„Dringlich“ und „notwendig“ sind zwei Wörter, die im Zusammenhang mit dem Einkauf von Luca besonders oft gefallen sind. So hieß es vergangene Woche bei einer Sitzung im Berliner Abgeordnetenhaus, die App, die nun die Gästelisten auf Papier ablösen soll, schließe eine wichtige digitale Lücke im Prozess der Gesundheitsämter. Andere Bundesländer begründeten die hektische Anschaffung von Luca ohne Ausschreibungsverfahren oder ausgiebige Prüfung damit, die App sei für die Gesundheitsämter notwendig, um im Fall einer Infektion Kontaktpersonen schneller erreichen zu können.
Nun stellt sich heraus: Die allermeisten der bislang an das System angeschlossenen Gesundheitsämter nutzen Luca gar nicht. Das zeigt eine Umfrage des Sicherheitsexperten Jens Rieger vom Verein Chaos Computer Club (CCC).
Drei Ämter von 137
Rieger wollte wissen, welche Ämter Luca bereits verwenden und wie oft das System in den vergangenen zwei Wochen bei der Kontaktnachverfolgung zum Einsatz kam. Demnach haben bislang nur drei der 137 Gesundheitsämter, die sich zurückmeldeten, Luca laut eigener Aussage überhaupt im Arbeitsalltag benutzt.
In Aurich gab es zwei Datenabrufe im Rahmen der Kontaktnachverfolgung, in Lübeck nutzte das Amt die App „mehrere Male“. Spitzenreiter ist bislang Bielefeld. Die Zahl der Luca-Abrufe dort: 17.
In Bayern, dem einzigen Bundesland, wo eine Ausschreibung stattgefunden hat bevor Luca angeschafft wurde, warten die Gesundheitsämter derzeit auf den landesweiten Startschuss, um das System einzusetzen. In Thüringen nutzen die Ämter Luca dagegen gar nicht: Dort hatte der Landesdatenschutzbeauftragte den Einsatz von Luca gestoppt. Auch in Sachsen werden vor allem andere Systeme zur Kontaktnachverfolgung eingesetzt.
Zu hohe Infektionszahlen
Warum setzen aber selbst jene Ämter, die Luca haben und verwenden dürfen, das System derzeit kaum ein? Für die nüchternen Zahlen kann es mehrere Gründe geben. Erstens sind in den meisten Landkreisen Cafés, Geschäfte und andere potentielle Luca-Einsatzorte derzeit geschlossen, die Infektionszahlen sind schlicht zu hoch. Darauf weisen auch viele der Gesundheitsämter hin, die bereits an die App angeschlossen sind, diese bisher aber kein einziges Mal gebraucht haben. „Wir sehen die Einführung vornehmlich als Vorbereitung für kommende Öffnungsschritte nach der dritten Welle,“ heißt es dazu etwa aus Nürnberg.
Allerdings kommt dieser Umstand nicht ganz überraschend: Forscher:innen hatten die Dritte Welle bereits im Februar und März anhand von Modellen vorhergesagt – zum Zeitpunkt also, zu dem viele Bundesländer Luca mit großer „Dringlichkeit“ angeschafft haben. Gekostet hat das insgesamt mindestens 20 Millionen Euro, die nun an culture4life, das Unternehmen hinter Luca, fließen.
Zum anderen könnte es daran liegen, dass viele Personen Luca bislang gar nicht nutzen – egal ob als App auf dem Handy oder als Schlüsselanhänger, den Luca für diejenigen ohne Smartphone anbietet. Mitarbeiter:innen seien zwar geschult worden und fragten bei der Kontaktnachverfolgung stets, ob der oder die Angerufene Luca verwende, heißt es von Seite vieler Gesundheitsämter. Oft sei das aber nicht der Fall. „Die konsequente Verwendung der App muss sich erst in der Bevölkerung etablieren“, schreibt das Amt in Aurich dazu.
Nicht auf die Befragung geantwortet hat Rostock. Die Stadt war eine der Modellregionen, die Luca früh einsetzten, Oberbürgermeister Claus Ruhe Madsen wurde zum Werbebotschafter für das System, tausende Händler:innen haben Luca im Einsatz. Auch dort wurde die App bis Ende März allerdings noch kein einziges Mal in der Kontaktnachverfolgung eines konkreten Falls eingesetzt. Seither geben das Gesundheitsamt und die Stadt keine Daten mehr raus – mit dem Hinweis, es sei noch zu früh für eine Bewertung.
