Digitale GästelistenDas zentrale Problem von Luca

Eine neue App soll das Nachverfolgen von Kontakten in Restaurants oder Fitnessstudios für die Gesundheitsämter leichter machen. Doch Forscher:innen weisen darauf hin, dass Luca seine wichtigsten Sicherheitsversprechen nicht einhalten kann. Im schlimmsten Fall droht Nutzer:innen die Deanonymisierung. Auch Gastgeber machen sich angreifbar.

Luca verspricht, dass persönliche Daten ausschließlich von Gesundheitsämtern gesehen werden können. Können sich Nutzer:innen auf dieses Versprechen verlassen? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Thom Holmes

Die App Luca, mit der Länder wie Mecklenburg-Vorpommern und Berlin die Kontaktverfolgung für ihre Gesundheitsämter gewährleisten wollen, fällt in mehreren Punkten hinter ihre eigenen Sicherheitsversprechen zurück. Zu diesem Schluss kommen Forscher:innen der Universität EPFL in Lausanne nach einer Analyse des Sicherheitskonzeptes von Luca, die sie heute veröffentlicht haben. Das Paper der Forscher:innen ist auf einem so genannten Pre-Print-Server erschienen und wurde bisher noch nicht von unabhängigen Fachleuten überprüft.

„Das System ist im Kern ein vertrauensbasiertes System“, sagt Carmela Troncoso von der EPFL. Alle Sicherheitseigenschaften hingen davon ab, dass der zentrale Server von Luca und diejenigen, die darauf Zugriff haben, sich korrekt verhalten. Die Macher von Luca hatten das Sicherheitskonzept selbst Anfang März veröffentlicht, um für Vertrauen in ihre App zu werben. Die Analyse der Forscher:innen stützt sich ausschließlich auf die veröffentlichte Dokumentation, da der Quellcode von Luca noch nicht veröffentlicht wurde. Nach öffentlicher Kritik wollen die Macher der App das bis Ende März nachholen.

Wie viele Infizierte waren wo?

Die Analyse der Forscher:innen zeigt: Auf dem Server von Luca laufen wie auf einer Drehscheibe große Mengen an sensiblen Daten zusammen, die Nutzer:innen oder Veranstalter:innen in Luca ablegen. Dazu gehört etwa das Wissen darüber, wie viele Menschen sich zeitgleich an einem Ort aufhalten, wann sie dort angekommen oder wieder gegangen sind – sensible Informationen, die nicht nur für kommerzielle Zwecke wertvoll sind, sondern sich auch einsetzen ließen, um bestimmte Menschengruppen auf Basis ihrer politischen oder religiösen Zugehörigkeit zu überwachen, schreiben die Autor:innen.

Auch ließe sich über die Daten rekonstruieren, wie viele positiv auf Covid-19 getestete Personen in den vergangenen Tagen einen bestimmten Ort besucht haben, mit allen daran geknüpften Konsequenzen. Dieses Wissen könne etwa für die Erpressung von Veranstaltungsorten eingesetzt werden.

Ein weiterer Schwachpunkt betrifft die mögliche Deanonymisierung von Nutzer:innen. Dies rüttelt an einem der zentralen Versprechen von Luca: Alle Daten werden mehrfach verschlüsselt, erklärte zuletzt etwa der Rapper und Luca-Unterstützer Smudo bei Anne Will. Erst wenn ein Infektionsfall eintritt und ein Veranstalter auf Anfrage seine Gästeliste freigibt, könne das Gesundheitsamt und niemand sonst die persönlichen Daten von eingecheckten Gästen sehen.

Personen hinter den Pseudonymen identifizierbar

Die Forscher:innen weisen darauf hin, dass sich dieses Versprechen mit dem derzeitigen Aufbau des Systems nicht halten lässt. Weil Nutzer:innen bei einem Check-in mit Luca nicht nur verschlüsselte Daten an den Server schicken, sondern auch ihre IP-Adresse und andere Informationen über ihr Handy übermitteln, lasse sich mit großer Wahrscheinlichkeit rekonstruieren, welches Gerät und letztlich welche Person sich hinter einer pseudonymen Nutzer-ID verbirgt.

Die Macher von Luca oder Angreifer könnten über diesen Schritt auch nachvollziehen, wo jemand in den vergangenen Tagen eingecheckt hat – vom Fitnessstudio bis zum politischen Mobilisierungstreffen – und dadurch Bewegungsprofile von einzelnen Nutzer:innen erstellen. Diese Funktion wäre vor allem für Strafverfolgungsbehörden interessant. In der Vergangenheit hatte die Polizei für Ermittlungen bereits mehrfach auf die Papiergästelisten von Restaurants zurückgegriffen.

