Im April 2021 haben 13 der 16 Bundesländer die Luca-App offiziell eingeführt und dafür zusammen rund 21 Millionen Euro ausgegeben. Seit Tag 1 ihrer Veröffentlichung steht Luca in der Kritik. Datenschützer:innen und Cybersicherheitsexpert:innen finden immer wieder Schwachstellen und Sicherheitslücken in der App, die der Kontaktverfolgung dienen soll und eine verantwortungsvolle und sichere Datenübermittlung verspricht. Aktuellen Medienberichten zufolge wird sie ihrer Aufgabe bislang kaum gerecht. Die CISPA-Faculty Ben Stock, Christian Rossow und Cas Cremers erklären, warum Luca aus Sicht von Cybersicherheitsexpert:innen problematisch ist.
Ihr habt euch bereits vor Monaten in einer Stellungnahme gegen die Luca-App ausgesprochen. Was wolltet ihr damit erreichen?
Ben Stock: Die Meinung der Unterzeichnenden ist ja recht eindeutig: einen de facto Zwang für eine App, die die von uns genannten Prinzipien nicht erfüllt, sollte es nicht geben. In Deutschland gibt es mit der CWA eine App, die schon 33 Millionen Downloads hat, mit dem Fokus auf privacy-by-design im expliziten Auftrag des Staates entwickelt wurde und die Mitte Mai auch eine Check-In-Funktion implementiert hat. Viele Länderverordnungen erlauben momentan jedoch nicht die CWA als Ersatz für Papierlisten, weil Kontaktdaten durch Betreiber/Veranstalter erhoben werden müssen. Hier sollte geprüft werden, ob diese persönlichen Daten überhaupt notwendig sind. Wenn das RKI als Betreiber der CWA dabei klar stellt, dass es gewisse Probleme oder Nachteile in der CWA gibt, können dafür Lösungen gefunden werden. Bei Luca hingegen erscheint es so, als gäbe es eine Lösung, bevor das Problem spezifiziert wurde. Persönlich hoffe ich, dass unser Brief eine Diskussion über den tatsächlichen Mehrwert der Kontaktdaten für die Eindämmung der Pandemie auslöst und so eine funktionierende und datensparsame Lösung eingesetzt werden kann.
Christian Rossow: Es ist mir ein Anliegen, auf die Probleme des grundsätzlichen Luca-Designs hinzuweisen, und somit Offenheit und mehr Unterstützung für bessere Alternativen zu erwirken. Meine Kernbotschaft: Die Luca-App ist sofort und ohne Einbußen ersetzbar.
Was sind konkrete Kritikpunkte an der Luca-App und wie groß sind die Sicherheitslücken wirklich?
Ben Stock: Die bisher gefundenen Sicherheitslücken erlaubten zum Beispiel jemandem, der mal einen der Schlüsselanhänger gesehen hat, die komplette Besuchshistorie des Besitzers abzufragen. Das Problem liegt aber vor allem im Design selbst: der zentralen Datenspeicherung. Das wird dadurch verschlimmert, dass die Luca-App das Schlüsselmaterial, was zur “doppelten Verschlüsselung” genutzt wird, vom Luca-Server erfragt. Die Echtheit der Schlüssel wird nicht von einer unabhängigen Stelle attestiert. Das ist ein bisschen so, als würde man den Personalausweis nicht vom Bürgeramt fälschungssicher ausgestellt bekommen, sondern einfach selbst bestätigen, dass man derjenige ist, für den man sich ausgibt. Das funktioniert nur solange, wie die Server von Luca nicht angegriffen werden; in dem Fall könnte ein Angreifer entscheiden, welche Schlüssel ausgegeben werden. Das heißt im Zweifel dann, dass die “doppelte Verschlüsselung” mit zwei Angreifer-kontrollierten Schlüsseln passiert, dieser also alle Daten im Klartext sehen kann. Wenn Luca dann für politische oder religiöse Veranstaltungen eingesetzt wird, ist das hochkritisch. Im Gegensatz dazu kann bei einem Angriff auf die CWA-Server relativ wenig passieren, da diese niemals persönliche Daten verarbeiten – weder verschlüsselt noch im Klartext.
In den meisten Bundesländern ist Luca offiziell und für viel Geld eingeführt worden. Sie scheint also einen Nerv zu treffen und etwas zu können, was zum Beispiel die Corona-Warn-App nicht kann. Oder?
