Luca-App: Irre teuer, technisch kaputt, unsicher und nutzlos

Sicherheit (Pexels, allgemeine Nutzung)Noch ein Sammelbeitrag zur sogenannten Luca-App, die als Hoffnungsträger zur Bekämpfung der COVID-19-Pandemie ausgegeben wurde. Bereits beim Start gab es viel Kritik von Datenschützern, die das Konzept und die Implementierung als unsicher und unausgegoren kritisierten. Inzwischen ist nicht nur bekannt, dass die deutschen Bundesländer enorm viel Geld für die Nutzung der App ausgegeben haben. Die App bzw. das Luca-Konzept erweist sich im Sinne der Pandemiebekämpfung auch als nutzlos. Und es wurde bekannt, dass Strafverfolger die Luca-Daten unberechtigt für andere Zwecke missbraucht haben.


Anzeige

Als die Idee der Kontaktverfolgung zum Eingrenzung der Coronavirus-Pandemie bekannt wurde, fand ich dies zwar gut, aber bezogen auf die Corona-Warn-App. Allerdings stellte sich im Jahr 2021 schnell heraus, dass wohl die sogenannte Luca-App als Favorit das Rennen machen wird.

Rückblick auf die Luca-App

Die Luca-App für Mobilgeräte sollte ja die Verfolgung von Kontaktpersonen durch Gesundheitsämter erleichtern. Benutzer können sich per App in Veranstaltungen, Restaurants, Kliniken, Geschäften etc. mittels der App registrieren und brauchen so keine Kontaktdaten auf Papier abzuliefern. Wer unterwegs ist, findet überall die Hinweise zum Einchecken bei Geschäften, Lokalen etc. mittels der Luca-App – dass die Corona-Warn-App im Grunde die gleiche Funktionalität hat, geht meist unter bzw. diese Möglichkeit wird häufig nicht angeboten. So kommt ein gewisser Zwang zum Einsatz der Luca-App bei den Leuten auf. Hinzu kam, dass die Luca-App von den Bundesländern faktisch vorgeschrieben wurde – die CWA wurde erst Ende 2021 zur Kontaktverfolgung zugelassen.

Entwickelt wurde die Luca-App privatwirtschaftlich von neXenio GmbH (Inhaber und Betreiber des Luca-App-Systems ist die culture4life GmbH). Bekannt wurde die App durch Werbung des Musikers Smudo von Die Fantastischen Vier. In der Vergangenheit machte die Luca-App sowie die dahinter stehende Lösung vor allem Negativ-Schlagzeilen durch Schwachstellen oder ungekennzeichnete Code-Übernahme (siehe Links am Ende des Beitrags, in diesem Artikel, sowie im oben verlinkten Wikipedia-Artikel).

2021 haben dann 13 von 16 Bundesländern Lizenzen der Luca App gekauft und 319 von 400 Gesundheitsämtern in Deutschland sind an das System angeschlossen, um die Daten zu nutzen. Laut der Quelle LucaApp Performance Monitor hat die neXenio GmbH mehr als 30 Millionen Euro an Steuergeldern für die LucaApp kassiert. Politisch Verantwortliche haben versäumt, Transparenz über den tatsächlichen Nutzen vertraglich festzulegen, wie ich im Blog-Beitrag Posse Luca-App: Teuer, Nutzen zweifelhaft, und Prüfung verweigert erläutert habe.

Technisch ist die Luca-App tot

Zum Jahreswechsel 2021/2022 kam dann auf dem Chaos Communication Congress (rC3) des Chaos Computer Clubs (CCC) die Expertin Bianca Kastl in einem Vortrag zur Luca-App zu Wort. Im März 2021 hatte Kastl einen Pilot-Test der Luca-App für den Bodenseekreis begleitet und sollte vor allem die Sicherheit gewährleisten. Dabei kam Kastl zum Schluss, dass die Luca-App und das Konzept fachlich ungeeignet sei und dass es nicht sein könne, dass Mitarbeiter von Behörden oder private Sicherheitsforscher "Entwicklungshilfe" für die von einem privaten Betreiber entwickelte App leisten müssen. Einige Gedanken im Hinblick auf "Corona-Schnittstellen" hatte Kastl bereits im März 2021 in diesem Blog-Beitrag veröffentlicht.

