DATENSCHUTZ-RISIKO

Trotz starker Kritik wird an Luca-App festgehalten

Berlin setzt wie MV auf die Luca-App zur Nachverfolgung von Corona-Kontakten. Das ist nicht unumstritten. Manche fordern, dafür dürften keine Steuermittel mehr ausgegeben werden.
dpa
Eine Kundin scannt in Berlin mit der Luca-App einen QR-Code. Die App dient der Datenbereitstellung für eine mögliche
Eine Kundin scannt in Berlin mit der Luca-App einen QR-Code. Die App dient der Datenbereitstellung für eine mögliche Corona-Kontaktnachverfolgung. Datenschützer und Computer-Experten warnen vor starken Problemen mit der App. Christoph Soeder
Berlin ·

In Berlin soll die Luca-App trotz Hinweisen auf Sicherheitsprobleme für die Corona-Kontaktnachverfolgung zum Einsatz kommen. Sie sei in vielen Ländern und Kommunen in Deutschland erfolgreich im Einsatz, teilte Senatssprecherin Melanie Reinsch am Mittwoch auf Anfrage mit. „Sofern Mängel benannt werden, geht der Senat diesen selbstverständlich nach. Der Entwickler hat dazu bereits Stellung genommen und Nachbesserungen vorgenommen oder angekündigt.“ Ende der Woche sollen den Angaben nach in Berlin alle Gesundheitsämter technisch an das Luca-System angeschlossen sein. Die App-Macher aus Berlin sind gleich wegen mehrerer Probleme in der Kritik.

Mehr lesen: Land MV kauft System-Lizenz für Luca-App

Millionen Euro für App

„Aufgrund der aktuellen Pandemieentwicklung bestand und besteht hier nicht die Möglichkeit, langwierige Prüfverfahren und Erprobungen vor Nutzung technischer Lösungen vorzuschalten“, so die Senatssprecherin. Aufgrund der dringenden Notwendigkeit, eine elektronische Kontaktnachverfolgung mit Schnittstellen zu den Gesundheitsämtern zu ermöglichen, habe sich der Senat wie viele andere Landesregierungen nach Prüfung der Leistungsspektren der am Markt verfügbaren Angebote für die Luca-App entschieden.

Berlins Regierender Bürgermeister Michael Müller (SPD) hatte sich bereits Mitte März für die Einführung der App in der Hauptstadt ausgesprochen und kurz darauf bestätigt, dass Berlin für die Lizenz gut 1,1, Millionen Euro gezahlt habe.

„Serie von Sicherheitsproblemen”

Die europäische Hackervereinigung Chaos Computer Club (CCC) hat inzwischen gefordert, keine Steuermittel mehr für die App zur Corona-Kontaktnachverfolgung auszugeben. Club-Sprecher Linus Neumann verwies am Mittwoch auf eine „nicht abreißende Serie von Sicherheitsproblemen“ bei dem Luca-System.

Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind. „Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren“, kritisierte Neumann. Er verwies dabei auf Recherchen, die im Netz unter dem Titel „Lucatrack“ veröffentlicht wurden. Eine dort aufgezeigte Sicherheitslücke soll bei Nutzern des Schlüsselanhängers eine Bewegungsnachverfolgung ermöglichen. Das IT-Rechercheteam fordert deswegen, die "über 100.000 bereits im Umlauf befindliche Luca-Schlüsselanhänger sofort aus dem Verkehr zu ziehen, um die Ausnutzung dieser Sicherheitslücke zu verhindern."

Beträchtliche Datenschutzrechliche Risiken

Die Berliner Datenschutzbeauftragte Maja Smoltczyk hatte am vergangenen Freitag im „Tagesspiegel“ auf datenschutzrechtliche Probleme hingewiesen. Am Mittwoch teilte sie auf Anfrage mit: Es überrasche sie nicht, dass die geäußerten Bedenken wegen der beträchtlichen datenschutzrechtlichen Risiken beim Betrieb der App vom Chaos Computer Club geteilt würden.

„Wir bleiben daher auch bei unserer Einschätzung, dass eine genauere Überprüfung der App im Vorfeld der Anschaffung wünschenswert gewesen wäre“, sagte Smoltczyk. „So hätte auch für andere Anbieter oder Stellen und gegebenenfalls auch durch bereits bestehende Systeme wie die Corona-Warn-App die Möglichkeit bestanden, Wege zur Kontaktnachverfolgung datenschutzfreundlich zu gestalten.“

Luca-App-Macher: Kein Foto des eigenen Schlüsselanhängers veröffentlichen

Der Entwickler der App, das Berliner Start-up neXenio, räumte ein, „dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten“. „Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.“

Die Macher der Luca-App empfahlen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen „böswilligen Missbrauch zu vermeiden“.

Auch MV bezahlte für die Luca-App

Die Luca-App, für die unter anderem Hip-Hop-Sänger Smudo von den „Fantastischen Vier“ geworben hatte, wird in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg aus Steuermittel finanziert. Die eingesetzten Mittel summieren sich nach Recherchen des Portals Netzpolitik.org auf insgesamt 20 Millionen Euro. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Der Chaos Computer Club forderte ein „umgehendes Moratorium“ beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten durch den Bundesrechnungshof überprüft werden.

Mehr lesen: Schwesig und Smudo stellen Luca-App vor

 

Stadt. Land. Klassik! - Konzert in Berlin

zur Homepage

Kommentare (3)

muss gelinde gesagt egal sein.
Man kann darauf bis nach Rom reiten,
dann sind wir in 2 Jahren immer noch auf der gleichen Stand. Nur zu und danke.
Die Auslegung des Datenschutzes behindert auch, den Impffortschritt in Unterstützung mit allen Krankenkassen.

In der Luca-App können Sie als Ihren Ort z.B. "Taka-Tuka" oder "Disneyworld" eingeben. Die App akzeptiert diese Orte. Wenn Sie mit eingeloggter App in einem Museum oder Klamottenladen für 30 Minuten waren, aber sich beim Verlassen dieser Objekte nicht ausgeloggt haben, befinden Sie sich stundenlang - bis Sie es beim nächsten Gang in einen Klamottenladen z.B. drei Tage später - immer noch lt.App in dem Museum oder des ersten Klamottenladen.

China macht es vor.
Überall Kameras und ohne Gesichtsscan kann man nicht mal mehr ein Handy samt Nummer erwerben.
Willkommen im Jahr 1984.

George Orwell würde kotzen wenn er noch könnte.