Die Fantastischen Vier haben schon eine Menge cooler Sachen auf die Beine gestellt. Sie gelten als Urväter des deutschen Hiphops, ihre Alben haben mittlerweile Klassikerstatus und überhaupt mag eigentlich jede*r die Schwaben. Fun-Fact: Angefangen haben die Fantas als Programmierduo. Momentan sind die Hiphopper vor allem wegen ihrer Mitwirkung an einer App im Gespräch. Luca heißt sie. Sie wird, spätestens seit Smudo sie in der ARD-Talkshow „Anne Will“ vorgestellt hat, als wertvolle Ergänzung zur Corona-Warn-App gehandelt. Die steht seit Einführung in der Kritik. Ein häufig angeführter Punkt: Sie helfe nicht effizient genug bei der Kontaktrückverfolgung. Aufgrund von Mechanismen, die den umfassenden Schutz der persönlichen Daten der Nutzer gewährleisteten, ist es der App nicht möglich, sogenannte Infektionscluster – Begegnungen, bei denen sich viele Menschen auf einmal anstecken – zu erkennen. Im Gespräch war die nachträgliche Implementierung der Funktionalität für die Corona-Warn-App schon vor Monaten, passiert ist das bisher nicht.

Jetzt sieht es danach aus, als sollten private Anbieter die Lücke schließen. Klarer Favorit ist die Luca-App. Dahinter steht neben der Culture4life GmbH der Fantas auch ein Berliner Startup namens Nexenio, eine Ausgründung des Hasso-Plattner-Instituts. Deren Produkt könnte jetzt bundesweit von den Gesundheitsämtern eingesetzt werden. Erst am Donnerstag erklärte der nordrheinwestfälische Ministerpräsident Armin Laschet (CDU), Bund und Länder wollten sich noch in der zweiten März-Woche für den bundesweiten Einsatz einer weiteren App entscheiden.  Mecklenburg-Vorpommern gab bereits am Samstag bekannt, eine Lizenz für Luca erworben zu haben. Wenn es nach Vizekanzler Olaf Scholz geht, ist der bundesweite Luca-Einsatz beschlossene Sache.

Entworfen wurde Luca, genau wie andere, vergleichbare Ansätze, um den Prozess der Datenangabe bei einem Restaurant-, Bar- oder Eventbesuch zu digitalisieren. Weg von der Zettelwirtschaft, hin zu einer digitalen Lösung, die die Nutzer vor Datenmissbrauch durch Veranstalter, Gastronomen oder Dritte schützen, die Weitergabe falscher Daten unterbinden – das klappt offenbar noch nicht ganz gut, mit ein paar Programmierkenntnissen soll sich die Verifizierung ganz einfach umgehen lassen – und das Gesundheitsamt entlasten soll. Die App funktioniert über QR-Codes, über die sich Besucher bei einem Eventbesuch ein- und wieder auschecken können. In Infektionsfall geben Nutzer ihre Besuchshistorie frei. Das Gesundheitsamt kann die Daten entschlüsseln und schnell und einfach alle Kontaktpersonen informieren.

Laut Website ist das völlig sicher, die Daten werden auf ISO-27001-zertifizierten Servern innerhalb Deutschlands gespeichert und niemand außer den Gesundheitsämtern soll Zugriff auf hinterlegte persönliche Daten oder die Besuchshistorie haben. Die Entscheidung, diese Daten zu teilen, obliege zudem vollständig den Nutzerinnen und Nutzern der Luca-App.

Lies auch: Open Source sei Dank – So fanden Experten eine Schwachstelle im Server der Corona-Warn-App

Im Hinblick darauf, dass jetzt über den bundesweiten Einsatz Lucas abgestimmt werden soll, haben Datenschützer mehrere Punkte bemängelt. Einer davon: Die Luca-App und das gesamte Backend sind im Unterschied zur Corona-Warn-App bisher nicht Open Source. Das heißt, der Quellcode ist für niemanden einsehbar. Das soll sich jetzt ändern. Bereits Ende März sei geplant, die App zu open-sourcen, twitterte der offizielle Account am Mittwochabend. Zu der Entscheidung habe unter anderem der Dialog mit Experten und Kritikern geführt.

Noch am Dienstag hatte sich Patrick Hennig, CEO der Nexenio GmbH, gegenüber t3n eher vage zum Thema Open Source geäußert:  „Wir haben das System ja bisher komplett selbst finanziert und sind gerade dabei in einigen Patentverfahren.“ Die Möglichkeit, „dass wir die App Open Source stellen können“, sehe er aber durchaus. „Ein Open-Source-Projekt braucht Community-Management, das kostet ja auch Ressourcen“, deshalb habe man sich am Anfang zunächst gegen die Veröffentlichung als Open-Source-Projekt entschieden, sagte er. Immerhin sei das Sicherheitskonzept am Montag veröffentlicht worden.

Zu finden ist das Konzept auf GitHub und über die Luca-Website. Das GitHub-Repository ist Open Source und nach Angaben der Verfasser als „Work in Progress“ zu betrachten. Auf GitHub habe man das Dokument veröffentlicht, um sich der Community zur Mitarbeit zu öffnen, sagt Hennig. Ein richtiges kryptografisches Konzept findet sich dort laut Experten aber nicht. „Das Sicherheitskonzept ist so High-Level, damit kann die Community eigentlich kaum etwas anfangen“, sagte Manuel Atug, IT-Sicherheitsexperte bei HiSolutions. Es fehlten konkrete, detaillierte Angaben zu den eingesetzten kryptografischen Verfahren und Algorithmen. Zum Beispiel sei der Umgang mit sogenannten kryptografischen Schlüsseln nicht hinreichend beschrieben. Key-Management wird das auch genannt. Laut Atug fehlen beispielsweise Angaben über die Erzeugung und Verwendungsdauer der Schlüssel, deren Länge, oder wie und wann sie archiviert, ersetzt, vernichtet und im Notfall ausgetauscht würden.

