Luca App: Datenschutzexperten warnen – Entwickler reagieren
Das Luca-System sei sicher und transparent und werde auch niemandem aufgezwungen, sagte Patrick Hennig, Geschäftsführer der Culture4Life GmbH, die das Luca-System betreibt, am Freitag der Deutschen Presse-Agentur. Damit reagierte er auf die zunehmende Kritik an der Anwendung.
In einer gemeinsamen Stellungnahme hatten 70 deutsche Sicherheitsexperten kritisiert, dass die mit dem Luca-System verbundenen Risiken viel höher seien als der zu erwartende Nutzen. Luca erfasse in großem Umfang Bewegungs- und Kontaktdaten, die zentralisiert bei einem Privatunternehmen gesammelt und gespeichert werden. „Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks“, schreiben die Experten von zahlreichen deutschen Hochschulen.
Hennig sagte, Luca sei ein System, das über zentrale Strukturen Daten austauscht. „Davon gibt es aber in Deutschland ganz viele. Das Finanzsystem, jedes Gesundheitsamt, jede Gesundheitsakte, alle diese Systeme haben zentrale Strukturen.“ Wichtig dabei sei aber, dass sie abgesichert seien. „Bei Luca sind über eine umfassende dezentrale Verschlüsselung keinerlei Daten durch eine einzige Partei lesbar.“
Dagegen glauben die Wissenschaftler nicht, dass das Luca-System wirkungsvoll geschützt werden kann. „Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele.“ Selbst große Unternehmen seien nicht in der Lage, solche Systeme vollständig zu sichern. „Es ist nicht zu erwarten, dass dies einem Startup, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte.“
App vielerorts im Einsatz
Die Luca-App, für die unter anderem der Hip-Hop-Sänger Smudo von den „Fantastischen Vier“ geworben hatte, kommt in vielen Bundesländern bereits zum Einsatz. Nur Thüringen, Sachsen und Nordrhein-Westfalen setzen das System nicht landesweit ein. In NRW testen allerdings die Gesundheitsämter in 27 von 53 Landkreisen das System.
Henning widersprach der Behauptung, das Luca-System werde von den Behörden bislang kaum genutzt. Aktuell seien 291 Gesundheitsämter angeschlossen. „Dort, wo Leben stattfindet, wird es oft benutzt. Luca ist ein System für die Zeit nach dem Lockdown. Wenn Restaurants wieder öffnen können, Kultur-Events wieder stattfinden und Besuche in Pflegeheimen wieder möglich sind. Vorher kann Luca nur vorbereitend aktiv sein.“
Die Sicherheitsforscher setzten sich in ihrer Erklärung dafür ein, auf die Luca-App zu verzichten und stattdessen „dezentrale, sichere Systeme wie die Corona-Warn-App oder Notifyme in der Schweiz zur Benachrichtigung von Nutzern“ zu verwenden. Bei diesen Anwendungen werden die Nutzerinnen und Nutzer anonym erfasst, nicht mit ihren Kontaktdaten.
Hennig betonte dagegen, die Gesundheitsämter seien auf die konkreten Kontaktdaten angewiesen, um die Infektionsketten effizient zu unterbrechen. „Kein Gesundheitsamt würde sagen, wir benötigen keine Kontaktdaten mehr.“ Deswegen verlangten die Infektionsschutzverordnungen aus einem guten Grund die Erfassung der Daten. „Die Bürgerinnen und Bürger akzeptieren das auch, weil sie das Gefühl haben, was Sinnvolles zu tun, sich aktiv an der Bekämpfung der Pandemie zu beteiligen. Sie können dem Gesundheitsamt, nur dann wenn notwendig, Daten zur Verfügung stellen, die helfen, diese Pandemie irgendwann mal ein stückweit in den Griff zu kriegen.“ dpa