Bielefeld zieht Corona-Warn-App vor
In Bielefeld, wo Luca in den vergangenen Tagen noch am häufigsten zum Einsatz kam, scheint man kein Fan der App zu sein: „Generell gilt für die Stadt Bielefeld, dass wir keinen Vertrag mit Luca geschlossen haben, weil wir der Meinung sind, dass Betreiber*innen die Wahl haben sollten, welches Tool sie zur Kontaktdatenerfassung verwenden“, schreibt ein Vertreter der Stadtverwaltung.
Für sinnvoller hält man hier ohnehin den Einsatz der offiziellen Corona-Warn-App des Bundes, die seit vergangener Woche ebenfalls mit einer Check-in-Funktion ausgestattet ist und keine Kontaktdaten erfasst, sondern anonym warnt. Im Idealfall solle die Coronaschutzverordnung so angepasst werde, dass Besucher:innen von Veranstaltungen sich mit dieser einchecken können und dann anonym über ein Infektionsrisiko gewarnt werden. Wer das nicht möchte, könne Kontaktdaten weiterhin auf Papier hinterlassen.
Bielefeld liegt in Nordrhein-Westfalen, einem von nur drei Bundesländern, die sich gegen den Kauf einer Luca-Lizenz entschieden haben und stattdessen auf eine Vielfalt von Systemen für die Kontakterfassung von Gästen setzen. Einzelne Kommunen und Ämter setzen Luca dennoch im Rahmen von Modellprojekten ein.
Grobe Größenordnung
Jens Rieger vom CCC Freiburg hatte in seiner Umfrage nach der Zahl der so genannten Luca-Trace-IDs gefragt, die ein Gesundheitsamt in den vergangenen 14 Tagen abgerufen hat. Bei jedem Check-In mit Luca wird eine neue solche Trace-ID erzeugt, welche später als Teil einer Gästeliste vom Gesundheitsamt abgefragt werden kann. Das heißt: 17 Trace-IDs in Bielefeld könnten 17 unterschiedliche Personen sein, deren Besuchshistorie vom Gesundheitsamt angefordert wurde. Es könnte aber auch die gleiche Person sein, die sich in 17 unterschiedlichen Läden per Luca eingecheckt hat. Die Trace-ID wäre in dem Fall jedes Mal eine andere.
Die Zahl ist damit keine klare Aussage darüber, wie viele Kontaktpersonen ein Gesundheitsamt über Luca erreicht hat. Sie liefert aber eine Größenordnung, wie häufig die App tatsächlich zum Einsatz kommt.
Der Chaos Computer Club hatte zuvor ein vernichtendes Zeugnis für die App ausgestellt und einen bundesweiten Stopp von Luca gefordert. Linus Neumann, einer der Sprecher des Vereins, verwies auf eine „nicht abreißende Serie von Sicherheitsproblemen“. Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbiete sich „der ländersubventionierte Roll-Out ungeprüfter Software von selbst“. Ein Team um die Sicherheitsexpert:innen Bianca Kastl und Tobias Ravenstein hatte zuvor eine gravierende Schwachstelle im Luca-System gefunden: Fremde konnten für Nutzer:innen des Luca-Schlüsselanhängers alle Check-Ins der vergangenen 30 Tage rekonstruieren. Ein Foto des QR-Codes auf dem Anhänger reichte dazu aus.
Öffentliche Statistik verfälscht
Rieger ist nicht der einzige, der sich für den Einsatz von Luca interessiert. Der IT-Experte Ralf Rottmann, der Luca vehement kritisiert, führt seit einigen Wochen öffentlich Buch darüber, wie viele Ämter bereits an das System angeschlossen sind und wie viele Trace-IDs sie in den vergangenen 14 Tagen abgerufen haben. Die Daten dafür bezieht er von einer öffentlichen Schnittstelle des Systems. Demnach haben 288 der rund 400 Gesundheitsämter in Deutschland ihre Registrierung abgeschlossen, in den vergangenen Tagen haben sie zusammen mehr als 5.100 Trace-IDs abgefragt.
