Anzeige
Anzeige
Feature
Artikel merken

Eine App für ein Stück Normalität: Die Luca-App wird Open Source

Die Luca-App soll Restaurant- und Eventbesuche wieder möglich machen. Datenschützer zeigten sich wenig begeistert. Jetzt haben die Köpfe hinter Luca reagiert: Bereits Ende März soll das System Open Source werden.

6 Min. Lesezeit
Anzeige
Anzeige

Luca-App: An einigen Punkten muss noch nachgebessert werden. (Foto: Zigres / Shutterstock)

Die Fantastischen Vier haben schon eine Menge cooler Sachen auf die Beine gestellt. Sie gelten als Urväter des deutschen Hiphops, ihre Alben haben mittlerweile Klassikerstatus und überhaupt mag eigentlich jede*r die Schwaben. Fun-Fact: Angefangen haben die Fantas als Programmierduo. Momentan sind die Hiphopper vor allem wegen ihrer Mitwirkung an einer App im Gespräch. Luca heißt sie. Sie wird, spätestens seit Smudo sie in der ARD-Talkshow „Anne Will“ vorgestellt hat, als wertvolle Ergänzung zur Corona-Warn-App gehandelt. Die steht seit Einführung in der Kritik. Ein häufig angeführter Punkt: Sie helfe nicht effizient genug bei der Kontaktrückverfolgung. Aufgrund von Mechanismen, die den umfassenden Schutz der persönlichen Daten der Nutzer gewährleisteten, ist es der App nicht möglich, sogenannte Infektionscluster – Begegnungen, bei denen sich viele Menschen auf einmal anstecken – zu erkennen. Im Gespräch war die nachträgliche Implementierung der Funktionalität für die Corona-Warn-App schon vor Monaten, passiert ist das bisher nicht.

Anzeige
Anzeige

Jetzt sieht es danach aus, als sollten private Anbieter die Lücke schließen. Klarer Favorit ist die Luca-App. Dahinter steht neben der Culture4life GmbH der Fantas auch ein Berliner Startup namens Nexenio, eine Ausgründung des Hasso-Plattner-Instituts. Deren Produkt könnte jetzt bundesweit von den Gesundheitsämtern eingesetzt werden. Erst am Donnerstag erklärte der nordrheinwestfälische Ministerpräsident Armin Laschet (CDU), Bund und Länder wollten sich noch in der zweiten März-Woche für den bundesweiten Einsatz einer weiteren App entscheiden.  Mecklenburg-Vorpommern gab bereits am Samstag bekannt, eine Lizenz für Luca erworben zu haben. Wenn es nach Vizekanzler Olaf Scholz geht, ist der bundesweite Luca-Einsatz beschlossene Sache.

Mit einer App gegen das Zettelchaos

Entworfen wurde Luca, genau wie andere, vergleichbare Ansätze, um den Prozess der Datenangabe bei einem Restaurant-, Bar- oder Eventbesuch zu digitalisieren. Weg von der Zettelwirtschaft, hin zu einer digitalen Lösung, die die Nutzer vor Datenmissbrauch durch Veranstalter, Gastronomen oder Dritte schützen, die Weitergabe falscher Daten unterbinden – das klappt offenbar noch nicht ganz gut, mit ein paar Programmierkenntnissen soll sich die Verifizierung ganz einfach umgehen lassen – und das Gesundheitsamt entlasten soll. Die App funktioniert über QR-Codes, über die sich Besucher bei einem Eventbesuch ein- und wieder auschecken können. In Infektionsfall geben Nutzer ihre Besuchshistorie frei. Das Gesundheitsamt kann die Daten entschlüsseln und schnell und einfach alle Kontaktpersonen informieren.

Anzeige
Anzeige

Laut Website völlig sicher

Laut Website ist das völlig sicher, die Daten werden auf ISO-27001-zertifizierten Servern innerhalb Deutschlands gespeichert und niemand außer den Gesundheitsämtern soll Zugriff auf hinterlegte persönliche Daten oder die Besuchshistorie haben. Die Entscheidung, diese Daten zu teilen, obliege zudem vollständig den Nutzerinnen und Nutzern der Luca-App.

