Mehr als 70 führende deutsche IT-Sicherheitsforscherinnen und -forscher kritisieren in einer gemeinsamen Stellungnahme die Luca-App. Sie sprechen sich gegen einen "De-facto-Zwang zur Nutzung einer Lösung" aus, die "grundlegende Entwicklungsprinzipien eklatant verletzt". In der Erklärung, die ZEIT ONLINE vorab vorliegt, fordern die Autorinnen und Autoren, Politik und Verwaltung sollten sich stattdessen auf dezentrale Lösungen wie die Corona-Warn-App besinnen.
Unterzeichnet haben die Erklärung führende Kryptologinnen und IT-Sicherheitsforscher der wichtigsten deutschen Institutionen in diesem Bereich. Unter anderem zählen dazu Professorinnen und Professoren des CISPA Helmholtz Center for Information Security, der Ruhr-Universität Bochum, der TU Darmstadt, des neu gegründeten Forschungsinstituts Code der Universität der Bundeswehr und zahlreicher weiterer Universitäten und Institute.
Grundsätzlich befürworteten sie
digitale Werkzeuge zur Nachverfolgung von Kontaktpersonen von
Corona-Infizierten, schreiben die Forscherinnen und Forscher. Allerdings habe
man bereits vor einem Jahr, in der Debatte um die Corona-Warn-App, auf vier
Grundprinzipien zur Entwicklung solcher Werkzeuge hingewiesen: Zweckbindung,
Transparenz, Freiwilligkeit und Risikoabwägung. "Das bereits in vielen
Bundesländern eingesetzte Luca-System erfüllt keine dieser Prinzipien."
Von der Luca-App erhoffen sich manche,
dass sie den Lockdown während der Corona-Pandemie größtenteils überflüssig machen
könnte. Mit der App sollen Menschen an Orten wie Restaurants, Shoppingmeilen, im
Theater oder auf einem Konzert einchecken können. Stellt sich später heraus,
dass sie sich in der Nähe einer zu dem Zeitpunkt mit Corona infizierten Person
befunden haben, kann das Gesundheitsamt Zugriff auf ihre Kontaktdaten bekommen
und entscheiden, ob sie in Quarantäne müssen. Nutzer sollen zudem von der App
informiert werden, dass das Gesundheitsamt ihre Daten angefragt hat – und
können sich gegebenenfalls dann schon testen lassen. Die Daten der Nutzerinnen
und Nutzern werden dabei auf zentralen Servern gespeichert, darunter können
auch Ortungsdaten fallen. Mehrere Bundesländer haben die App nun für mehr als
20 Millionen Euro gekauft und wollen sie einsetzen. Manche Orte können Menschen
bereits nur noch betreten, wenn sie die App heruntergeladen haben.
Konzeptionelle Sicherheitslücken
Die Forscherinnen und Forscher haben gleich mehrere Kritikpunkte an der App. Insbesondere die mit dem Luca-System verbundenen Risiken "erscheinen völlig unverhältnismäßig", heißt es in der Erklärung. Die App erfasse "in großem Umfang" Bewegungs- und Kontaktdaten. Eine derart umfassende Datensammlung an einer zentralen Stelle berge ein massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks. Solche Systeme seien erfahrungsgemäß kaum vor Angriffen zu schützen, warnen die Sicherheitsforscher – selbst große Unternehmen scheiterten daran. "Es ist nicht zu erwarten, dass dies einem Start-up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte." Und selbst wenn: "Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer:innen allein aufgrund der anfallenden Metadaten erstellen lassen." Zu Metadaten kann zum Beispiel die IP-Adresse zählen oder die Information, wann jemand mit der Luca-App in einer Bar eingecheckt hat. Sprich: Über Luca könnte nachvollzogen werden, wo jemand wann war – und damit könnten möglicherweise auch Rückschlüsse auf die Person gezogen werden.
Diese Risiken müssten gegen die Vorteile abgewogen werden. Der Nutzen des Luca-Systems bleibe allerdings zweifelhaft, weil die App im Wesentlichen Papierlisten digitalisiere, die aufwendige Auswertung jedoch weiterhin durch die Gesundheitsämter erfolge, schreiben die Forschenden. Durch schlechte Datenqualität, etwa aufgrund von manipulierten Anmeldungen, könne die Belastung der Gesundheitsämter sogar noch zunehmen.
Auch gegen andere Prinzipien verstoße Luca: "Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf Luca diskutiert", heißt es in der Erklärung. Gemeint ist: Das Unternehmen hinter Luca könnte die App, die dann auf Millionen deutschen Mobiltelefonen installiert ist, später für kommerzielle Zwecke nutzen. Damit entstehe eine Abhängigkeit von einem einzelnen Privatunternehmen. Zudem sei "ein intransparent entwickeltes System" in Betrieb genommen worden, und "selbst leicht zu findende Sicherheitslücken" seien erst im laufenden Betrieb entdeckt worden.
Tatsächlich ist erst kürzlich eine Schwachstelle im Luca-System gefunden worden,
die es Angreifern erlaubte, Bewegungsprofile einzelner Nutzerinnen abzufangen.
Bereits Ende März hatten Datenschützer und Sicherheitsforscherinnen die App deutlich kritisiert, in den vergangenen Wochen wurde die Kritik
immer stärker. Der Chaos Computer Club hatte etwa kürzlich eine Bundesnotbremse für die Luca-App gefordert.
Mehr als 70 führende deutsche IT-Sicherheitsforscherinnen und -forscher kritisieren in einer gemeinsamen Stellungnahme die Luca-App. Sie sprechen sich gegen einen "De-facto-Zwang zur Nutzung einer Lösung" aus, die "grundlegende Entwicklungsprinzipien eklatant verletzt". In der Erklärung, die ZEIT ONLINE vorab vorliegt, fordern die Autorinnen und Autoren, Politik und Verwaltung sollten sich stattdessen auf dezentrale Lösungen wie die Corona-Warn-App besinnen.
Unterzeichnet haben die Erklärung führende Kryptologinnen und IT-Sicherheitsforscher der wichtigsten deutschen Institutionen in diesem Bereich. Unter anderem zählen dazu Professorinnen und Professoren des CISPA Helmholtz Center for Information Security, der Ruhr-Universität Bochum, der TU Darmstadt, des neu gegründeten Forschungsinstituts Code der Universität der Bundeswehr und zahlreicher weiterer Universitäten und Institute.