Trotz Sicherheitsbedenken: Berliner Senat hält an Luca-App fest

In Berlin soll die Luca-App trotz Hinweisen auf Sicherheitsprobleme für die Corona-Kontaktnachverfolgung zum Einsatz kommen. Die Luca-App sei in vielen Ländern und Kommunen in Deutschland erfolgreich im Einsatz, teilte Senatssprecherin Melanie Reinsch am Mittwoch auf Anfrage mit.

„Sofern Mängel benannt werden, geht der Senat diesen selbstverständlich nach. Der Entwickler hat dazu bereits Stellung genommen und Nachbesserungen vorgenommen oder angekündigt.“ Ende der Woche sollen den Angaben nach in Berlin alle Gesundheitsämter technisch an das Luca-System angeschlossen sein.

„Aufgrund der aktuellen Pandemieentwicklung bestand und besteht hier nicht die Möglichkeit, langwierige Prüfverfahren und Erprobungen vor Nutzung technischer Lösungen vorzuschalten“, so die Senatssprecherin.

Aufgrund der dringenden Notwendigkeit, eine elektronische Kontaktnachverfolgung mit Schnittstellen zu den Gesundheitsämtern zu ermöglichen, habe sich der Senat wie viele andere Landesregierungen nach Prüfung der Leistungsspektren der am Markt verfügbaren Angebote für die Luca-App entschieden.

[Wenn Sie alle aktuellen Entwicklungen zur Coronavirus-Pandemie live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Berlins Regierender Bürgermeister Michael Müller (SPD) hatte sich bereits Mitte März für die Einführung der App in der Hauptstadt ausgesprochen und kurz darauf bestätigt, dass Berlin für die Lizenz gut 1,1, Millionen Euro gezahlt habe.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk hatte am vergangenen Freitag im Tagesspiegel auf datenschutzrechtliche Probleme hingewiesen. Die Entwickler hatten Smoltczyks Bedenken vehement widersprochen.

Am Mittwoch teilte sie auf Anfrage mit: Es überrasche sie nicht, dass die geäußerten Bedenken wegen der beträchtlichen datenschutzrechtlichen Risiken beim Betrieb der App vom Chaos Computer Club geteilt würden.

„Wir bleiben daher auch bei unserer Einschätzung, dass eine genauere Überprüfung der App im Vorfeld der Anschaffung wünschenswert gewesen wäre“, sagte Smoltczyk. „So hätte auch für andere Anbieter oder Stellen und gegebenenfalls auch durch bereits bestehende Systeme wie die Corona-Warn-App die Möglichkeit bestanden, Wege zur Kontaktnachverfolgung datenschutzfreundlich zu gestalten.“

Die europäische Hackervereinigung Chaos Computer Club (CCC) hat inzwischen gefordert, keine Steuermittel mehr für die App zur Corona-Kontaktnachverfolgung auszugeben. Club-Sprecher Linus Neumann verwies am Mittwoch auf eine „nicht abreißende Serie von Sicherheitsproblemen“ bei dem Luca-System.

Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind. „Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren“, kritisierte Neumann. Er verwies dabei auf Recherchen, die im Netz unter dem Titel „Lucatrack“ veröffentlicht wurden.

Entwickler wollen Sicherheitslücke behoben haben

Der Entwickler der App, das Berliner Start-up neXenio, räumte ein, „dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten“. „Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.“

Die Macher der Luca-App empfahlen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen „böswilligen Missbrauch zu vermeiden“.

[Behalten Sie den Überblick: Jeden Morgen ab 6 Uhr berichten Chefredakteur Lorenz Maroldt und sein Team im Tagesspiegel-Newsletter Checkpoint über die aktuellsten Entwicklungen rund um das Coronavirus. Jetzt kostenlos anmelden: checkpoint.tagesspiegel.de]

Die Luca-App, für die unter anderem Hip-Hop-Sänger Smudo von den „Fantastischen Vier“ geworben hatte, wird in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg aus Steuermittel finanziert.

Die eingesetzten Mittel summieren sich nach Recherchen des Portals Netzpolitik.org auf insgesamt 20 Millionen Euro. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Der Chaos Computer Club forderte ein „umgehendes Moratorium“ beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten durch den Bundesrechnungshof überprüft werden. (dpa)