Sie sind hier: Startseite News "Luca"-App: CCC fordert "Bundesnotbremse"
x
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.

"Luca"-App: CCC fordert "Bundesnotbremse"

14.04.2021 11:48
"Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe" – mit dieser Begründung fordert der Chaos Computer Club (CCC) das "sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab 'Luca'-App". Es seien eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der App aufgedeckt worden. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugten "von einem grundlegenden Mangel an Kompetenz und Sorgfalt". Dennoch verschwendeten immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das "digitale Heilsversprechen".

Der CCC fordert ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs. Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbiete sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst.

Aus Sicht des CCC hat eine mehrmonatige Marketing-Kampagne des Rappers Smudo ermöglicht, dass verschiedene Bundesländer trotz eklatanter Mängel bisher mehr als 20 Millionen Euro an Steuergeldern für Lizenzen zur Nutzung der "Luca"-App investiert hätten. Dabei erfülle die App keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von „Contact Tracing"-Apps.

Obwohl Steuergelder großzügig eingesetzt werden, verblieben Daten, App und Infrastruktur "selbstverständlich" in den Händen der privatwirtschaftlichen Betreiber. Dabei würden die teuren Lizenzen nur für ein Jahr gelten – das sei genug Zeit, um die "Luca"-App zum De-facto-Standard für Einlass-Systeme zu machen. Mecklenburg-Vorpommern habe die Nutzung bereits offiziell im Rahmen der Infektionsschutzverordnung verpflichtend angeordnet.

Für die Zeit nach dem steuerlichen Geldregen hätten die Eigentümer schon heute "ungenierte Pläne" zur weiteren Kommerzialisierung der Kontaktverfolgung, kritisiert der CCC. Neben der Anbindung in Ticketing-Systeme hoffe man auf breite Verbindung mit unterschiedlichen Geschäftsmodellen. Die Marke "Luca" sei mit unternehmerischer Weitsicht unter anderem für "Zutrittskontrolle, Besuchermanagement, gedruckte Eintrittskarten, sowie für die Reservierung von Tickets für Veranstaltungen, insbesondere für Kultur- und Sportveranstaltungen, politische Veranstaltungen, Veranstaltungen für Bildungs- und Fortbildungszwecke und für wissenschaftliche Tagungen" eingetragen worden.

Als Spitzenreiter habe das Bundesland Bayern allein 5,5 Mio. Euro für eine Einjahreslizenz ausgegeben, so der CCC. Andere Länder wie Baden-Württemberg (3,7 Mio. Euro), Niedersachsen (3,0 Mio. Euro) und Berlin (1,2 Mio. Euro) hätten die Lizenzen unter Umgehung der Ausschreibungspflicht erstanden. Der regierende Oberbürgermeister von Berlin Michael Müller rühme sich sogar damit, die Lizenz ohne technische Prüfung erstanden zu haben. Kurz nach dem Spontankauf warnte die Berliner Datenschutzbeauftragte vor "beträchtlichen Risiken" bei der "Luca"-App.

Dabei ist "Luca" für den CCC nicht alternativlos: Mehr als dreißig Konkurrentinnen lobbyierten im Bündnis "Wir für Digitalisierung" seit Wochen erfolglos gegen die Werbemacht des Stuttgarter Rappers Smudo an. "Der 'Luca'-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind", stellte Linus Neumann, Sprecher des Chaos Computer Clubs, fest.

Die großzügige Verschwendung von Steuergeldern werde umso unverständlicher, weil die Landesregierungen damit in Konkurrenz zur dezentralen, datensparsamen und quelloffenen Corona-Warn-App gingen, die mit dem nächsten Update eine vergleichbare Funktionalität erhalten soll. Die vom Bund finanzierte Corona-Warn-App habe bereits eine breite Nutzungsbasis, sei aber nach einem erfolgreichen Start mehrere Monate lang nur stiefmütterlich weiterentwickelt worden. Dieses Versäumnis solle nun die privatwirtschaftliche "Luca"-App monetarisieren.

Der Nutzen der App bleibe dabei fragwürdig und ihre Anwendungsmöglichkeiten begrenzt, so der CCC. Beispiele im 20 Hektar großen Osnabrücker Zoo und verschiedenen IKEA-Filialen erheiterten seit Tagen das Netz: Ein sinnvoller Beitrag zur Pandemie-Bekämpfung lasse sich auch mit viel Kreativität nicht konstruieren.