Versteckte Kosten der Luca-App
Versteckte Kosten der Luca-App

In obigem Tweet weist Kastl darauf hin, dass bei der Berechnung des Nutzens der Luca-App die versteckten Kosten, die von Drittseite durch Beratung, aufdecken von Schwachstellen oder Hinweise auf Fehler anfallen, überhaupt nicht berücksichtigt würden. Grund für den Hinweis war ein Tweet, der die Lizenzkosten der Bundesländer in Höhe von 21,4 Millionen Euro für die Verwendung der App dem Nutzen gegenüber gestellt hat. Von 130.000 COVID-19-Infektionen war die Luca-App in genau 60 Fällen in der Lage, bei der Kontaktverfolgung zu helfen. Von 114 Gesundheitsämtern mit Luca-Anschluss haben 50% niemals Kontaktdaten abgefragt. Man kann dies wohl nur als teuren Totalausfall bezeichnen.


Anzeige

Bianca Castl ging in ihrer rC3-Session dann auch auf Details ein. heise hat diesen Artikel mit den Botschaften des Vortrags veröffentlicht. Die Quintessenz: Die Luca-App ist im Hinblick auf das Kontakt-Tracing während der Pandemie laut Kastl aus technologischer Sicht tot. Die Gesundheitsämter fragen kaum Daten ab, und Luca hilft auch nicht wirklich bei der Kontaktverfolgung, weil die Abläufe nicht auf den Bedarf der Gesundheitsämter zugeschnitten sei. Kastl hat den Fall der Digitalisierung im Gesundheitsamt während der Pandemie in diesem Blog-Beitrag zusammen getragen. Hat aber viele Bundesländer nicht aufgehalten, trotzdem die Luca-App zu propagieren und viel Geld für Lizenzen auszugeben.

Unberechtigte Datenabfrage durch die Polizei

Von Datenschützern war immer wieder das Konzept der Luca-App, bei der die Kontaktdaten auf den Servern des Betreibers gespeichert werden, kritisiert worden. Die Vertraulichkeit der Kontaktdaten sei nicht gegeben. Der Betreiber kann die Daten wegen der Verschlüsselung zwar nicht lesen. Aber Gesundheitsämter und Betreiber eines Kontaktpunkts, bei dem sich Nutzer der Luca-App registrieren, können im Fall eines Infektionsverdachts auf die verschlüsselten Daten zugreifen und dann die Kontakte identifizieren.

Dann wurde Anfang Januar 2022 bekannt, dass die Polizei Mainz nach einem Todesfall Informationen aus dem Luca-System abfragte, um Besucher einer Gaststätte als Zeugen zu befragen. Heise hat dies beispielsweise in diesem Artikel berichtet. Die Auswertung der Daten des Luca-Systems ist aber für solche Zwecke unzulässig. Das zuständige Gesundheitsamt und der Betreiber der Gaststätte müssen wohl auf Anforderung der Polizei kooperiert haben. Es wurde wohl ein Coronafall simuliert, um an die Kontaktdaten heranzukommen. Das hat inzwischen scharfe Kritik hervorgerufen, wie heise in obigem Tweet schreibt. Was bleibt, ist ein "Bedauern der Strafverfolgungsbehörden und eine Entschuldigung", aber der Schaden ist passiert. Der alte Verdacht: Wenn Daten irgendwo gesammelt werden, greift irgendwann jemand unberechtigt darauf zu, oder die Gesetzeslage wird angepasst, dass die Daten auch anderweitig verwendet werden können, hat sich also wieder einmal bestätigt.

Luca-App deinstallieren

Inzwischen raten einige Leute dazu, die Luca-App zu deinstallieren – die Corona-Warn-App kann die Registrierung bei Events ja inzwischen auch. Der Rapper Smudo, der am Luca-System beteiligt ist, hat dem Spiegel ein Interview gegeben, in dem er die Nutzung der Luca-App weiter verteidigt und kein Verständnis für Löschaufrufe hat. Zitat von Smudo aus Bild: "Ich halte es für verantwortungslos, dass ein Aufruf von ein bis zwei mir bisher nicht bekannten Politikern dazu führen könnte, dass mitten in der pandemischen Lage Menschen die Luca-App löschen."

