Handelsblatt App
Jetzt 4 Wochen für 1 € Alle Inhalte in einer App
Anzeigen Öffnen
MenüZurück
Wird geladen.

07.04.2021

15:52

Corona-Nachverfolgung

Jan Böhmermann befeuert mit Störaktion Kritik an Luca-App

Von: Christoph Kapalschinski

Der ZDF-Moderator zeigt auf, wie einfach sich Falschangaben in der privaten Corona-App machen lassen. Das Unternehmen dahinter weist die Kritik zurück.

Der Moderator rief auf Twitter zum nächtlichen Einchecken im Osnabrücker Zoo auf. dpa

Jan Böhmermann

Der Moderator rief auf Twitter zum nächtlichen Einchecken im Osnabrücker Zoo auf.

Hamburg Die Kritik an der privaten Corona-Warn-App Luca nimmt zu – befeuert vom ZDF-Moderator Jan Böhmermann. Er forderte in der Nacht zu Mittwoch per Twitter auf, sich per QR-Code im Zoo Osnabrück einzuchecken. Das soll Mängel der App aufzeigen, die bereits seit einigen Wochen in der Diskussion steht. Die Macher weisen die Kritik zurück.

Die Idee hinter Luca ist, die offizielle Corona-Warn-App zu ergänzen, etwa um die Möglichkeit, an Orten per Smartphone einzuchecken. So sollen Kontakte von den Gesundheitsämtern papierlos nachverfolgt werden können. Mehrere Bundesländer haben bereits angekündigt, die App für insgesamt rund zehn Millionen Euro lizenzieren zu wollen.

Bei der Durchsetzung half, dass zu den Investoren die Musikgruppe Die Fantastischen Vier gehört. Frontmann Smudo vertritt die App regelmäßig in Talkshows und Medien.

Die Kritik entzündet sich daran, dass die Luca-App anders als die staatliche Corona-Warn-App nicht komplett anonym nutzbar ist. Deren starke Anonymisierung erschwert die Rückverfolgbarkeit durch die Gesundheitsämter.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Insgesamt hat die staatliche App auch deshalb die anfänglich sehr hohen Erwartungen kaum erfüllt. Von gut 2,9 Millionen Infizierten haben bislang knapp 350.000 ihre anonym ermittelten Kontakte gewarnt. Allerdings steigt die aktive Nutzung.

    Kritiker der Luca-App bemängeln nicht nur die Steuergelder, die an das Start-up fließen. Sie sehen den Datenschutz ausgehöhlt. Anders als die offizielle Warn-App verfolgte die Luca-App anfangs keinen konsequenten Open-Source-Ansatz, bei dem der Quellcode komplett offen liegt. Zudem sei Missbrauch möglich.

    Darauf verweist auch die Aktion von Jan Böhmermann. Offenbar meldeten sich rund 120 Menschen nachts im Zoo Osnabrück an, indem sie einen abfotografierten QR-Code in der Luca-App scannten. Das illustriert: Die App verhindert keine Falschangaben. Einerseits können sich Nutzer an Orten eintragen, an denen sie gar nicht sind. Andererseits können sie in der App falsche Kontaktdaten hinterlegen, so wie auch viele Zettel in der Gastronomie falsch ausgefüllt wurden.

    „Herr Böhmermann hat in seiner App einen falschen Namen angegeben, was unter anderem je nach Land mit einem Ordnungsgeld versehen ist. Dies ist aber natürlich möglich, da kein Personalausweis überprüft wird“, sagte der Gründer des Berliner Start-ups Nexenio, Patrick Hennig, dem Handelsblatt. Sein Unternehmen, eine Ausgründung des Potsdamer Hasso-Plattner-Instituts, steht hinter der App.

    Nexenio entwickelt mit 60 Mitarbeitern ansonsten beispielsweise eine sichere Cloud-Lösung für die Bundesdruckerei. Inzwischen arbeitet knapp die Hälfte der Mitarbeiter am Projekt Luca.

    Gründer verteidigt Kosten der App

    Hennig weist die Kritik zurück. „Die Kritik trifft nicht den Kern unserer Software. Niemand hat echte Fehler beim Datenschutz gezeigt“, sagte er. Durch falsches Einchecken entstehe im Grunde kein Schaden. Allenfalls würden die Nutzer unnötig vor einer möglichen Infektion gewarnt. Die App prüfe bewusst nicht die Koordinaten beim Scan-Vorgang, um möglichst datensparsam zu arbeiten. Inzwischen liege zudem der Code anders als bei anderen staatlichen Softwareprojekten weitgehend offen.

