca-App. Auch müssten die Vergabepraktiken von Mitteln in den Bundesländern durch den Bundesrechnungshof überprüft werden. Und niemand dürfe gezwungen werden, die App zu verwenden, um am öffentlichen Leben teilzunehmen. "Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbietet sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst."
Doch es gibt auch Firmen, die bereits jetzt auf die App setzten – wie etwa der schwedische Möbelkonzern Ikea. Das Unternehmen bestätigte gegenüber dem Spiegel, dass man etwa in den Berliner Ikea-Filialen künftig neben einem negativen Corona-Test und einer FFP2-Maske auch die Luca-App auf dem Smartphone haben soll, um dort einkaufen zu können. Gegenüber dem Spiegel teilte das Möbelhaus mit, dass Mitarbeiter des Konzerns "vor Betreten des Einrichtungshauses überprüfen, ob die App und damit die Kontaktnachverfolgung aktiviert und gewährleistet ist".
Auch Handelsketten wie Galeria Karstadt Kaufhof, Thalia oder Apollo setzen auf die Software.
Mehr zum Thema - Statistisches Bundesamt: Aktuell keine Übersterblichkeit trotz Pandemie