Luca-App für Smartphones

(TO) Kontaktnachverfolgung ist ein wichtiger Baustein in der Corona-Bekämpfung und gehört auch zu den Überlegungen, Veranstaltungen, Kino-, Museums- und Restaurantbesuche wieder möglich zu machen. Eigentlich eine Aufgabe, die der Corona-Warn-App zukommen sollte. Mit der nun vorgestellten App „Luca“ soll dies aber einfacher funktionieren. Entwickelt wurde die App von neXenio, eine Ausgründung des Hasso-Plattner-Instituts gemeinsam mit der Band „Die Fantastischen Vier“ und anderen Kulturschaffenden. Derzeit ist die App bereits auf Sylt, in Rostock und Nordfriesland im Einsatz. Mecklenburg-Vorpommern hat mitgeteilt, dass es nach Erwerb einer entsprechenden Software-Lizenz für 440.000 € alle acht Gesundheitsämter im Land bereits an das Luca-System angeschlossen hat. Die Nutzung der App für die privaten Anwender ist kostenlos.


Wie funktioniert die Luca-App?

Die App erzeugt mit den persönlichen Daten des Benutzers einen individuellen, sich ständig verändernden QR-Code, der beim Restaurantbesuch oder anderen Veranstaltungen vom jeweiligen Betreiber eingescannt werden kann und 14 Tage in der App gespeichert wird. Auch private Treffen können derart festgehalten werden. Wenn man die Veranstaltung wieder verlässt, wird man über eine Geofencing-Erkennung automatisch ausgecheckt, wenn man einen vordefinierten Radius verlässt. Im Infektionsfall informiert das Gesundheitsamt die jeweiligen Besucher der betroffenen Veranstaltung, also alle Personen, die sich zur gleichen Zeit vor Ort befunden haben. Auf diese Weise können sich alle Gäste zeitnah testen lassen, Kontakte meiden und so die Infektionskette durchbrechen. Um an die für eine Information nötigen Daten heranzukommen, werden drei Teile eines Schlüssels benötigt, der des Nutzers, der des Gastgebers und der des Gesundheitsamtes.


Was ist die Kritik an der Luca-App?

Die anfängliche Begeisterung über diese scheinbar unkomplizierte und papierlose Art der Kontaktverfolgung ist aber nun in die Kritik von Datenschützern geraten. Zwar geben die Urheber der Luca-App an, dass die gespeicherten personenbezogenen Daten nur auf gesicherten Servern in Deutschland gespeichert werden und Zugriff nur den Gesundheitsämtern im Rahmen der Rückverfolgung zusteht. Doch wird zur Kontrolle dieser Versprechen gefordert, dass die genaue technische Systembeschreibung und der Quellcode bekannt sein müssen. Ebenso wie bei der Corona-Warn-App soll der Quellcode der Luca-App offengelegt werden, um den Umgang mit den Daten auch überprüfen zu können. Dass die Gesundheitsämter eine direkte Zugriffsmöglichkeit auf die personenbezogenen Daten erhalten, geht den Datenschützern doch zu weit, da dies nur im Infektionsfall zulässig sein sollte. Auch dass der Schlüssel für den Zugriff der Gesundheitsämter in einem Webbrowser generiert wird, begegnet datenschutzrechtlichen Bedenken, da die doch sehr sensiblen Daten so in einer eher ungeeigneten und unsicheren Umgebung leicht angreifbar und ausspähbar sind.


Wie ist das weitere Vorgehen der Luca-App Entwickler?

Die Macher der Luca-App wollen nun der Forderung nach Offenlegung des Quellcodes nachkommen und den Quellcode bis Ende März 2021 offenlegen. Damit soll dann jeder nachvollziehen können, wie die App funktioniert und aufgebaut ist. Ob dies zeitlich ausreichend ist, bleibt fraglich, da die Bundesregierung ihre Entscheidung über eine weitere Anwendung bereits in der zweiten Märzwoche fällen will. Ohne Eingabe und Verwendung von konkreten personenbezogenen Daten funktioniert die Luca-App genauso wenig wie die bisherigen Zettel. Ob die Luca-App besser vor der sinnfreien Angabe von Fake-Namen wie Dagobert Duck und Co schützt ist noch ungeklärt.  Die Diskussion um die Luca-App ist noch nicht beendet und harrt der Offenlegung des Quellcodes und der Entscheidung durch die Bundesregierung. Die bisherige Zettelwirtschaft ist also noch nicht ganz vom Tisch.

Update: Mittlerweile wurde der Quellcode der App veröffentlicht

Die Macher der Luca App haben mittlerweile den Quellcode der App veröffentlicht. Sie reagieren hiermit auf die Kritik, dass ohne die Offenlegung die Sicherheit nicht eingehend überprüft werden kann. Es hagelt jedoch weiter Kritik an der Vorgehensweise des Anbieters und es wurden bereits Sicherheitslücken gefunden. So waren zum Beispiel die Bewegungsprofile der Nutzer auslesbar (Hier nachlesen). Laut dem Anbieter wurde hier nun reagiert und man hat die Möglichkeit der Einsichtnahme der Nutzerhistorie durch Dritte deaktiviert. Der offengelegte Quellcode der Android App ist hier zu finden: https://gitlab.com/lucaapp/android