Diese Schwäche in der zentralen Architektur von Luca betrifft auch jene, die eine Infektion melden. Denn letztlich wisse der Server von Luca über diese Verknüpfungen auch, welche Nutzer:innen sich in der App positiv für Covid-19 gemeldet haben und welche Personen vom Gesundheitsamt kontaktiert wurden. Werden diese Informationen öffentlich, könne das zu einer Stigmatisierung von Nutzer:innen führen, Betroffene könnten mit dem Wissen erpresst werden.

„Uns macht Sorge, dass es sehr einfach ist, andere Funktionen für die Daten zu finden, sobald man einen solchen Haufen davon hat,“ sagt Troncoso. „Wir sprechen über Sicherheitsbehörden, aber man kann auch über Risikoanalysen für unterschiedliche Orte nachdenken. Wir wissen es nicht. Sobald die Daten vorhanden sind, ist die Vorstellungskraft nahezu unbegrenzt, was sich damit alles anstellen ließe.“

Und was ist mit dem Versprechen, dass positiv getestete Nutzer:innen selbst darüber entscheiden, ob sie ihre Check-In-Historie dem Gesundheitsamt freigeben? Die Forscher:innen zeigen, dass auch dies nicht haltbar ist: Da der Server Check-Ins mit Nutzer:innen verbinden kann und diese über mehrere Check-ins verfolgen kann, könnte er dieses Wissen auch ohne Zustimmung einer infizierten Person mit dem Gesundheitsamt oder wem auch immer teilen. Wieder basiere das Versprechen allein auf dem Vertrauen in den Server und dessen Betreiber. „Es stellen sich viele Fragen zu diesen Garantien“, die Luca gebe, sagt Troncoso. Seien es tatsächlich technologische Garantien oder lediglich Vorgehensweisen, die bei Bedarf auch wieder geändert werden könnten?


Check-In per QR-Code? Alle Infos zum Hoffnungsträger Luca und zur Kritik an der App findet ihr hier.


Eine dezentrale Alternative

Für die meisten dieser Szenarien müsste das System nicht mal von einem Angreifer modifiziert werden, schreiben die Autor:innen um Troncoso. Wer auf den Server von Luca zugreifen kann, etwa durch Erpressung der Betreiber oder mit einer richterlichen Anordnung, könne all diese Dinge im ganz normalen Betrieb erfahren, ohne eine Entdeckung fürchten zu müssen. „Der Server erfährt sehr viele Informationen über Nutzer:innen und Orte“, sagt Troncoso, „selbst wenn er sich nicht falsch verhält.“

Troncoso forscht an der EPFL Lausanne zum Thema Privatsphäre und ist eine der Köpfe hinter dem Protokoll DP-3T für eine dezentrale Kontaktverfolgung, auf dem auch die Deutsche Corona-Warn-App aufbaut. Gemeinsam mit Kolleg:innen hat sie im vergangenen Herbst ein weiteres Verfahren namens CrowdNotifier entwickelt. Es funktioniert wie Luca über einen Check-in per QR-Code. Jedoch kommt das System ohne einen zentralen Datenspeicher aus. Wie schon im Fall der Corona-Warn-App bleiben alle Daten auf dem Telefon der Nutzer:innen. Wird später bekannt, dass eine positiv auf Covid-19 getestete Person zeitgleich am selben Ort eingecheckt war, wird man gewarnt – vom Veranstalter oder durch das Gesundheitsamt.

Die Funktionalität wird derzeit in abgewandelter Form von SAP auch in die Corona-Warn-App übernommen und soll ab der kommenden Version „zeitnah nach Ostern“ verfügbar sein, so das Bundesgesundheitsministerium. Expert:innen hatten die Check-in-Funktion bereits lange gefordert, um die Gefahr einer Infektion durch Aerosole zu berücksichtigen. Nach dem Update wird nicht nur gewarnt, wer sich in der Nähe einer infizierten Person befand, sondern auch, wer zeitgleich über längere Zeit im selben Raum war und dort über Aerosole mit dem Virus in Kontakt gekommen sein könnte. Die Warnung erfolgt allerdings wie bisher schon in der App dezentral durch andere Nutzer:innen – ohne Einsatz des Gesundheitsamtes.