Christian Rossow: Für die breite Einführung der Luca-App gibt es in meinen Augen zwei Gründe. Erstens: Luca war schneller, ein Check-in-Feature bereitzustellen. Die Entscheidung für Luca stand an, als die CWA dieses Feature noch nicht bot und es auch noch nicht in Aussicht stellte. Gleichzeitig hatte die Politik aufgrund regionaler Öffnungen immensen Druck, eine Lösung zu finden, um Kontakte bei Events systematisierter zu verfolgen als per Papier. Mit den Updates der CWA ist dieser Zeitvorsprung hinfällig geworden. Zweitens: Luca erfüllt die in etlichen Bundesländern vorgeschriebenen Aufzeichnung von Personendaten durch Event-Organisierende. Hier muss dringend gesetzlich nachgesteuert werden, um auch die anonyme Kontaktverfolgung wie bei CWA zu erlauben, denn beide erfüllen den Zweck der Benachrichtigung im potentiellen Kontaktfall.
Ben Stock: Dazu ist auch noch zu sagen, dass es sich hierbei vor allem um eine landespolitische Entscheidung handelt. Beispielsweise hat Sachsen bereits beschlossen, dass die CWA für das Tracing ausreichend ist, also keine persönlichen Daten erfasst werden müssen. Und es gibt bereits Berichte darüber, wie selten persönliche Daten aus Restaurants überhaupt gebraucht wurden, also ist generell erstmal die Notwendigkeit des Erhebens der Daten in Frage zu stellen.
Ist die Corona-Warn-App also die bessere Anwendung und braucht man dann überhaupt noch die Luca-App?
Christian Rossow: Die CWA bietet nicht nur Vorteile im Datenschutz, auch ihr Nutzen ist deutlich höher. Erstens: Neben den Check-Ins werden auch sonstige Kontakte, die außerhalb der für die Kontaktverfolgung eingerichteten Events stattfinden, erfasst. Der Schutz ist also insgesamt deutlich größer, insbesondere wenn durch die Check-In-Funktion noch mehr Bürger:innen zur Installation der CWA bewogen werden. Zweitens: Die CWA entlastet die Gesundheitsämter immens, da eine völlig automatisierte Benachrichtigung der Nutzer:innen im Risikofall erfolgt. Drittens: Per CWA ist es im Gegensatz zu Luca nicht möglich, massenhaft unverifizierte und damit leicht fälschbare Personendaten wie zum Beispiel frei erfundene Kontaktdaten, oder Daten von Unbeteiligten ins System einzuschleusen.
Viele haben sich durch die Luca-App auf mehr Freiheiten gefreut. Warum gebt ihr die Spielverderber
Christian Rossow: Es geht uns nicht darum, Freiheiten zu nehmen beziehungsweise deren Wiedereinführung zu verhindern. Ebenso sehen wir einen Sinn darin, Kontakte bei Events zu verfolgen. Für genau diesen Zweck gibt es jedoch datenschutzfreundliche und effektivere Lösungen als Luca.
Ben Stock: Ich stimme Christian hier voll und ganz zu – digitales Tracing ist ein zwingend notwendiges Hilfsmittel in der Eindämmung der Pandemie, insbesondere wenn geöffnet wird. Aber wenn die Gesundheitsämter nicht hinterher kommen beim Benachrichtigen, weil alles manuell passiert, steigen die Inzidenzen und es wird wieder alles dicht gemacht. Daher ist die CWA die deutlich schnellere und bessere Lösung.
In dem offenen Brief hattet ihr moniert, dass die Luca-Betreiber:innen Transparenz vermissen lassen. Was genau ist damit gemeint und warum ist Offenheit im Entwicklungsprozess so wichtig?
Ben Stock: Offenheit und Transparenz schaffen Vertrauen, welches für die Akzeptanz von Systemen, die tief in die Privatsphäre der Bürger:innen eingreifen, absolut notwendig ist. Eine offene und transparente Entwicklung macht die Technik von Beginn an unabhängigen Expert:innen zugänglich, wodurch sich konzeptionelle Schwächen und handwerkliche Fehler vermeiden lassen. Fehler im laufenden Betrieb eines IT-Systems auszubügeln ist immer schwieriger, bei grundlegenden konzeptionellen Schwächen ist das unmöglich. Die Gefahren davon zeigen sich ja wiederholt, sei es durch die Luca-Track-Lücke oder die Ende Mai bekannt gewordene CSV-Injection im Datenexport.