Als besonderes Leistungsmerkmal der App werde die Anbindung an Gesundheitsämter betont. Die Gesundheitsämter seien bisher jedoch weder durch besonders schnelle Kontaktverfolgung noch durch besonderes Interesse an Besuchslisten aufgefallen: Regelmäßig seien diese zu umfangreich und zu ungenau, um relevante Kontakte zu identifizieren.

"Impfungen und effektive Seuchenschutzmaßnahmen sind die einzige sinnvolle Möglichkeit, der Pandemie Einhalt zu gebieten. Es würde mich nicht wundern, wenn das digitale Heilsversprechen 'Luca'-App bald zum Sündenbock für das fortwährende Versagen der Bundes- und Landesregierungen wird", spekulierte Neumann.

Ein Team aus international renommierten Privacy- und Security-Forscherinnen habe schon früh in einer achtzehnseitigen "vorläufigen Analyse" vor verschiedensten Missbrauchspotenzialen des zentralen Ansatzes gewarnt. Das zentralisierte "Luca"-System speichere alle Daten bei den Betreibern und ermögliche dadurch ein Monitoring sämtlicher Check-in-Vorgänge in Echtzeit. Das gelte auch für jene Check-ins, die in der App als "privat" gekennzeichnet sind. Die Betreiber scheuten auch nicht davor zurück, in diese Treffen aktiv einzugreifen und sie beispielsweise zu löschen.

Die bisher gefundenen Schwachstellen und Peinlichkeiten der Luca-App sind für den CCC "ein bunter Strauß der Inkompetenz":

  • Bei der Registrierung solle die Telefonnummer per SMS "validiert" werden. Millionen Euro müssten verschiedene Bundesländer für den Versand aufbringen. Eine handwerklich fehlerhafte Implementierung mache die Validierung jedoch unwirksam. Die Folge: Das massenhafte Erstellen von Fake-Accounts sei ebenso einfach wie deren Check-in an beliebigen Orten. Es drohe nicht weniger als der Kollaps des kompletten "Luca"-Systems.
  • Die für Menschen ohne Smartphone zu hunderttausenden angeschafften "Luca"-Schlüsselanhänger verrieten bei jedem Scan die vollständige zentral gespeicherte Location-Historie. "Wer den QR-Code scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren", bestätigte Linus Neumann die von Bianca Kastl und Tobias Ravenstein veröffentlichte Schwachstelle "Lucatrack". "Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit. Hier wurde – mal wieder – mit der heißen Nadel gestrickt, statt eine wohlüberlegte Lösung zu bauen", so Neumann weiter.
  • Entgegen den Versprechungen des Sicherheitskonzepts sei das "Luca"-Backend potenziell jederzeit in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen.
  • Als "Musikant" schimpfe Smudo gern auf die "Umsonst-Gesellschaft" und die Verletzung von Urheberrechten. Für die "Luca"-App seien jedoch fremde Software-Komponenten "unter dreister Missachtung" der Lizenzbedingungen verwendet worden. Ein "bedauerlicher Fehler", der professionellen Programmierern nicht passiere.
  • Bis heute sei nur ein Teil des Quellcodes des Gesamtsystems öffentlich. Inwieweit dieser Teil überhaupt noch mit der produktiven Umgebung übereinstimme, sei unklar.
  • Die App erfülle Mindeststandards der Barrierefreiheit nicht. Der App-Zwang stelle eine besonders schwere Form der Diskriminierung dar.


Die zwielichtige Vergabepraxis zeuge bestenfalls von der Strahlkraft des Rappers Smudo, der bisher nicht als Programmierer oder Datenschützer aufgefallen sei, so der CCC. Dem Investor der culture4life GmbH, die die "Luca"-App in Windeseile aus dem Boden gestampft habe, sei es binnen Monaten gelungen, Millionen für ein "unreifes und untaugliches" Produkt einzuwerben. Dabei vergesse Investor Smudo gern zu erwähnen, dass er mit über 22% am Unternehmen beteiligt sei, also nicht ohne beträchtlichen Eigennutz für die "Luca"-App werbe.

"Die 'Luca'-App ist nicht der einzige Fall, bei dem COVID-Glücksritter weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen", sagt Linus Neumann. "Die Maskenaffäre wurde gerade erst erfolgreich unter den Teppich gekehrt. Um einem weiteren Vertrauensverlust in die Politik Einhalt zu gebieten, muss nun lückenlos aufgeklärt werden, wie es zu der zweifelhaften Vergabe kam", so Neumann weiter.