Liebe Leserïnnen,

bitte installiert die Luca-App nicht auf euren Telefonen. Wenn ihr sie installiert habt, werft sie wieder raus. Wenn ihr irgendwo seid, wo eine Registrierung mit Luca verlangt wird, besteht stattdessen auf Zettel und Stift oder auf eine der vielen Alternativen. Dafür gibt es eine lange Liste von Gründen. Folgendermaßen:

Viele glauben, eine Veranstaltung oder ein Ort sei sicher, wenn eins sich mit Luca eincheckt. Das ist ein Trugschluss. Die Verwendung von Luca hat keinerlei Einfluss darauf, ob Infektionen passieren oder nicht. Auch mit Luca senken nur die AHAL-Regeln die Wahrscheinlichkeit einer Ansteckung. Auch mit Luca ist eine Aerosolwolke in einem Innenraum eine Aerosolwolke in einem Innenraum. Auch mit Luca bleibt ein Impfdurchbruch ein Impfdurchbruch.

Es ist nicht plötzlich sicher, eine Kneipe zu öffnen oder eine Feier durchzuführen, weil die Luca-App benutzt wird. Es kann vertretbar sein, eine Kneipe zu öffnen oder eine Feier durchzuführen, weil die Fallzahlen gerade niedrig sind und ein stringentes Hygiene-Konzept vorliegt und dieses sogar von den Anwesenden eingehalten wird.

Luca dient lediglich dazu, nach der Feier oder dem Kneipenabend die Anwesenden ausfindig zu machen und zum Testen und/oder in Quarantäne zu schicken, falls sich nachträglich herausstellt, dass eine infizierte Person dabei war. Luca könnte also helfen, in so einem Fall eine weitere Verbreitung zu unterbinden. Wenn Luca zuverlässig funktionieren würde. Was Luca nicht tut.

Zum Beispiel hat die App kürzlich bis zu drei Tage lang (Luca-Entwicklerïn Nexenio spricht von drei Stunden) niemanden gewarnt, zunächst ohne dass dies auffiel. Derzeit ist es nicht ohne weiteres möglich, eine Veranstaltung in Halle (Saale) anzulegen. Ich vermute, dass es ein Folgefehler ist, der daraus entstand, dass die App Sonderzeichen unterdrückt, um (auf recht unprofessionelle Weise) eine Sicherheitslücke zu schließen. Denn bis vor kurzem war es möglich, durch geschicktes Einfügen von Befehlen, die in der Datenbank-Abfrage-Sprache SQL geschrieben sind, die Datenbanken der angeschlossenen Gesundheitsämter zu manipulieren und Gesundheitsämter womöglich lahmzulegen.

Immer wieder gibt es Klagen darüber, dass das automatische Auschecken beim Verlassen von Orten nicht funktioniert. Zugleich ist es möglich, sich an Orten einzuchecken, an denen eins sich gar nicht aufhält. Das macht Luca nicht nur für die Gesundheitsämter unbrauchbar, die den Datensalat sortieren müssen, sondern auch für Wirtïnnen und Veranstalterïnnen, die eine Obergrenze  Anwesender einhalten müssen. Die brauchen trotz Luca weiterhin eine Person, die am Eingang die Anwesenden mit Strichlisten zählt.

Dass Datensätze keinen Sinn ergeben, wenn sich bei der „Corona-Party“ des Berliner Museumsbetreibers Enno Lenze mehr als 600.000 Menschen einchecken, ist klar. Weniger offensichtlich sind Fakes, wenn Menschen sich mit falscher Identität anmelden. So ist (oder war) es möglich, sich ganz ohne Eingabe einer Telefonnummer mit beliebigem Namen zu registrieren. Wer Fake-Checkins an beliebigen Orten machen will, für die ein QR-Code vorliegt, kann dafür auch ganz ohne eigene IT-Kenntnisse die „luci-App“ verwenden, die vom Peng-Kollektiv ins Netz gestellt wurde, um die Unsicherheit des Luca-Systems zu demonstrieren.

Was ebenfalls nicht einwandfrei funktioniert, sind die Schlüsselanhänger, die für diejenigen herausgegeben werden, die kein Smartphone haben. Anhand dieser Schlüsselanhänger lassen sich von Außenstehenden, die weder Luca, noch Wirt noch Gesundheitsamt sind, Bewegungsprofile ihrer Inhaberïnnen erstellen. Jedenfalls wenn die Schlüsselanhänger überhaupt funktionieren.

Immerhin stellte sich ein angeblicher Ausfall auf Sylt hinterher als Design-Fehler heraus. Das dortige Gesundheitsamt konnte die Besucherïnnen einer Bar nicht mehr über Luca erreichen. Der Fehler lag nicht bei Luca, sondern bei der Bar, die einen digitalen Schlüssel auf ihrem Computer gelöscht hatte. Eigentlich ist das schlimmer als ein Ausfall. Denn warum können Bar-Betreiberïnnen durch Rumspielen an ihren Computers so einfach die Funktionalität von Luca kaputt machen? Warum ist dieser Schlüssel überhaupt nötig, wenn die Daten sowieso zentral auf den Luca-Servern vorgehalten werden?