In Rottmanns Übersicht wirken die Zahlen allerdings höher als sie wohl sind. Zum einen lässt sich daraus nicht erkennen, wie viele der Anfragen womöglich auf Trockenübungen zurückgehen – viele Ämter testen die App derzeit noch. Zum anderen hat Luca vor ein paar Tagen begonnen, die echten Trace-IDs mit gefälschten Werten zu mischen.
Die Idee dahinter: Für Angreifer:innen soll es schwerer werden, die Check-in-Historie von Nutzer:innen oder deren Identität zu rekonstruieren. Sicherheitsexpert:innen hatten die Luca-Macher auf diese Schwachstelle, eine von vielen im System, hingewiesen. Es bedeutet aber auch, dass die über die Schnittstelle veröffentlichte Statistiken für die einzelnen Ämter nun keine präzise Auskunft mehr über die echte Nutzung geben.
Rottmanns Webseite rechnet zwar offensichtlich unechte Anfragen aus den Zahlen raus. Als Indikator für die Nutzungsintensität dienen die Informationen also weiterhin. Doch wirkliche Transparenz könnten nur die Betreiber von Luca selbst schaffen: Sie müssten dazu die Zahl der gefälschten Schlüssel offen legen, die sie täglich in den Pool werfen. „Es ist bedauerliche, dass die Betreiber sich nicht Methoden der Differential Privacy zunutze machen“, sagt Rottmann. „Damit könnte man dem berechtigten Anliegen nach Statistiken zur tatsächlichen Nutzung und dem Schutz sensibler Daten Rechnung tragen.“
So lange Luca seine Statistiken nicht transparent macht, wird der Weg über die Ämter der einzige bleiben, um zu erfahren, wie nützlich Luca tatsächlich ist.
Einchecken ins Nirgendwo
Rottmann hatte in den vergangenen Tagen noch auf ein weiteres Problem mit Luca hingewiesen: Ein Brillengeschäft in Dortmund ließ seine Kund:innen mit dem System einchecken. Das Gesundheitsamt in Dortmund verwendet Luca jedoch gar nicht. Die Kontaktdaten, die das Geschäft per Luca eingesammelt hat, hätten also im Fall einer Infektion gar nicht zugestellt werden können. Das Amt wäre schlicht nicht in der Lage gewesen, sie zu entschlüsseln und die Kund:innen zu kontaktieren.
Händler:innen, die Luca in solch einem Szenario für den Check-In einsetzen, fallen damit ohne es zu ahnen in eine rechtliche Lücke. Sie erfüllen nicht mehr die Auflagen der Coronaschutzverordung, die sie dazu verpflichtet, Kontaktdaten ihrer Kund:innen einzusammeln. Zugleich setzen sie ihre Kund:innen einem Risiko aus.
Luca wäre in der Lage, solche Situationen technisch zu verhindern: Indem Händler:innen ihre Geschäfte im System nicht anlegen können, so lange die eigene Postleitzahl nicht freigeschaltet wird.
Stattdessen weist Luca Händler:innen lediglich darauf hin, dass das Amt in ihrer Region das System noch nicht einsetzt – und fordert sie dazu auf, sich zur Vorbereitung trotzdem schon mal zu registrieren. Anschließend können sie per Luca bereits QR-Codes für ihr Geschäft erstellen und ausdrucken. Bei einigen führte das wohl zu der Annahme, das System sei doch einsatzbereit.
Rottmann hat die Luca-Macher auf das Problem hingewiesen und aufgefordert, die Lücke zu schließen.
Forscher:innen warnen vor Luca
Die Kritik an Luca wird unterdessen immer lauter. Mehr als 70 führende Forscher:innen aus dem Bereich der Kryptografie und IT-Sicherheit stellen sich in einer gemeinsamen Stellungnahme gegen das System. Sie begrüßen grundsätzlich den Einsatz von digitalen Werkzeugen zur Kontaktnachverfolgung, doch die Risiken von Luca seien „völlig unverhältnismäßig“ im Vergleich zum Nutzen. Das System erfülle keine der vier Grundprinzipien, die sie bereits vor einem Jahr – in der Diskussion damals ging es um die Corona-Warn-App – genannt hatten: Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. „Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf LUCA diskutiert. Damit entsteht eine Abhängigkeit von einem einzelnen Privatunternehmen mit Gewinnerzielungsabsicht als Betreiber des Systems.“
Der Nutzen von Luca sei zweifelhaft, weil das System einen manuellen Prozess der Papierlisten zwar automatisiere, die Auswertung aber weiter bei den Gesundheitsämtern liege. Da das System nachweislich leicht zu manipulieren sei, bestehe die Gefahr, dass diese überlastet werden. Zugleich sammle Luca „in großem Umfang Bewegungs- und Kontaktdaten“ und speichere diese zentral. „Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotential und das Risiko von gravierenden Datenleaks“, heißt es in der Stellungnahme. (Die Entgegnung der Luca-Macher lesen Sie hier.)