Patrick Hennig, Geschäftsführer von NeXenio, dem Start-up hinter Luca, sagte auf Anfrage, die Analyse sei „sinnvoll und gut recherchiert, aber ist unserer Meinung nach, was die Risikoabschätzung angeht, kein Showstopper.“ Viele der angesprochenen Punkte seien den Machern durchaus bewusst und sollen demnächst mit weiteren Sicherheitsvorkehrungen verhindert werden. So solle etwa eine unabhängige Instanz die Schlüssel verwalten und damit Missbrauch verhindern. Zur zentralen Kritik der Identifizierbarkeit über die IP-Adresse sagt er: „Wir machen das nicht, aber das ist ein valider Punkt.“ CrowdNotifier und Luca seien „inhaltlich einfach andere Konzepte“, weil Luca zur Kommunikation mit dem Gesundheitsamt dient. (Update: Zwischenzeitlich haben die Macher von Luca noch eine Stellungnahme verfasst, in der sie auf weitere Kritikpunkte eingehen.)

Berlin und weitere Bundesländer von Luca überzeugt

Bereits vor der Veröffentlichung der Analyse hatten Fachleute in den vergangenen Tagen auf technische Fehler in Luca hingewiesen. So hatten sich Journalist:innen in Hamburg mit einem abfotografierten QR-Code erfolgreich in ein Geschäft in Rostock eingeloggt, das zu diesem Zeitpunkt geschlossen war. Auch der automatische Check-out aus Orten, eine weitere Funktion, mit der Luca wirbt, funktioniert offenbar noch nicht auf Android-Geräten. Dies könnte dazu führen, dass Nutzer:innen, die sich zum kritischen Zeitpunkt gar nicht mehr in einem Laden aufgehalten haben, vom Gesundheitsamt in Quarantäne geschickt werden.

In Berlin lässt sich Oberbürgermeister Michael Müller davon nicht beirren. Über das Wochenende hatte er bekannt gegeben, dass er die App bereits bestellt habe. Wie Tagesspiegel Background heute berichtet, zahlt Berlin für den Einsatz über das kommende Jahr 1.168.000 Euro, später solle der Bund die Kosten übernehmen, der Vertrag sei schon unterschrieben. Als erstes Bundesland hatte Mecklenburg-Vorpommern Anfang März einen Vertrag mit Luca abgeschlossen. Seit vergangenem Freitag können Geschäfte, Hotels oder Behörden die App zur Übermittlung von Gästelisten ans Gesundheitsamt einsetzen. Auch weitere Bundesländer wie Bremen, Hamburg und Rheinland-Pfalz haben sich zusammengeschlossen, um Luca gemeinsam zu beschaffen.

Update 24.3: In einer ursprünglichen Version dieses Beitrag stand, die Warnungen in CrowdNotifier erfolgten dezentral ohne Zutun des Gesundheitsamtes. Das ist nicht richtig: Die Warnungen in CrowdNotifier werden von einer zentralen „Autorität“ ausgelöst, das kann ein Veranstalter sein oder ein Gesundheitsamt. Wir haben den Abschnitt korrigiert.

Update 7.4.: Wir haben eine Stellungsnahme von Luca im Beitrag verlinkt.

13 Ergänzungen

  1. Wer diese App nutzen möchte (ob als Gastwirt oder Gast/Kunde) mag das gerne tun.

    Wogegen ich mich aber sträube ist, dass nach einem einzigen Werbeauftritt in der ARD diese App plötzlich/sofort zum „staatlichen Standard“ erhoben werden soll! So geht’s nicht! Die Politik hatte ein Jahr Zeit sich Gedanken zu machen, und es gibt mehr als diese eine App. Da erwarte ich einfach mehr wenn es um so eine Entscheidung geht.

  2. Aus dem Dilemma gewünschter Nachverfolgung und geschützter Identität wird man wohl nicht herauskommen. Letztendlich will man ja Infizierte isolieren dazu muss man wissen wer es ist.
    Der Apell an die Freiwilligkeit ist ja bereits bei der bestehenden Corona App gescheitert – und da ging es NUR darum sein Testergebnis auch tatsächlich einzutragen.
    Freiwillig – ja – aber wenn man etwas mehr Freiheiten erreichen will, wird man etwas dafür auch preisgeben müssen.
    Manche der Bedenken sind doch sehr hypothetisch – und können auch ohne so eine App geschehen. Totale Sicherheit bekommt man nicht.
    Es ist beinahe unehrlich, wenn die Argumente gegen die App im Grunde das Ziel der App in Frage stellen – es aber nicht sagen.
    Nachverfolgung ohne Identifikationsmöglichkeit ist sinnlos. Auch meinem Arzt muss ich letztlich vertrauen, das er meine Infektion nur dem Gesundheitsamt meldet und nichts anderes damit tut. (oder die MitarbeiterInnen in der Praxis)

