In den letzten zweieinhalb Monaten musste ich wieder und wieder meine klare Position zur „Luca“-App verteidigen. Dabei habe ich mittlerweile so ziemlich jedes Argument gehört und mein Bestes geben, es zu widerlegen. In diesem Blogpost mache ich meine Ausführungen aus zahlreichen E-Mails, Mitschriften und Protokollen öffentlich. Vielleicht dienen sie dem ein oder der anderen als Entscheidungshilfe (gegen die „Luca“-App).

Auszüge aus einer E-Mail vom 9. April

1: Zwar schreiben die Betreiber*innen der Luca-App von einem dezentralen System (drei Schnittstellen, die jeweils Schlüssel austauschen), jedoch erfüllt dies nicht die notwendige Bedingung für ein dezentrales System, die lautet: Die Betreiber*innen können die Schlüssel weder sehen, noch ändern. Aktuelle Fälle zeigen, dass die Betreiber sehr wohl dazu in der Lage sind, zentral einzugreifen. Da die Betreiber*innen den Quellcode ihrer Server-Applikation nie veröffentlicht haben (auch nicht unter wilder, erfundener Lizenz), haben wir keine Chance, auszuschließen, dass die Schlüssel zentral in irgendeiner halbwegs (un-)sicheren Datenbank rumliegen.

Frage 2: Bei der Rufnummer-Verifikation lief zuletzt einiges schief. Entgegen jedes Basiswissens „Sicherheitsprüfung“ wurden die Nummern bei der Registrierung im Web-Browser nur clientseitig geprüft. Mit ein bisschen Tricksen im Javascript konnte man sich mit jeder Nummer registrieren. Insofern haben es die Luca-Betreiber*innen nicht einmal geschafft, ihr zentrales Versprechen, die Telefonnummern als sicheren Verifikationsfaktor zu nutzen, zu erfüllen.

Insgesamt sollte nochmal betont werden, dass die Corona-Warn-App in Kürze eine sichere, einfache und vor allem preislich zuverlässige (siehe Frage 3) Implementierung von Check-ins erhält. Völlig idiotisch ist dabei, dass diese Implementierung nicht mit den aktuellen Landesverordnungen vereinbar ist, die die Speicherung und Prüfung von Kontaktdaten verlangen.

Facebook-Post vom 14. April

Was bei der “Luca”-App gerade passiert, ist ein Armutszeugnis für die deutsche Politik und alle Bestrebungen in Richtung Digitalisierung. Da bezahlen Bundesländer teils mehrere Millionen für eine bislang völlig unerprobte App, die einzig und allein Marketing kann. In allem anderen ist das Produkt miserabel. Ausschreibung? Fehlanzeige. Ist ja eine Sondersituation.

Auszüge aus einer E-Mail vom 22. Mai

Vor wenigen Tagen ist eine Studie der Oxford University erschienen, in der die Effektivität der britischen Corona-Warn-App modelliert und statistisch abgeschätzt wird (Paper anbei). Die britische Warn-App basiert wie die deutsche Corona-Warn-App auf dem vom Google Apple Exposure Notification system (GAEN) und ist somit mit ihr vergleichbar. Das Ergebnis: Für jeden weiteren Prozent der Bevölkerung, der die offizielle App nutzt, können die Infektionszahlen zwischen 0,8 Prozent (Modell) und 2,3 Prozent (statistische Analyse) reduziert werden:

Ähnliche Auswertungen für die deutsche Corona-Warn-App stehen zwar noch aus, dürften jedoch ähnlich aussehen. Das hieße auch: Durch die massive Bewerbung eines Konkurrenten, der nicht an das dezentrale und schnelle GAEN angebunden ist, haben wir dem eigentlichen Ziel – der Eindämmung des Viruses – eher geschadet, da die Corona-Warn-App nur noch als gleichwertiger Konkurrent zu „Luca“ oder gar als unnütz wahrgenommen wurde. Richtig ist: In diesem einen Fall – dem Contact Tracing – wäre ein Monopol auf eine dezentrale App nicht nur sinnvoll, sondern dringend notwendig gewesen. (Bei einer zentralen App sieht das wiederum anders aus, da die Daten zwischen den zentralen Einheiten „austauschbar“ sind.)

„Luca“ ist ein Klotz am Beine der Corona-Warn-App, die – durch schnelle und direkte Warnungen an Kontaktpersonen – effektiv Infektionen verhindern kann. Das bedeutet, wir sollten doch darüber nachdenken, die „Luca“-App rückabzuwickeln. In jedem Fall sollten wir allerdings Druck auf die Verwaltung aufbauen, die Corona-Warn-App ähnlich prominent zu bewerben.

