Der Chaos Computer Club stellt der Luca-App ein vernichtendes Urteil aus: Ein sinnvoller Beitrag zur Pandemie-Bekämpfung lasse sich auch mit viel Kreativität nicht konstruieren. Stattdessen listen die IT-Experten einen bunten Strauß an Stirnklatschern auf. Sie bescheinigen den App-Entwicklern „grundlegenden Mangel an Sorgfalt und Kompetenz“ – sowohl in Sachen Programmierung als auch im Umgang mit auftretenden Fehlern und Begleitumständen.
Zweifelhaftes Geschäftsmodell
Zunächst kritisiert der Club jedoch das Geschäftsmodell und die Umstände. Die Landesregierungen pumpen viel Geld in eine App und besitzen dafür weder die App noch erhalten sie die Daten oder die Infrastruktur. Im Gegensatz etwa zur quelloffenen Corona-Warn-App setzt Luca auf ein geschlossenes System und ein Abo-Modell. Mehr als 20 Millionen Euro haben Körperschaften bereits für einjährige Lizenzen ausgegeben.
Der zentrale Ansatz sammelt zudem alle Daten bei den Betreibern. Sie hätten bereits weitere kommerzielle Zwecke bei der Markeneintragung vorgesehen: Ticketing, Zutrittskontrolle und Eintrittskarten-Management für Veranstaltungen aller Art. Die Mischung zwischen „öffentlichem Auftrag“ und kommerziellem Interesse sieht der Club skeptisch.
Eklatante technische Mängel
Der CCC hat sich intensiv mit der Prüfung von Contact-Tracing-Apps beschäftigt und zehn Prüfsteine für solche datensensiblen Programme erarbeitet. Die Luca-App erfülle keinen einzigen. Eine vorläufige Analyse anderer Datenschutz- und Sicherheitsforscher hat auf 18 Seiten mannigfaltige Missbrauchsmöglichkeiten der App festgestellt. Auch der Berliner Datenschutzbeauftragte warnte vor „beträchtlichen Risiken“. Der CCC weist daraufhin, dass die Betreiber sämtliche Check-Ins – also auch als „privat“ gekennzeichnete – komplett überwachen können. „Sie scheuen sich auch nicht, in diese Treffen aktiv einzugreifen und sie beispielsweise zu löschen.“
Merkwürdige Vergabepraxis
Dennoch gaben die Länder bereits 20 Millionen Euro für die ungeprüfte App aus. Der Hintergrund: Sie umgingen die offizielle Vergabepraxis. Der Berliner Bürgermeister habe sich sogar damit gerühmt, die 1,2 Millionen Euro teure Lizenz ohne technische Prüfung erstanden zu haben. Die Konkurrenten der Luca-App wundern sich derzeit, wie das „eilig aus dem Boden gestampfte“ Produkt ohne Ausschreibung und Prüfung massenweise angeschafft wird. Thüringen rudert nun zurück: Man bevorzuge eine Lösung mit offener Schnittstelle, an die auch andere Systeme andocken können. „Zumal im Gegenzug Lösungen angeboten werden, die zum einen wesentlich kostengünstiger und zum anderen für erheblich kürzere Zeiträume, beispielsweise monatlich, abgeschlossen werden können“, sagte Thüringens Finanzministerin Heike Taubert.
Massive Fehler
Der Bericht führt zudem eine Reihe an „handwerklichen Fehlern“ der App auf. So zahlten die Bundesländer Millionen Euro für den Versand von SMS zur Validation. Die sei jedoch so schlecht implementiert, dass sie ihrer Aufgabe nicht nachkomme. Es sei zudem einfach, massenhaft Fake-Accounts zu erstellen und diese an beliebigen Orten einchecken zu lassen. Dadurch drohe der Kollaps des kompletten Systems.
Über die angeschafften Schlüsselanhänger für Personen ohne Smartphone lasse sich über das Einscannen des QR-Codes die komplette Bewegungshistorie ihrer Träger auslesen. Zusätzlich könne man sich als der-/diejenige überall einchecken. Das Luca-Backend sei entgegen anderslautender Aussagen sehr wohl in der Lage, jederzeit einzelne Geräte zu identifizieren und ihnen alle Check-ins zuzuordnen. Die App erfülle nicht die Mindeststandards der Barrierefreiheit und verwende dreisterweise fremde Software-Komponenten unter Missachtung der jeweiligen Lizenzbedingungen.
Am Ende der Liste fordert der Chaos Computer Club den sofortigen Stopp der Anschaffung. Smudo sei es gelungen, Millionen Euro für ein unfertiges und untaugliches Produkt einzuwerben, an dessen Entwicklerschmiede er mit 22 Prozent beteiligt sei. Dieses Treiben müsse nun beendet werden.
„Die Konkurrenten der Luca-App wundern sich derzeit, wie das „eilig aus dem Boden gestampfte“ Produkt ohne Ausschreibung und Prüfung massenweise angeschafft wird.“
Parallelen zum Impfstoff sind rein zufällig!