    1. Der Wunsch ist nun mal obszön. Vielleicht noch mal von Infektionsschutz ausgehen, bevor er Papier geworden ist?

      Zudem geht das alles mit Datenschutz und vertrauenswürdigeren Akteuren. Hier ist mal der Verzicht auf eine Ausschreibung, oder schnelles Ins-Bett-Mit-Springen eine sinnvolle Sache, wenn man nicht noch eine Urheberfalle einbaut, d.h. das ganze Projekt open-source aufzieht, sowie Verwendbarkeit durch später Verdingte garantiert.

    2. „Und was ist mit dem Versprechen, dass positiv getestete Nutzer:innen selbst darüber entscheiden, ob sie ihre Check-In-Historie dem Gesundheitsamt freigeben?“

      Wozu soll das auch gut sein?
      Bei einem positiven Test sollte die Check In Historie natürlich an das Gesundheitsamt – am besten automatisch.
      Der Patient selbst ist wahrscheinlich viel zu aufgeregt und mit der Situation beschäftigt um auch noch daran zu denken.

      1. Die Idee ist aber doch:
        1. Infektionsschutz.
        2. Gastronomie nicht sterben lassen.

        Wie geht das mit dem von Ihnen angedeuteten Konzept?

      2. Dafür also eine Opt-Out Einstellung?

        Wer die Wahl bzgl. der App hat, wird vielleicht auch eine Entscheidung bzgl. der Gastronomie treffen, je nach dem, was enthalten ist.

  3. „Das zentrale Problem von Luca“

    Nein, das Problem /ist/ Luca. Warum so eine Klitsche so von der Politik gepusht wird lässt sich nicht erklären. Die Funktionen, die von Luca als „neu“ verkauft werden, werden in China schon seit Jahren eingesetzt und wurden auch auf Github als Features für die CWA gefordert (aber man hat nicht im Traum daran gedacht, in der Richtung etwas zu machen). Die Check-In/ erweiterten Tracking-Funktionalitäten zu implementieren wäre nicht schwer gewesen – / aber scheinbar hat da das Geld nicht mehr für gereicht /. Es gibt bereits ausreichend Open-Source Bibliotheken, die man einbinden könnte. Doch das Geld wird lieber zu Freunden, Bekannten, Parteispendern und Prominenten oder ominösen Start-Ups geschaufelt.

  4. Ich verstehe einen Aspekt des ganzen Tracings nicht:
    Zentrale Idee hinter der CWA im letzten Jahr war es die Gesundheitsämter zu entlasten und die Nutzer extrem schnell zu warnen. Jeden abzutelefonieren ist eben aufwendig. Sehr wichtig war es keine zentrale Datenhaltung und keine Zwangsnutzung herbeizuführen, um Akzeptanz zu fördern.

    Was bringen dann die ganzen Informationen von Zetteln/Luca dem Gesundheitsamt? Ja viel hilft viel… Sollte aber nicht das Ziel sein.

    Funktionsfähig ist doch eigentlich folgendes:
    – dezentrales Checkin mittels CWA-Konzept – einsehbar bei Github
    – Jemand ist positiv und informiert über CWA
    – Warnen der anderen Gäste
    – jeder mit Rot: ab zum Schnelltest ggf. PCR-Test. Simples anerkennen des Status entschlackt den Prozess
    – Gesundheitsamt erhält parallel über CWA-API die IDs der Veranstaltungsorte/Kneipen/Läden – genauso wie auch der App-Nutzer. Ermöglicht anonyme Clustererkennung. Daten können u. a. für Öffnungsstrategie genutzt werden.

    Damit habe ich Geschwindigkeit und Clustererkennung! Das Gesundheitsamt erhält über Labore sowieso alle Positivtestungen und kann meinetwegen parallel die manuelle Befragungen fortführen um den letzten Kontakt zu ermitteln.

    Offene Probleme der Lösung (mir bekannt)
    – Menschen ohne Smartphone. Ist mit passivem Token leider keine Lösung
    – Menschen, die jegliche freiwillige App nicht nutzen
    – Menschen, die Positivtestungen nicht melden. War in der Vergangenheit nicht nur ein Problem des Wollens, sondern der Prozesse in Gesundheitsämtern/Laboren.

    Ja es ist nicht optimal. Mit Luca jedoch bricht man jedoch mit den Hauptversprechen die Akzeptanz fördern sollten: Dezentral & keine Zwangslösung. Oder kann ich im Restaurant ggf. dann auch noch einen Zettel ausfüllen? Das wäre durchaus amüsant für den Sinn und Zweck des Gesamten.