    Weitere Kritik hatte es in den vergangenen Tagen an Schlüsselanhängern gegeben, die Luca als Alternative zum Smartphone verteilt. Damit können Menschen auch ohne Smartphone an Orten einchecken. Das ist auch dann möglich, wenn der jeweilige Anhänger nicht registriert ist, warnen Kritiker. So könnten Menschen etwa Einlasskontrollen in Läden umgehen.

    Hennig verwies darauf, dass es auch beim Eintragen mit Stift und Papier möglich sei, falsche Angaben zu machen. Personalausweise für die App zu prüfen sei unverhältnismäßig. Die Anwendung sei bislang immerhin rund drei Millionen Mal heruntergeladen worden, an 60.000 Standorten könnten Nutzer einchecken.

    Hennig wehrt sich auch gegen die Kritik, die private App sei zu teuer: „Der erwartete Gewinn ist vergleichbar mit anderen Softwareprojekten.“ Allein ein Drittel der Mittel gehe für das Versenden von Bestätigungs-SMS drauf, ein weiteres Drittel, um die Gesundheitsämter anzuschließen. Der restliche Betrag, bislang gut drei Millionen Euro, fließe an die Entwickler. Damit sei die Software im Vergleich zu anderen staatlichen IT-Projekten günstig. Kein Teil des Geschäftsmodells sei es, Daten zu verkaufen.

    Der Rapper ist das öffentliche Gesicht der App. dpa

    Smudo stellt „Luca“-App vor

    Der Rapper ist das öffentliche Gesicht der App.

    Die jüngsten im Bundesanzeiger veröffentlichten Daten für Nexenio stammen von 2018. Damals erzielte das Unternehmen 633.000 Euro Gewinn. Nach Darstellung des Hasso-Plattner-Instituts arbeitet es vor allem im Bereich Hochsicherheitssoftware, aber auch an Big-Data-Analysen.

    Hennig arbeitet gegen eine Kritikwelle an, der sich Böhmermann nun angeschlossen hat. „Eigentlich haben die Entwickler der Luca-App zuletzt so ziemlich alles falsch gemacht, was man falsch machen kann, nicht nur technisch“, urteilt etwa das Tech-Magazin „Telepolis“. So hatte etwa ein mangelhafter Quellverweis im Code die Open-Source-Gemeinschaft erzürnt.

    Zudem hätten die Betreiber widersprüchlich kommuniziert. „Die Frage, ob die Hersteller so dilettantisch unterwegs sind, dass ihnen all diese Fehler unbeabsichtigt unterlaufen oder ob all das einem größeren Plan folgt, ist gar nicht so einfach zu beantworten“, schreibt das Magazin.

    Hohe Zentralisierung als Risiko

    In einem Ende März veröffentlichten Papier warnen auch Wissenschaftler um den EPFL-Forscher Wouter Lueks vor möglichen Gefahren aus der App bei Missbrauch oder Hackerangriffen. „Falls der Luca-Betreiber böswillig handelt, entweder spontan oder vorsätzlich, oder kompromittiert wird, kann er weitere sensible Informationen über die Nutzer ermitteln“, warnen sie.

    Das liege an der hohen Zentralisierung der Daten, die von hohem Wert für Behörden und Unternehmen sein könnten. So speichere das System auf seinen Servern die Besucher von Orten und könne so etwa bei Kirchen oder Parteiversammlungen weitergehende Rückschlüsse erlauben. Allerdings ist das etwa auch bei populären Apps wie Google Maps prinzipiell möglich, die viele Smartphone-Besitzer bereits sorglos nutzen.

    Potenziell könnten laut dem Papier mit den Luca-Daten trotz der Zusage der Anonymisierung IP-Adressen von Infizierten zurückverfolgt werden, um diese zu ermitteln. Zudem könne durch die Identifizierung von Infektionsschwerpunkten eine Stigmatisierung bestimmter Orte entstehen.

    Kritische Informatiker wie der Chaos Computer Club loben hingegen die staatliche Corona-Warn-App, die Telekom und SAP entwickelt haben. Sie ist so programmiert, dass Datenmissbrauch technisch bereits weitgehend ausgeschlossen ist, weil viele persönliche Daten nicht ermittelt werden. So funktioniert die App ohne Registrierung.

    In den kommenden Wochen soll auch die staatliche App um eine Check-in-Funktion ergänzt werden mit denselben QR-Codes, die auch Luca nutzt. Allerdings bleibt die Funktion anonym, ersetzt also nicht das Eintragen in Listen – oder die Registrierung per Luca-App.

    Direkt vom Startbildschirm zu Handelsblatt.com

    Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

    Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

    ×