Bereits am 5. März 2021 haben wir mit unserem Beitrag “Nachlese Radiostunde – Entwicklungen im Bereich Digitales, Daten und Urheberrecht” kurz etwas zur LUCA-App geschrieben. Anders als die Corona-Warn-Ap wurde sie nicht von der öffentlichen Hand in Auftrag gegeben. Ein Berliner IT-Start-Up und eine Gruppe von Künstlerinnen und Künstlern hat die Entwicklung vorangetrieben.
Die LUCA-App soll in erster Linie die “Zettelwirtschaft” ersetzen und demnach eine digitale Anwesenheitsliste darstellen. Hierfür soll es lediglich notwendig sein, einen QR-Code einzuscannen. Die Daten sollen im Anschluss direkt an die Gesundheitsämter übermittelt werden. Im Unterschied zur Corona-Warn-App, in der ein passives Erfassen stattfindet, erfolgt in der LUCA-App aktives Erfassen. Laut Angaben des Herstellers (leider nicht überprüfbar, da nicht quelloffen) erfolgt die Datenspeicherung verschlüsselt und selbst der Anbieter habe (angeblich) keinen Zugriff auf die Daten. Weshalb das Speichern auf zentralen Servern, selbst wenn es getrennt nach Gast, Veranstalter und Ort stattfindet, als “dezentral” bezeichnet wird, was uns übrigens sehr irritiert. Das Speichermodell der Corona-Warn-App setzt auf die lokalen Speicher der Endgeräte, dies ist echte dezentrale Speicherung.
Eine Offline-Abgabemöglichkeit soll via Formular beim Veranstalter ebenfalls weiterhin möglich sein. Die LUCA-App bietet zusätzlich Geofencing, was zwar als komfortabel empfunden werden kann, aber eigentlich eine verzichtbare Datenerhebung ist.
Zur Erläuterung: Nach dem Einbuchen in der App wird die Position der Person ermittelt und mit dem vorab definierten Bereich einer Veranstaltung abgeglichen. Beim Verlassen dieses virtuell eingezäunten Bereiches erfolgt automatisch das Ausbuchen.
Eine Freigabe der Daten an die Gesundheitsämter soll nur bei einer Infektion erfolgen, ob dabei ein Schutz vor “Trolling” vorgesehen ist, bleibt unklar. Zum Vergleich: Bei der Corona-Warn-App ist eine Infektionsmeldung nur mit einem speziellen Freischaltcode möglich. Der persönliche Code für die App ändert sich übrigens minütlich. Gleichzeitig sollen via Code auch analoge Schlüsselanhänger möglich sein. Wie beide Konzepte parallel funktionieren, sollte noch genauer erläutert werden. Die App kann maximal eine Ergänzung zum Leistungsangebot der Corona-Warn-App darstellen.
Erst am 23.03.2021 veröffentlichte Netzpolitik.org, eine Nachrichtenwebsite mit Schwerpunkten wie digitalen Freiheitsrechten und netzpolitischen Themen, den Artikel “Das zentrale Problem von Luca”. Demnach haben Forscherinnen und Forscher das bisher vorliegende Sicherheitskonzept analysiert (der Quellcode ist nach wie vor nicht veröffentlicht, was laut Anbieter angeblich bis Ende März nachgeholt werden soll).* Bisher fehlt für diese Analyse jedoch noch die Überprüfung durch unabhängige Fachleute.
Unterm Strich: Das Sicherheitskonzept mit dem zentralen Server funktioniert nur so lange, wie sich auch alle Beteiligten korrekt und vor allem an die IT-Sicherheits-Spielregeln halten. Andernfalls droht den Nutzerinnen und Nutzern der Verlust ihrer Anonymität. Dies kann im schlimmsten Falle bei der Meldung eines positiven Testergebnisses zur Stigmatisierung der einzelnen Personen führen.
Doch wie so oft in den letzten Monaten: Wenn Politikerinnen und Politiker etwas haben wollen, dann können Experten sagen, was sie wollen, es wird alles nur zu Schall und Rauch. Denn bereits jetzt haben Bundesländer wie Mecklenburg-Vorpommern, aber auch die Bundeshauptstadt Berlin Verträge über die Bereitstellung und Nutzung der LUCA-App abgeschlossen.
“Unternehmen, die die Luca-App einsetzen wollen, sollten alternativ auch immer Zettel zum Ausfüllen anbieten. Es darf auf keinen Fall vorausgesetzt werden, ein Smartphone zu besitzen. Zumal das Problem der Mehrfachnutzung durch mehrere Personen, zum Beispiel bei dienstlichen Geräten, bisher auch nicht gelöst wurde. Hier wird eine eindeutige Identifizierung für die Kontaktnachverfolgung sonst ins Absurde geführt.
Weiterhin gilt aber: Ein missbräuchlicher Umgang mit den Kontaktdaten durch die Unternehmen, aber auch durch Dritte kann bei dem aktuellen Sicherheitskonzept nicht sicher ausgeschlossen werden”, so Anja Hirschel, Sprecherin für digitalen Wandel.
* Zum Zeitpunkt der Artikelerstellung war der Quellcode noch nicht öffentlicht verfügbar.
Pingback: Warum Luca App, wenn es schon die Corona-Warn-App gibt?
Pingback: Die "Piraten" plädieren für die Corona-Warn-App statt der luca-App - sensor Magazin - Mainz
Pingback: Luca-App: Noch mehr Aushöhlung des Datenschutzes - Piratenpartei Braunschweig