Anzeige
Anzeige

Lies auch: Open Source sei Dank – So fanden Experten eine Schwachstelle im Server der Corona-Warn-App

Luca ist bisher nicht Open Source – und soll es jetzt werden

Im Hinblick darauf, dass jetzt über den bundesweiten Einsatz Lucas abgestimmt werden soll, haben Datenschützer mehrere Punkte bemängelt. Einer davon: Die Luca-App und das gesamte Backend sind im Unterschied zur Corona-Warn-App bisher nicht Open Source. Das heißt, der Quellcode ist für niemanden einsehbar. Das soll sich jetzt ändern. Bereits Ende März sei geplant, die App zu open-sourcen, twitterte der offizielle Account am Mittwochabend. Zu der Entscheidung habe unter anderem der Dialog mit Experten und Kritikern geführt.

Anzeige
Anzeige

Noch am Dienstag hatte sich Patrick Hennig, CEO der Nexenio GmbH, gegenüber t3n eher vage zum Thema Open Source geäußert:  „Wir haben das System ja bisher komplett selbst finanziert und sind gerade dabei in einigen Patentverfahren.“ Die Möglichkeit, „dass wir die App Open Source stellen können“, sehe er aber durchaus. „Ein Open-Source-Projekt braucht Community-Management, das kostet ja auch Ressourcen“, deshalb habe man sich am Anfang zunächst gegen die Veröffentlichung als Open-Source-Projekt entschieden, sagte er. Immerhin sei das Sicherheitskonzept am Montag veröffentlicht worden.

Zu finden ist das Konzept auf GitHub und über die Luca-Website. Das GitHub-Repository ist Open Source und nach Angaben der Verfasser als „Work in Progress“ zu betrachten. Auf GitHub habe man das Dokument veröffentlicht, um sich der Community zur Mitarbeit zu öffnen, sagt Hennig. Ein richtiges kryptografisches Konzept findet sich dort laut Experten aber nicht. „Das Sicherheitskonzept ist so High-Level, damit kann die Community eigentlich kaum etwas anfangen“, sagte Manuel Atug, IT-Sicherheitsexperte bei HiSolutions. Es fehlten konkrete, detaillierte Angaben zu den eingesetzten kryptografischen Verfahren und Algorithmen. Zum Beispiel sei der Umgang mit sogenannten kryptografischen Schlüsseln nicht hinreichend beschrieben. Key-Management wird das auch genannt. Laut Atug fehlen beispielsweise Angaben über die Erzeugung und Verwendungsdauer der Schlüssel, deren Länge, oder wie und wann sie archiviert, ersetzt, vernichtet und im Notfall ausgetauscht würden.

Ein Auszug des Sicherheitskonzept der Luca-App. Es ist nach Einschätzung von Experten nicht aussagekräftig. (Screenshot: github1s/t3n)

Unsichere Schlüssel für die Gesundheitsämter

Neben der Forderung nach einem Whitepaper und der Offenlegung des Quellcodes fordern Datenschützer, dass nur Daten erhoben werden sollten, die zum Betrieb des Dienstes zwingend notwendig sind. Zugriff auf personenbezogene Daten dürfen nur die Gesundheitsämter in einem Infektionsfall erhalten. Einen Generalschlüssel zum Zugriff auf alle Daten darf es nicht geben. Laut Luca-Sicherheitskonzept verfügen die Gesundheitsämter aber mindestens über einen Schlüssel zum Abrufen der Daten aller Kontaktpersonen im Fall einer gemeldeten Infektion*:

Anzeige
Anzeige

Im Fall eines positiven Covid-19-Tests schickt die Luca-App laut eigener Angaben alle relevanten Check-Ins des Nutzers, zusammen mit den IDs der von diesem Nutzer besuchten Lokalitäten und eines Timestamps an den Luca-Server. Alle betreffenden Betreiber und Veranstalter werden von der Luca-App aufgefordert, die Check-In-Datensätze aller Luca-Nutzer, die zur selben Zeit wie die infizierte Person am Veranstaltungsort waren, auf den Luca-Server hochzuladen. Das Gesundheitsamt kann diese verschlüsselten Datensätze dann entschlüsseln und alle Kontaktpersonen kontaktieren.