Auszüge aus einer E-Mail vom 26. Mai

Noch am Dienstag letzter Woche habe ich dieses Szenario theoretisch beschrieben. „Luca“ enttäuscht wieder nicht, denn mittlerweile ist die Schwachstelle praktisch vorgeführt. Mehr dazu: hier.

Auszüge aus einer weiteren E-Mail vom 26. Mai

Bei der Fraktionssitzung vor einer Woche habe ich mögliche CSV-Injections noch als theoretisches Szenario erklärt. Heute zeigt sich, sie sind möglich und die Folgen fatal:

Die „Luca“-Schnittstelle sollte schnellstmöglich vom Gesundheitsamt deaktiviert werden.

Auszüge aus einer Mitschrift vom 26. Mai

Die Debatte erinnert mich an ein bekanntes Schema in der Wissenschaftskommunikation. Expertise wird kleingeredet, politische Meinungen und wissenschaftliche Erkenntnis auf einer Ebene betrachtet.Ähnlich läuft es in der Klimaforschung oder zuletzt mit der Epidemiologie.

Verantwortlich mache ich dafür vor allem die Landesregierungen und Landkreise, die dieses offensichtlich unsichere Systeme bis heute bewerben. Einsicht herrscht keine, stattdessen weist man von oben das politisch nicht unabhängige BSI an, eine Prüfung durchzuführen, die wundersam bescheinigt: alles halb so wild. Zwei Tage später dann das.

Twitter-Thread vom 10. Juni

Der Rheingau-Taunus-Kreis hat Stadt Eltville 500 Schlüsselanhänger für Luca zur Verfügung gestellt. Vor zwei Monaten wurden massive Sicherheitslücken im Zusammenhang mit den Luca-Anhängern bekannt. Die App steht seit Monaten in der Kritik.

Für mich ist es unverständlich, für eine kommerzielle Lösung, die sich als derart unsicher erwiesen hat, weiter Steuermittel auszugeben. Die CWA ermöglicht schnellere und effektivere Kontakt-Benachrichtigungen.

Auszüge aus einer E-Mail vom 15. Juni

Insgesamt könnten etwa 100.000 Infektionen durch die dezentralen Warnungen verhindert worden sein.

Zentraler Satz aus der jetzt erfolgten Evaluation: „Den Beitrag, den die CWA zur Eindämmung leistet, schätzt das RKI in etwa so hoch ein wie den aller Gesundheitsämter gemeinsam.“

Ich hatte auf diesen Aspekt transferierend aus der Oxford-Studie zur britischen CWA bereits hingewiesen. Der Nutzen der CWA ist immens und steigt mit jedem weiterer Nutzer.

Auszüge aus einer weiteren E-Mail vom 15. Juni

Ja, die „Luca“-App hat mittlerweile zahlreiche Nutzer*innen. Das macht die App jedoch weder sicher, noch gut und nützlich. Getreu dieser Argumentation könnte ich entgegnen, dass die CWA mit 27 Millionen Downloads weit akzeptierter ist.

Dass Du immer wieder betonst, die CWA sei weniger nützlich, weil sie nicht an die Gesundheitsämter angeschlossen ist, zeugt von einem fundamentalen Missverständnis. Die CWA soll gar nicht an die Gesundheitsämter angeschlossen werden. Der Sinn einer dezentralen Lösung ist, dass diese ohne zentrale Instanz funktionieren kann. Die Kontaktverfolgung funktioniert folglich ohne die Gesundheitsämter. Dadurch ist die Kontaktverfolgung nicht nur schneller und sicherer, sondern auch ökonomischer. Auch diesen Aspekt habe ich mehrfach dezidiert beschrieben (u. a. in meiner E-Mail vom 22. Mai 2021). Ich kann mich leider an keine argumentative Erwiderung dazu erinnern (außer den Verweis auf die Anzahl von Nutzer*innen).

Der digitale Impfpass wird im Übrigen ebenfalls über die CWA gesichert. Hinsichtlich der Speicherung in „Luca“ werden auch hier wieder Sicherheitsbedenken geäußert. Diese hängen im Wesentlichen mit der o. g. Sicherheitslücke zusammen, die es ermöglicht, sich unter einer fremden Telefonnummer zu registrieren. Dadurch wäre es theoretisch möglich, den Impfpass einer anderen Person einzuspeichern. Das alles, obwohl die Betreiber von „Luca“ behaupten (namentlich: Smudo), die Sicherung des Impfpasses sei in ihrer App sicherer.