Luca-App überflüssig

In obigem Tweet wird die Frage aufgeworfen, ob die Luca-App, angesichts der Verfügbarkeit der entsprechenden Funktionen in der Corona-Warn-App (CWA), überhaupt noch benötigt wird. Die Frage hat laut Golem der Rheinland-pfälzische Landesbeauftragte für den Datenschutz, Dieter Kugelmann, aufgeworfen und fordert "ernsthaft zu prüfen, ob die Luca-App als Instrument zur Pandemie-Bekämpfung noch gebraucht wird. Es gibt immer wieder datenschutzrechtliche Bedenken".

Derweil steht in Baden-Württemberg die Entscheidung an, ob die Lizenzierung der Luca-App verlängert werden soll. Allerdings ist laut heise bisher keine Entscheidung gefallen. Die Bundesregierung macht dagegen auf ihrer Webseite Werbung für die Corona-Warn-App als Mittel zur Bekämpfung von Corona. Es dürfte zukünftig also noch spannend werden, wie das Thema Kontaktnachverfolgung bei Corona gehandhabt wird.

Ähnliche Artikel:
Lizenzärger: Die Luca-App und die Open Source-Klippen
Hack dein Gesundheitsamt, die Luca-App machte es möglich
Bürgeramt nur mit der Luca-App betretbar? Meldung erwünscht
Posse Luca-App: Teuer, Nutzen zweifelhaft, und Prüfung verweigert
Urteil: Ankauf der Luca-App durch Mecklenburg-Vorpommern unwirksam


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit App, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Luca-App: Irre teuer, technisch kaputt, unsicher und nutzlos

  1. Zocker sagt:

    Ist eigentlich bekannt wie viel dieser Smudo an der App bislang kassiert hat? Immerhin ist er dort Investor und rührt fleißig die Werbetrommel.

    Dass die App praktisch nutzlos und höchst bedenklich ist, war eigentlich von Anfang an bekannt.

  2. Leiber Anonym sagt:

    Mit der Nachverfolgung wegen Corona brechen die letzten Dämme der Privatheit. Diese Totalüberwachung wieder abzuschaffen, ist vermutlich schwierig.

  3. Nobody sagt:

    Es ist immer wieder haarsträubend, wie in diesem Land Steuergelder verschleudert werden.

  4. Frank sagt:

    Ich halte zwar auch nichts von der Luca-App und finde die hier vorgebrachten Argumente größtenteils stichhaltig.
    Allerdings könnte die Tatsache, dass nur 50% der angeschlossenen Gesundheitsämter jemals Daten abgefragt haben auch andere Gründe haben – Stichwort "Mangelnde Digitalisierung" …

  5. SvenS sagt:

    "Aber Gesundheitsämter und Betreiber eines Kontaktpunkts, bei dem sich Nutzer der Luca-App registrieren, können im Fall eines Infektionsverdachts auf die verschlüsselten Daten zugreifen und dann die Kontakte identifizieren."

    Aber war es nicht der Sinn und Zweck einer solchen App?
    OK, eigentlich sollte dies nur für Gesundheitsämter möglich sein!

  6. Tom sagt:

    Diese ganze Geschichte spiegelt eigentlich ganz gut die Entwicklung der ach so tollen und wertvollen Digitalisierung in Deutschland wider – gähn, ich geh' dann mal wieder (weiter) schlafen ;-)

  7. 1ST1 sagt:

    Den allergrößten Hammer haben Sie aber übersehen!

    https://netzpolitik.org/2022/neue-geschaeftsmodelle-wie-luca-nach-der-pandemie-weiter-kasse-machen-kann/

    Hier ein Teaser:

    " Vollkommen offen ist derzeit, wie es mit Luca weitergeht – und auch, was die Betreiber im Falle einer Nichtverlängerung mit der App machen werden. Schon seit Längerem denken sie mal laut und mal leise über Geschäftsfelder abseits der Pandemiebekämpfung nach. Die Möglichkeit zur Kommerzialisierung nach der Pandemie wird in einem bekannt gewordenen Kooperationsvertrag explizit offen gehalten. "

  8. Anonymous sagt:

    Wie gut das ich letztes Jahr als ich im Norden war, die Zettel statt Luca (nie installert) genutzt hab…..