Neben der Forderung nach einem Whitepaper und der Offenlegung des Quellcodes fordern Datenschützer, dass nur Daten erhoben werden sollten, die zum Betrieb des Dienstes zwingend notwendig sind. Zugriff auf personenbezogene Daten dürfen nur die Gesundheitsämter in einem Infektionsfall erhalten. Einen Generalschlüssel zum Zugriff auf alle Daten darf es nicht geben. Laut Luca-Sicherheitskonzept verfügen die Gesundheitsämter aber mindestens über einen Schlüssel zum Abrufen der Daten aller Kontaktpersonen im Fall einer gemeldeten Infektion*:

Im Fall eines positiven Covid-19-Tests schickt die Luca-App laut eigener Angaben alle relevanten Check-Ins des Nutzers, zusammen mit den IDs der von diesem Nutzer besuchten Lokalitäten und eines Timestamps an den Luca-Server. Alle betreffenden Betreiber und Veranstalter werden von der Luca-App aufgefordert, die Check-In-Datensätze aller Luca-Nutzer, die zur selben Zeit wie die infizierte Person am Veranstaltungsort waren, auf den Luca-Server hochzuladen. Das Gesundheitsamt kann diese verschlüsselten Datensätze dann entschlüsseln und alle Kontaktpersonen kontaktieren.

Erzeugt werden diese Schlüssel offenbar im Frontend der Applikation, die den Mitarbeitern des an Luca angebundenen Gesundheitsamtes zur Verfügung steht. Diese greifen über den Browser darauf zu. Das Problem: Ein Browser ist quasi eine Sandbox, entworfen, um Inhalte dynamisch von einem Server zu laden und auszuführen. So funktioniert – sehr vereinfacht gesprochen – das Internet. Natürlich gibt es zahlreiche Mechanismen, die dafür sorgen, das für die Nutzer möglichst sicher zu gestalten; für die Erzeugung kryptografischer Schlüssel ist ein Webbrowser aus einer Reihe von Gründen aber trotzdem nicht der beste Ort. „Sicher ist das nicht“, sagt Atug. „Alles in allem sieht es so aus, als sei die Luca-App in einem Stadium in Produktion gegangen, in der man sie höchstens als Alpha-Version veröffentlichen hätte können. Dass jetzt nachträglich ein so wenig aussagekräftiges Sicherheitskonzept vorgestellt wurde, macht es nicht besser. Secure-by-Design war hier offenbar nicht der verfolgte Ansatz.“

Wirklich beurteilen lässt sich das noch nicht. Schlussendlich steht und fällt die Beurteilung von Luca mit der bevorstehenden Veröffentlichung des Quellcodes. Man könne eine nicht-quelloffene App theoretisch in ihrem Ist-Zustand reverse-engineeren und für gut und sicher befinden. Das könne sich mit dem nächsten Update aber wieder ändern, sagen Mitglieder von Zerforschung, eines Kollektivs, das sich mit dem Reverse-Engineering von Apps beschäftigt.

Die Veröffentlichung des Quellcodes ist demnach ein wichtiger Schritt.

Ein weiteres, großes Manko der App ist die bisher unzureichende Barrierefreiheit. Ein iPhone-Nutzer bemängelt, dass er es unter Verwendung der Voice-Over-Funktionalität nicht über die Startseite der App hinausschaffen würde. “Am Thema Barrierefreiheit sind wir dran“, sagt der Nexenio-CEO.

Problematisch ist auch die letztlich zentrale Speicherung aller Daten. Zwar werden diese laut Konzept auf ISO-27001-zertifizierten Servern innerhalb Deutschlands abgelegt, dezentral – ein Schlagwort, mit dem etwa der Landesbeauftragte für Informationsfreiheit und Datenschutz Baden-Württembergs, Stefan Brink, seine Empfehlung der App untermauert – ist das nicht.

Andere Politiker haben sich gegen einen bundesweiten Einsatz von Luca ausgesprochen. Die Euphorie einiger Kollegen finde sie angesichts der zentralen Speicherung personenbezogener Daten, der vollkommenen Intransparenz des gesamten Systems und der Aussicht auf einen Generalschlüssel für die Gesundheitsämter völlig unverständlich, schrieb Anke Domelscht-Berg, Bundestagsabgeordnete für Die Linke, am Dienstag in einem Thread auf Twitter.

Denkbar, dass der ab Ende März voraussichtlich mögliche Blick in den Code auch alle sonstigen Bedenken ausräumen wird. Bis es soweit ist, hat sich in Bezug auf eine Cluster-Erkennungsfunktion vielleicht auch bei der Corona-Warn-App etwas getan. Erst mit einem am Mittwoch veröffentlichten Update wurde deren Kontakt-Tagebuch-Funktion verbessert.

*Korrekturhinweis vom 12.03.2021: in einer früheren Version des Artikels wurde dieser Schlüssel missverständlich als Generalschlüssel bezeichnet.