    Meiner Wahrnehmung nach kranken Luca und CWA am gleichem Prozessproblem: Fehlende Prozesse, die ein schnelles kostenloses Testen von jeder nötigen Person ermöglichen. Wenn das Gesundheitsamt auch mit Luca jeden kontaktieren muss, bevor das möglich ist und ein „rot in der App“ nicht ausreicht, wird es halt weiterhin dauern.

  5. Alle dezentralen Lösungen ermöglichen es mir als Veranstalter nicht, die Besucherdaten für das Gesundheitsamt zur Kontaktbachverfolgung vorzuhalten und dazu bin ich nun einmal verpflichtet. Wer eine Alternative zur Zettelwirtschaft baut, gewinnt. Also Appell an all die Klugschnacker hier: macht es, wir brauchen Lösungen! Jetzt!

    1. Vielen Dank für den Hinweis: Genau das ist aus meiner Sicht eines der Probleme im Prozess.
      Was ist der Grund dafür, dass die Erhebung der Daten durch den Veranstalter per Gesetz verpflichtend sein muss? Genau dieses Element ist die Bremse! Nicht der Datenschutz.

      Versuche ich es hier einfach mit dem schnellen/effizienten Prozess über CWA + ggf. einen „Corona Warn Buzzer“ für alle mit alten/keinen Smartphones und kombiniere die Aspekte.
      Mit dieser Lösung erhalte ich:
      – Akzeptanz, weil zentrale Datenspeicherung und Zwangsherausgabe eben nicht nötig ist
      – Geschwindigkeit, weil die überlastete Stelle (das Gesundheitsamt) nicht involviert sein muss
      – Clustererkennung, sofern genügend Menschen sich drauf einlassen, weil ich eben dennoch zuordnen kann, wo die meisten Infektionen waren.

      –> Also faktisch erhalte ich alles, was ich eigentlich brauche, um weitere Entscheidungen treffen zu können und meine Konzepte anzupassen. Ganz ohne den Leuten immer wieder vor den Kopf zu stoßen.

      Wenn ich aber immer wieder auf dem Konzept rumhacke und es öffentlich als „funktioniert nicht, hat man gesehen“ einstufe, obwohl in der Anfangszeit vor allem die Probleme bei der Durchführung der Prozesse in Labor/Gesundheitsamt lagen, dann zerstöre ich eben die Akzeptanz bereits in der „Aufbauphase“ und lande bei einem Scherbenhaufen. Der ist leider schwerer wieder aufzukehren.

      Aus meiner Sicht ist genau obiges die Lösung. Leider hat es recht wenig mit „Technikimplementierung“ zu tun die erfolgt parallel. :-)
      Das ist auch mein größter Kritikpunkt an Luca: Es ist die gleiche Hoffnung, wie bei der CWA: Mit der App wird alles gut. Gerade bei den aktuellen Zahlen kann das Konzept aber nicht funktionieren, da die Hauptlast weiterhin am Telefon des Gesundheitsamt liegen wird (sofern ich das öffentlich abrufbare Konzept nicht falsch verstanden hab)

  6. Kann mir jemand erklären, warum ein Wirt ein 70 Euro Smart Phone nicht als „CWA-Barke“ in seinem Laden positionieren kann?
    Ich stelle es mir sehr mühsam vor, das Handy erst rausholen zu müssen und auf Barcode-Scan stellen zumüssen. OK, man könnte so den Weg des Handies verfolgen. Emm.. diese Daten liegen aber doch ausschließlich auf meinem Handy, und sind da sicher, oder? Und wenn ich eh verpflichtet bin den Location-QR-Code einzuscannen, dann sind die einzelnen Locations doch auch erfasst, aber ich kann es nicht vergessen und es ist deutlich bequemer.

    Warum kann es keinen „CWA-Lokation-Barken“ geben?
    Warum wäre das eine dumme Idee? (Wenn ich nicht erfasst werden will lasse ich das BT aus.)

  7. Sidenote: Spahn will so schnell wie moeglich fuer Geimpfte die Beschraenkungen aufheben.

    Wir erinnern uns: Spahn will den digitalen Seuchenpass, damit auch seine Kumpels einen Datenschatz zum versilbern haben.

    Luca kann gar nicht schlecht genug sein: wenn es akzeptiert wird, wird der kommende Seuchenpass mit vollen Datenzugriff umso leichter akzeptiert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.