Erzeugt werden diese Schlüssel offenbar im Frontend der Applikation, die den Mitarbeitern des an Luca angebundenen Gesundheitsamtes zur Verfügung steht. Diese greifen über den Browser darauf zu. Das Problem: Ein Browser ist quasi eine Sandbox, entworfen, um Inhalte dynamisch von einem Server zu laden und auszuführen. So funktioniert – sehr vereinfacht gesprochen – das Internet. Natürlich gibt es zahlreiche Mechanismen, die dafür sorgen, das für die Nutzer möglichst sicher zu gestalten; für die Erzeugung kryptografischer Schlüssel ist ein Webbrowser aus einer Reihe von Gründen aber trotzdem nicht der beste Ort. „Sicher ist das nicht“, sagt Atug. „Alles in allem sieht es so aus, als sei die Luca-App in einem Stadium in Produktion gegangen, in der man sie höchstens als Alpha-Version veröffentlichen hätte können. Dass jetzt nachträglich ein so wenig aussagekräftiges Sicherheitskonzept vorgestellt wurde, macht es nicht besser. Secure-by-Design war hier offenbar nicht der verfolgte Ansatz.“

Wirklich beurteilen lässt sich das noch nicht. Schlussendlich steht und fällt die Beurteilung von Luca mit der bevorstehenden Veröffentlichung des Quellcodes. Man könne eine nicht-quelloffene App theoretisch in ihrem Ist-Zustand reverse-engineeren und für gut und sicher befinden. Das könne sich mit dem nächsten Update aber wieder ändern, sagen Mitglieder von Zerforschung, eines Kollektivs, das sich mit dem Reverse-Engineering von Apps beschäftigt.

Anzeige
Anzeige

Die Veröffentlichung des Quellcodes ist demnach ein wichtiger Schritt.

Nicht barrierefrei

Ein weiteres, großes Manko der App ist die bisher unzureichende Barrierefreiheit. Ein iPhone-Nutzer bemängelt, dass er es unter Verwendung der Voice-Over-Funktionalität nicht über die Startseite der App hinausschaffen würde. “Am Thema Barrierefreiheit sind wir dran“, sagt der Nexenio-CEO.

Zentrale Speicherung der Daten

Problematisch ist auch die letztlich zentrale Speicherung aller Daten. Zwar werden diese laut Konzept auf ISO-27001-zertifizierten Servern innerhalb Deutschlands abgelegt, dezentral – ein Schlagwort, mit dem etwa der Landesbeauftragte für Informationsfreiheit und Datenschutz Baden-Württembergs, Stefan Brink, seine Empfehlung der App untermauert – ist das nicht.

Anzeige
Anzeige

Andere Politiker haben sich gegen einen bundesweiten Einsatz von Luca ausgesprochen. Die Euphorie einiger Kollegen finde sie angesichts der zentralen Speicherung personenbezogener Daten, der vollkommenen Intransparenz des gesamten Systems und der Aussicht auf einen Generalschlüssel für die Gesundheitsämter völlig unverständlich, schrieb Anke Domelscht-Berg, Bundestagsabgeordnete für Die Linke, am Dienstag in einem Thread auf Twitter.

Denkbar, dass der ab Ende März voraussichtlich mögliche Blick in den Code auch alle sonstigen Bedenken ausräumen wird. Bis es soweit ist, hat sich in Bezug auf eine Cluster-Erkennungsfunktion vielleicht auch bei der Corona-Warn-App etwas getan. Erst mit einem am Mittwoch veröffentlichten Update wurde deren Kontakt-Tagebuch-Funktion verbessert.

*Korrekturhinweis vom 12.03.2021: in einer früheren Version des Artikels wurde dieser Schlüssel missverständlich als Generalschlüssel bezeichnet.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Jonas

Das Abenteuer Open-Source begann mit einer der seltsamsten Lizenzen, die man hierzu gesehen hat:
https://gitlab.com/lucaapp/android/-/blob/f03c6024bf87a773d6c299b1622d76136e73e0ec/LICENSE
Geht weiter damit, dass im PlayStore gerade Version 1.4.12 released ist und im besagten Repo aktuell eine nicht reproduzierbare Version 1.6.1 herum liegt und die Komponenten jenseits der Android-App wie vor allem die Serveranwendung nicht quelloffen zur Verfügung stehen. Open Source geht echt anders.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige