https://www.faz.net/-gqe-aan2l

Kritik des Chaos Computer Club : „Luca“ erntet Shitstorm

„Wir nutzen Luca“: Eingang eines Bekleidungsgeschäftes am Alexanderplatz in Berlin Bild: dpa

Die App zur Kontaktverfolgung wurde monatelang fast nur gelobt. Jetzt fordern Datenschützer ihr Ende. Zu Recht?

          3 Min.

          Sie sind bei weitem nicht die ersten, aber bislang die lautesten. Die Hackervereinigung Chaos Computer Club (CCC) kritisiert das von mehreren Bundesländern eingesetzte System „Luca“ zur Corona-Kontaktnachverfolgung scharf. Club-Sprecher Linus Neumann sagte am Mittwoch, es gebe eine „nicht abreißende Serie von Sicherheitsproblemen“ bei dem Luca-System.

          Bastian Benrath
          Redakteur in der Wirtschaft.
          Sarah Obertreis
          Redakteurin in der Wirtschaft.

          Luca ist eine von einem Berliner Club-Besitzer ins Leben gerufene und vom Rapper Smudo (Die Fantastischen Vier) beworbene App, mit der Menschen etwa beim Besuch von Restaurants mit QR-Codes „einchecken“ können, um die Nachverfolgung ihrer Begegnungen zu ermöglichen. Luca wurde nach Angaben der Entwickler bisher rund 4 Millionen Mal heruntergeladen, 170 Gesundheitsämter sind an das System angeschlossen. Apps wie Luca sollen eine große Rolle spielen, wenn es nach dem Ende des Lockdowns wieder möglich sein wird, sich in öffentlichen Räumen zu treffen.

          Ein konkreter Grund der CCC-Kritik ist eine von IT-Fachleuten dokumentierte Sicherheitslücke an den Schlüsselanhängern mit QR-Codes, welche von den App-Machern für Nutzer entwickelt wurden, die kein Smartphone besitzen. Wie das Team von Fachleuten, das sich selbst „Luca Track“ nennt, mitteilte, ermöglichen die Schlüsselanhänger nicht nur den Check-in, sondern enthalten auch den Zugang zu allen bisherigen Check-ins des Nutzers in den 30 Tagen zuvor. „Mit einfachen Programmierkenntnissen“ könnten Hacker allein über den QR-Code des Anhängers auslesen, wann und wo ein Nutzer im vergangenen Monat gewesen sei, schreiben sie. Mehr als 100.000 dieser Schlüsselanhänger seien bisher ausgegeben worden. „Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit“, sagte CCC-Sprecher Neumann.

          Die Kritik wird immer heftiger

          Der Entwickler der App, das Berliner Start-up Nexenio, räumte zwar ein, dass es die Möglichkeit der Einsicht gab, Nexenio-Chef Patrick Hennig sagte aber auch, dass das System von vornherein so ausgelegt worden sei, dass man die Kontakthistorie aufrufen könne, wenn man auch in Besitz des Anhängers sei. Trotzdem habe Nexenio die Lücke sofort nach der Meldung geschlossen, zu keinem Zeitpunkt seien hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abrufbar gewesen.

          Der CCC kritisiert aber nicht nur die „Schwachstelle“ bei den Schlüsselanhängern, sondern auch ein „zweifelhaftes Geschäftsmodell“ des Luca-Systems, eine „mangelhafte Software“ und „Unregelmäßigkeiten bei der Auftragsvergabe“ für den Einsatz von Luca in einzelnen Städten und Bundesländern. Niemand dürfe gezwungen werden, die App zu verwenden, um am öffentlichen Leben teilzunehmen, forderte die Vereinigung. Anders als vom CCC behauptet, ist die Nutzung von Luca allerdings in keiner Region verpflichtend und soll es auch nicht werden.

          Trotzdem wird die Kritik an dem System schon seit einigen Wochen immer heftiger, nachdem es im Herbst und Winter fast nur Lob für die Entwicklung gegeben hatte. Als größter Schwachpunkt von Luca gilt, dass die zweifach verschlüsselten Daten der App-Nutzer auf einem zentralen Server gespeichert werden. Die Entwickler argumentieren, eine zentrale Speicherung sei nötig, um die Gesundheitsämter bei einem Corona-Fall schnell mit den Kontaktdaten der Infizierten versorgen zu können.

          „Wir sitzen nur noch staunend da und wundern uns, was hier passiert“

          Hennig und sein Team zeigten sich am Mittwoch entsetzt von der umfassenden Kritik des CCC und von der Wut, die ihnen in den sozialen Netzwerken entgegenschlägt. „Wir sitzen einfach nur noch staunend da und wundern uns, was hier passiert“, sagt Hennig. „Ich frage mich, was geschieht, wenn wir wirklich mal einen Fehler machen.“ Es fielen „abstruseste Behauptungen“, die mit der Wahrheit nicht mehr viel zu tun hätten.

          Der Einsatz der Luca-App wird in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg aus Steuermitteln finanziert. Berlin etwa zahlte für die Lizenz 1,1 Millionen Euro, wie die Landeregierung bestätigte. Nach Recherchen des Portals Netzpolitik.org sollen sich die Investitionen aller Länder auf 20 Millionen Euro summieren. Das Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender genutzt. Berlin und Baden-Württemberg verteidigten die App am Mittwoch gegen die Kritik und kündigten an, Luca weiter nutzen zu wollen.

          Weitere Themen

          Topmeldungen

          Medizinisches Personal bei der Vorbereitung von Corona-Impfungen am 8. Januar in Neapel

          Nichts ohne die 3-G-Regel : Das italienische Impfwunder

          Kein Land in Europa hat die 3-G-Regel so strikt angewandt wie die Regierung von Ministerpräsident Draghi in Rom. Das Ergebnis: Italien hat eine Impfquote, von der Deutschland nur träumen kann.
          Präsident Erdogan in seinem Präsidentenpalast in Ankara mit dem chinesischen Außenminister Wang Yi und dem türkischen Außenminister Mevlut Cavusoglu

          Erdogans imperiale Ambitionen : Supermacht Türkei

          Frieden zu Hause, Frieden in der Welt – das war Atatürks Leitspruch. Erdogan sieht das ganz anders. Die Türkei ist ihm als Bühne längst zu klein. Eine Analyse.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.