Heftige Kritik an Luca-App kurz vor dem Start in Witten

Das Café Extrablatt in der Wittener Innenstadt nutzt die Luca-App bereits. Für Gastronomen erleichtert die Handy-Anwendung die Erfassung der Daten der Gäste. Doch die App hat Sicherheitslücken. © FUNKE Foto Services | Jürgen Theobald

Witten. Noch in dieser Woche soll die Luca-App im Kreis offiziell starten. Erneute Sicherheitslücke beschert aber heftige Kritik. Piraten fordern Stopp.

Noch in dieser Woche will das Gesundheitsamt des EN-Kreises damit beginnen, die Luca-App für die Ermittlung und Nachverfolgung von Kontakten von Corona-Infizierten zu nutzen. Das Stadtmarketing wirbt dafür, dass sich möglichst viele Gastronomen und Händler an dieser Art der digitalen Kontaktverfolgung beteiligen. Doch schon seit Wochen steht die Handy-Anwendung massiv in der Kritik. Am Mittwoch ist nun eine weitere gravierende Sicherheitslücke entdeckt worden.

In einem auf dem Kurznachrichtendienst Twitter veröffentlichten Video zeigt der Sicherheitsforscher Marcus Mengs, wie er als Luca-Nutzer ein Gesundheitsamt mittels manipulierter Kontaktdaten angreifen kann, die Daten anderer Nutzer stehlen und sogar einen Verschlüsselungstrojaner in das System einschleusen kann. Das Gesundheitsamt wäre damit lahmgelegt – sollten Hacker es tatsächlich darauf abgesehen haben.

Wittener Pirat kritisiert: Luca-App ist mit der heißen Nadel gestrickt

„Die Software ist mit der heißen Nadel gestrickt und die Macher der Aufgabe nicht gewachsen“, urteilt daher auch Pirat Stefan Borggraefe, selbst Softwareentwickler und Systemadministrator. Das Ratsmitglied fordert daher: „Wenn Landrat Olaf Schade seiner Verantwortung gerecht werden will, muss er den Vertrag schnellstmöglich kündigen.“ Gemeint ist damit die Vereinbarung über eine Testphase der App im Kreis bis Ende August. Auch die Stadtmarketing-Organisationen im Kreis müssten aufgefordert werden, alle Aktivitäten zur Bewerbung der App einzustellen, findet der IT-Fachmann.

Doch schon vor Bekanntwerden der neuesten Sicherheitslücke gab es viel Zweifel und Kritik an der Sicherheit der Handy-Anwendung. So forderte etwa der Chaos Computer Club, eine der maßgeblichen Organisationen, wenn es um Daten- und generell Computersicherheit geht, bereits Mitte April eine „Notbremse“ für die App wegen eklatanter Mängel.

Einchecken ist auch unter erfundener oder fremder Identität möglich

Auch die Datenschutzbeauftragten der Länder und des Bundes positionierten sich in einer Stellungnahme Ende April kritisch zur Luca-App. So könnten etwa gefälschte Identitäten verwendet werden, auch Dritte könnten über die App bei Veranstaltungen oder in Lokalen eingeloggt werden – und im schlimmsten Fall in Quarantäne geschickt werden, obwohl sie überhaupt nicht vor Ort waren. So könne die App Daten liefern, „die für die Kontaktnachverfolgung nutzlos sind“.

Und selbst wenn die Menschen tatsächlich vor Ort waren: „Die App bringt nichts für die Pandemiebekämpfung“, so Ratsherr Borggraefe. Denn sie erfasst nur, wer wann wo war. Aber nicht, wie nahe die Menschen beieinander standen und wie lange. Die Auswertung eines Modellversuchs aus Weimar legt ebenfalls nahe, dass von Luca bislang vor allem Daten geliefert werden, mit denen Gesundheitsämter nichts anfangen können. Von 655 angefragten und übermittelten Kontakten im Projektzeitraum seien null Kontakte relevant gewesen, heißt es in einem Evaluierungsbericht.

Kreis will Testphase durchziehen

Auch dem Stadtmarketing sind die Sicherheitsbedenken bekannt. Alle neun Städte des Kreises hätten sich aber auf diese App geeinigt, sagte Geschäftsführerin Silvia Nolte bei der Vorstellung der Kampagne vor rund zwei Wochen. „Wichtig ist, dass wir jetzt einfach mal vorwärtsgehen.“ Die App sei zudem in Deutschland bereits verbreitet.

Auf Nachfrage heißt es aus dem Kreishaus in Schwelm, dass man die Luca-App als eine Möglichkeit der Kontaktverfolgung unter anderen sehe. Die Testphase wolle man genau als solche nutzen und Erfahrungen sammeln. Auf das Problem der Sicherheit geht der Kreis nicht weiter ein. Man sei aber auch weiterhin offen für andere Lösungen. Zudem warte man noch auf ein vom Land angekündigtes Portal namens „Iris“, auf dem die Daten von verschiedenen Apps zusammenlaufen sollen.

Kreis räumt potenzielle Mehrarbeit für Gesundheitsamt durch die App ein

Einen möglichen Mehraufwand räumt man im Kreishaus jedoch ein. Erst im laufenden Betrieb werde man aber Aussagen darüber treffen können, wie umfangreich die Daten sein werden, die die Anwendung ausspuckt und wie stark aussortiert und nachgeforscht werden muss.

Erleichterung für Handel und Gastronomie

Eine Erleichterung ist die App hingegen für den lokalen Handel und die Gastronomie. „Wir begrüßen grundsätzlich alles, was den Verwaltungsaufwand verbessert und die Nachverfolgung erleichtert. Wir wollen Infektionsketten unterbrechen“, sagt Armin Erftemeier von der Standortgemeinschaft Witten. Wie viele seiner Mitglieder sich bereits als Luca-Location registriert haben, kann er aber nicht sagen.

Im Café Extrablatt ist die App schon im Einsatz. „Für die Gäste ist es angenehmer und entspannter“, sagt Betriebsleiter Tayfun Kaya. Auch das Personal spare sich so viele Wege. Und für die Gäste, die kein Smartphone besitzen oder die App nicht benutzen wollen, gibt es hier auch weiterhin die altbekannten Kontaktlisten.

Speicherung der Daten auf zentralem Server

Die Piratenfraktion will die App auch auf politischem Weg verhindern. Sie hat einen entsprechenden Antrag für die nächste Sitzung des Ausschusses für Arbeit, Wirtschaft und Liegenschaften (11.6.) eingereicht. Die Bewerbung der App soll gestoppt, der Vertrag mit dem Anbieter möglichst zeitnah gekündigt werden. Die Piraten führen als weiteres Argument an, dass durch Luca große Mengen personenbezogener Daten entstehen, die in einer zentralen Datenbank gespeichert werden. Wann und ob diese gelöscht werden, sei ungewiss, so Stefan Borggraefe. Solche Datenbanken seien für Hacker ein interessantes Ziel und das Missbrauchspotenzial groß.