    • 1ST1 sagt:

      Gerade in Schleswig-Holstein haben sie letzten Sommer sehr wehement auf der Luca-App bestanden, selbst am Ferienhaus sollte ich mich damit einchecken! Nur deswegen hab ich die installiert.

  9. Blupp sagt:

    Sarkasmus On –
    Sieht man wie hier, dass alle froh sind weil sie mit der Luca-App ganz einfach den örtlichen Friseur besuchen können, dann freut man sich doch über weitere Vereinfachungen durch Verträge mit Lobbyagenturen. Also ein klares weiter so, macht dem Volke das Leben einfach, es will es so.

    • User007 sagt:

      "Also ein klares weiter so, macht dem Volke das Leben einfach, es will es so."
      Da fehlt eindeutig ein entscheidendes Wort zwischen "dem" und "Volke" – nämlich "dummen"!

      • Luzifer sagt:

        muss man das tatsächlich extra erwähnen? Dachte das sei Standard! habe das "Schlachtvieh" noch nie anders in Erinnerung ;-P

        Der Mensch ist halt keine KI die durch Masse intelligenter wird, eher dümmer, frei nach dem Motto: toll ein anderer denkt.

  10. Phadda sagt:

    Mit Frank Thelen hätte es besser ausgehen können, der wahrscheinlich wusste wieso er da nicht investiert :D

    • Zocker sagt:

      Mit dem Deppen hätte man sich noch nackiger gemacht. So etwas wie Datenschutz und Privatsphäre kennt der nämlich nicht. Der Typ trägt dazu bei, dass es immer weiter bergab geht.

  11. Herr IngoW sagt:

    Hier im Norden wird bei 90% der Läden nach der Luca-App verlangt keine Zettel und zusätzlich noch Impfnachweis/Test.
    Ich frage mich was der Unsinn soll. Der Impfnachweis oder Test sollte reichen, wer keinen hat, na ja.
    In der L-App kann man die Historie ja löschen, zumindest auf dem Smartphone, ob das in der Cloud bleibt weis keiner.
    Ich hab's zwar installiert, Standortzugriff aus, für den Fall der Fälle aber nutze es nach Möglichkeit nicht.

    • mvo sagt:

      Ich weiß nicht, was mit "Läden" gemeint sein soll. Im Einzelhandel gibt es, zumindest in Hamburg, keine Kontaktnachverfolgung.

  12. nook sagt:

    CWA zieht leicht nach …

    "Demnächst sollen Nutzer der Corona-Warn-App ihre Impfzertifikate schon beim Kauf eines Tickets prüfen lassen können. Das ist praktisch, aber bricht mit dem Konzept der anonymen Nutzung. Datenschützer warnen davor, dass personalisierte Tickets auch nach der Pandemie Standard bleiben."
    https://netzpolitik.org/2022/update-der-corona-warn-app-neue-impfstatus-pruefung-auf-kosten-der-anonymitaet/

    Dann wird die CCTG 2.14.1.1 meine letzte Version bleiben, wenn die mitziehen.

    • Zocker sagt:

      "Dann wird die CCTG 2.14.1.1 meine letzte Version bleiben, wenn die mitziehen."

      Das ist leider die falsche Konsequenz. Richtig wäre, sie dann zu deinstallieren, um ein Zeichen zu setzen. Je mehr das machen, desto mehr Wirkung wird das haben. Aber wie man das Volk kennt, wird auch noch diese Maßnahme bejubeln…

      Letztendlich war es ein Fehler die App überhaupt zu akzeptieren. Denn wohin das früher oder später führen würde, war von Anfang an absehbar. Ist mit bargeldlosem zahlen nicht anders. Ich gehe davon aus, dass Bargeld noch innerhalb dieses Jahrzehnts größtenteils abgeschafft wird.

  13. mvo sagt:

    Der Witz ist doch, dass niemand kontrolliert, ob man den QR Code überhaupt einscannt. Es reicht völlig aus, das Smartphone vor den Code zu halten. Selbst das wird eigentlich nie kontrolliert. Die Restaurants etc. werden mit den QR-Codes zugepflastert und die Betreiber meinen, damit den Vorschriften nachzukommen. Da Luca von den Gesundheitsämtern faktisch nicht genutzt wird und die Kontaktnachverfolgung sowieso mangels völliger Überlastung nicht mehr stattfindet, kann man sich das auch komplett sparen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.