Zu den Unterzeichner:innen gehören Kryptolog:innen und IT-Sicherheitsforschende der wichtigsten deutschen Institutionen, unter anderem Professorinnen und Professoren des CISPA Helmholtz Center for Information Security, der Ruhr-Universität Bochum, der TU Darmstadt und weiterer Universitäten und Institute.
Sie verweisen darauf, dass mit der Corona-Warn-App bereits ein System vorliege, das Risiken minimiert und Nutzer:innen schnell über einen Risikokontakt benachrichtigen könne. Sie fordern eine Rückbesinnung auf die genannten Prinzipien für die Kontaktnachverfolgung. „Insbesondere sollte es aus unserer Sicht keinen de facto Zwang zur Nutzung einer Lösung geben, die diese Prinzipien eklatant verletzt.“ Auch in einem dezentralen und datensparsamen System könnten notwendige Informationen zur Pandemiebekämpfung erhoben und den Gesundheitsämtern zur Verfügung gestellt werden.
Heute Mittag habe ich eine E-Mail aus unserem örtlichen Rathaus bekommen. Es ging um die veranlasste Quarantäne einer Gemeinschaftsunterkunft für Geflüchtete, die ich ehrenamtlich unterstütze. Mir wurde via E-Mail der vollständige Namen des positiv getesteten Bewohners mitgeteilt.
Auf meine Bemerkung, dass es doch kritisch sei, solche sensiblen Information über Dritte via E-Mail zu versenden, meinte die Person vom Rathaus: Ja, ich habe natürlich recht. Allerdings sei es seit Beginn der Pandemie „normal“, die Ämter würden solche und noch viel sensiblere Informationen via E-Mail austauschen. Da käme es auf die eine Mail auch nicht mehr an.
Gleichzeitig gilt nur die Regelung, dass die K1-Kontakte der infizierten Person in Quarantäne müssen. Eine weitere Kontaktverfolgung dieser Personen findet nicht statt. Mir ist ein K1-Kontakt bekannt, der auf dem gleichen Stock wie die infizierte Person wohnt, Küche und Bad teilt. Diese Person hatte diese Woche Termine auf dem Landratsamt sowie weitere Kontakte. Diese werden nicht „nachverfolgt“, man setzt auf die Eigeninitiative der Betroffenen.
Heißt:
Wir verhindern Apps und zentralisierte Systeme aus Datenschutzgründen – und schicken dafür alles lustig via E-Mail durch die Gegend. Statt eines gesunden Pragmatismus leben wir einen ungesunden Pragmatismus.
Damit hätte ja niiiiiemand rechnen können….
Aber keine Sorge!
Auch wenn die Luca-App den Gesundheitsämtern nichts bringt und zur Pandemiebekämpfung nichts positives beitragen mag, wird sich schon ein Nutzen für die nun aufgebaute und millionenschwere Infrastruktur finden lassen. Man denke nur an die Innenminister von Bund und Ländern und den staatlichen wie privatwirtschaftlichen Interessen zur Bewegungsverfolgung und Profilerstellung aus Gründen der „Sicherheit“, der Verwaltung oder der Wirtschaft.
Es gibt zur Zeit einige Berichte aus Singapur, dass sich dort das Contact Tracing und der exklusive Zugang nur per App verfestigt und vom ursprünglichen Zweck der Pandemiebekämpfung immer weiter entfernt. Ähnlich könnte es auch in Deutschland laufen. Das erkennt man bereits daran, dass schon entsprechende Begehrlichkeiten von CDU-Politiker:innen geweckt werden und dass trotz aller Kritik und des nachweislich geringen Nutzens, an Luca festgehalten wird.
Das haben Apple und Google technisch richtig gemacht: nur eine Kontaktverfolgungsapp per Land
Luca ist hier jetzt überall. Ab und zu sieht man Luca und CWA auf einem Zettel.