Christian Rossow: Transparenz ist bei der Konzeptionierung und Entwicklung solch umfassender IT-Systeme essentiell, um mögliche Risiken abschätzen und damit Vertrauen in die Technologie wahren zu können. Luca hat leider erst sehr spät, das heißt erst deutlich nach der Einführung, nicht bereits zur Konzeptionierung den Quellcode und die grundlegenden Designprinzipien offen gelegt. Zwar ist dadurch jetzt deutlich mehr Transparenz gegeben als noch vor Monaten. Jedoch sind nun auch keine grundlegenden Änderungen des generellen Konzepts mehr möglich. Das derzeitige Maß an Transparenz hilft also zwar dabei, konzeptionelle Schwachstellen aufzuzeigen, diese können allerdings nicht mehr wirklich behoben werden. Hier sind andere Technologien zur Kontaktverfolgung deutlich transparenter entwickelt worden, indem schon sehr früh während ihrer Konzeptionierung Rückmeldungen aus der breiten Community und der Wissenschaft eingeholt wurden.
Es wurden in den Monaten des Lockdowns und teilweise auch heute noch viele Rechte eingeschränkt. Warum hebt ihr gerade den Datenschutz als so wichtiges Gut hervor? Sollte die Abwägung nicht zugunsten von mehr Lebensqualität ausfallen?
Christian Rossow: Der Datenschutz und andere Freiheiten stehen nicht in Konkurrenz zueinander. Fakt ist, dass keine Einschränkung des Datenschutzes notwendig ist, um das Ziel der Kontaktverfolgung zu erreichen. Wenn dann doch Systeme zur Kontaktverfolgung entstehen, die aus Sicht des Datenschutz bedenklich sind, ist Kritik angebracht. Diese richtet sich dann aber keinesfalls gegen die grundsätzliche Idee der digitalen Kontaktverfolgung – ganz im Gegenteil. Kritisiert werden von uns lediglich aus Sicht des Datenschutzes denkwürdige Umsetzungen der Kontaktverfolgung.
Ben Stock: Die Luca-App schien ein Schritt zurück in die Normalität zu sein. Allerdings zeigt sich, dass die Datenflut gar nicht genutzt werden kann, die Sammlung also keinerlei Mehrwert bringt. Unabhängig von den Implikationen für den Datenschutz brauchen wir Lösungen, die gezielt helfen, statt bereits überforderte Gesundheitsämter noch mehr zu belasten.
Gibt es irgendetwas, das für eine zentrale Lösung spricht? Oder ist die dezentrale Lösung immer die bessere?
Cas Cremers: Es kommt darauf an, was das Ziel ist – man kann keine allgemeine Aussage treffen. Derzeit scheint es nicht so zu sein, dass die Gesundheitsbehörden tatsächlich Listen mit Namen benötigen. Wenn aber Listen mit Namen von den Gesundheitsbehörden wirklich gewünscht werden, kann dies auf eine datenschutzgerechtere Weise geschehen als derzeit bei Luca.
In eurem Brief habt ihr moniert, dass die Luca-App nicht zweckgebunden ist. Idealerweise sollte es sogar technisch ausgeschlossen sein, sie aus Profitinteressen zu nutzen, hieß es da. Warum haltet ihr das für so wichtig?
Ben Stock: Das bezieht sich auch zurück auf den ursprünglichen Brief aus 2020, in dem Hunderte internationale Expert:innen Zweckbindung gefordert haben. Luca hat in internen Marketing-Materialien schon dargelegt, dass Ticketing für sie ein interessantes Themenfeld ist – auch wenn Patrick Hennig dem widerspricht. Wir haben also am Ende des Tages im Zweifel eine App, deren Entwicklung und Einsatz mit Steuermitteln finanziert wird, die durch die einsetzenden Länder stark beworben wird, und aus der am Ende der Betreiber noch zusätzlichen Profit schlagen kann. Das widerspricht dem Grundsatz, dass eine App zur Pandemiebekämpfung ausschließlich dafür eingesetzt werden soll.