Der Programm-Code der Luca-App lässt sich mittlerweile einsehen, nachdem er auf öffentlichen Druck hin als Open Source veröffentlicht wurde. Offenbar enthielt er so viele Sicherheitslücken, Verstöße gegen Qualitätskriterien und in der Software-Entwicklung übliche Standards, dass 77 Expertïnnen für IT-Sicherheit sich gezwungen sahen, einen offenen Brief zu schreiben, dem sich fast 500 weitere Expertïnnen anschlossen. Sie forderten unter anderem, dass die Verwendung von Luca kein „de facto Zwang“ sein dürfe.

Zum Glück sehen, soweit ich weiß, alle oder die meisten Infektionsschutzverordnungen der Bundesländer vor, dass Luca nicht die alleinige Methode des Eincheckens darstellt. Trotzdem kommt es leider immer wieder vor, dass Menschen nicht in Läden gelassen werden, wenn sie die Luca-App nicht haben. Und diese App nicht haben zu wollen, lässt sich sehr gut mit ihren Datenschutzmängeln begründen.

Abgesehen von den immer neuen Sicherheitslücken sitzt Luca-Betreiberïn Nexenio auf einem Berg von Daten, an welchen Orten sich Millionen von Menschen in den letzten Monaten aufgehalten haben. Das oben erwähnte Experiment von Enno Lenze hat sogar gezeigt, dass sie in Echtzeit diese Daten beobachten und darin nach Belieben löschen können. Unklar ist, wer irgendwann einmal Zugriff auf diese Daten bekommt, sollte sich die Gesellschafterïnnenstruktur verändern. Fest steht, dass die App nicht nur entwickelt wurde, um damit die Pandemie zu bekämpfen. Unter anderem scheint es Pläne zu geben, später einmal Veranstaltungstickets über die App zu verkaufen.

Gesundheits- und Positionsdaten möchte eins eigentlich nicht so gerne Leuten anvertrauen, die immer wieder damit aufgefallen sind, nachgewiesene Sicherheitslücken zu leugnen. Beim Veröffentlichen des Quell-Codes wurde zunächst eine Lizenz gewählt, die kein ernsthaftes Analysieren der App erlaubt, wobei die Open-Source-Lizenzen Dritter verletzt wurden.

Die Benutzungsoberfläche verwendet so genannte Dark Patterns: In Apples App Store und dem Google Playstore hatte die App miese Bewertungen. Doch sind die Bewertungen der Android-App in letzter Zeit wieder besser geworden, nachdem die App so gestaltet wurde, dass viele Menschen bei flüchtiger Nutzung glauben, sie bewerten das Restaurant, in das sie sich eingecheckt haben. Und Smudo sowie andere Vertreterïnnen von Nexenio und der Luca-App versuchen immer wieder, ihre Kritikerïnnen öffentlich zu diskreditieren.

Leider haben Landesregierungen mittlerweile mehr als 20 Millionen Euro für Luca-Lizenzen ausgegeben. Das taten sie unter fragwürdigen Umständen, da es oftmals keine Ausschreibung und keine nennenswerte Prüfung der Funktionalität oder Datenschutzkonformität gab. Politikerïnnen fällen solche Entscheidungen aufgrund von wirtschaftlichem Druck. Wirtïnnen und Eventveranstalterïnnen üben diesen Druck aus, damit sie in der Pandemie geöffnet haben dürfen. Jeder einzelne Checkin, der mit Luca passiert, erhöht diesen Druck und die Wahrscheinlichkeit, dass die öffentliche Hand noch mehr Geld für Luca ausgeben wird. Jedes mal, wenn Luca verweigert wird, wird den Wirtïnnen und Ladenbesitzerïnnen Luca ein klein wenig lästiger.

All dies scheint nur einer relativ kleinen Zahl IT-affiner Menschen bekannt zu sein, während an fast allen Geschäften Luca-Codes hängen. Wer unter „normalen Leuten“ die Luca-App kritisiert, wird bisweilen angeschaut, als ob sie oder er gerade mit einem UFO gelandet wäre, und nicht für voll genommen. Dabei hat die kurze Geschichte der Luca-App so viele unappetitliche Details, dass ein Buch nötig wäre, um alles aufzuschreiben. Der IT-Sicherheitsexperte Manuel Atug sammelt alle in einem Twitter-Thread. Bisher besteht er aus 709 Tweets. (Korrektur)

Und damit, liebe Leserïnnen, wünsche ich ein schönes Restwochenende.

Enno Park

P.S. in eigener Sache: Der weitaus größte Teil meiner Arbeit ist frei im Web zugänglich und soll es überwiegend auch bleiben. Wer diesen Newsletter oder meinen sonstigen Output auf Twitter und anderswo hilfreich oder unterhaltsam findet und meine Arbeit gerne unterstützen möchte, kann das hier tun. Ich danke herzlich.

Kommentare sind nur für Mitglieder zugänglich. Nimm an der Diskussion teil …