Was mich zu meinem letzten Punkt bringt: Den Kosten, die „Luca“ verursacht. Worauf basiert Deine Aussage die App sei für den RTK „kostenlos“? Der Kreis hat der Stadt Taunusstein 800 kostenpflichtige „Luca“-Anhänger zur Verfügung gestellt, in Eltville sind es 500 Exemplare. Auch Kiedrich gab bekannt, es habe Anhänger spendiert bekommen (ohne Anzahl). Die Preise für die Anhänger sind nicht öffentlich einsehbar, dürften jedoch in dieser Größenordnung weit über 1000 EUR liegen.

Der Kreis investiert folglich immer weiter in eine App-Lösung, für die es eine günstigere zentrale Alternative (Zettelwirtschaft) und ein effektivere dezentrale Alternative (CWA) gibt.

Mitschrift vom 16. Juni

Gestern hat das Verwaltungsgericht Osnabrück entschieden, dass der Landkreis Osnabrück die „Luca“-App nicht konkurrenzlos bewerben darf:

Zwar sei nicht jede staatliche Information, die Wettbewerbschancen von Unternehmen am Markt nachteilig verändere zugleich als Grundrechtseingriff zu bewerten. Die amtliche Information der Öffentlichkeit könne allerdings dann einen Eingriff darstellen, wenn sie direkt auf die Marktbedingungen konkreter Unternehmen ziele und so di Markt- und Wettbewerbssituation zum wirtschaftlichen Nachteil der betroffenen Unternehmen verändere.

Weiter heißt es:

In der Rubrik zur LUCA-App werde darüber hinaus deutlich gemacht, dass es vom Antragsgegner gewünscht sei, die LUCA-App flächendeckend und ausschließlich zu nutzen. Damit bleibe der Antragsgegner nicht neutral, sondern betreibe aktiv Werbung für die LUCA-App, die dadurch im Ergebnis eine Alleinstellung erhalte.

Interessant ist in diesem Zusammenhang, dass der Rheingau-Taunus-Kreis nicht mehr auf seiner Startseite für die „Luca“-App wirbt. Bis zuletzt befand sich dort ein prominent platziertes Banner, das einzig auf die „Luca“-App hinwies (auch nicht auf die CWA). Ein Bildschirmfoto dieses Banners habe ich meinem KT-Antrag als Anhang beigefügt. Auch über Archive.org lässt sich die Seite noch mit dem Werbe-Banner aufrufen.

In einem bis heute einsehbaren Info-Text des Landkreises heißt es zudem:

Damit dieses System erfolgreich arbeiten kann, ist es wichtig, dass möglichst viele Bürgerinnen und Bürger die App frühzeitig nutzen. So können zusätzliche Erfahrungen zum Einsatz gesammelt werden, die für die zukünftigen Entwicklungen wertvoll sein können.

Das könnte im Sinne des Verwaltungsgerichts Osnabrück als aktive Werbung für die „Luca“-App aufgefasst werden.

Mitschrift vom 18. Juni

Der tatsächliche Nutzen der durch die „Luca“-App erfassten Kontakte bleibt zweifelhaft. Zuletzt wies der NDR darauf hin, dass die Städte und Landkreise noch unsicher seien, was die Nützlichkeit der Daten angeht: „Dieser Weg wurde laut NDR Recherchen bislang nahezu gar nicht genutzt. Die Kommunen sind offenbar noch unsicher, wie gut sie die digitalen Daten nutzen können.“

Twitter-Thread vom 18. Juni

Nun ist es raus: Der Rheingau-Taunus-Kreis hat insgesamt 6.100 Schlüsselanhänger für Luca angeschafft. Anschließend wurden die Anhänger an die Städte und Gemeinden verschenkt.

Preislich liegen die Anhänger bei 0,25 EUR exklusive Mehrwertsteuer. Das macht inklusive Mehrwertsteuer dann 0,2975 EUR. Bei 6100 Anhängern entspricht dies mindestens 1814,75 EUR.

In einer weiteren Pressemitteilung der Kreisverwaltung wirbt sie erneut vorrangig für „Luca“: „Für die Kontaktdatenerfassung kann seit Ende März bereits kreisweit die Luca App verwendet werden, aber auch über die Corona-Warn-App kann eingecheckt werden.“

E-Mail vom 20. Juni

Die CSV-Injection-Sicherheitslücke ist weiter offen. Nexenio konnte die Lücke wohl doch nie richtig schließen. Damit sind die Gesundheitsämter wieder angreifbar. Der Sicherheitsexperte und Entdecker der Lücke Marcus Mengs spricht auf Twitter von einer „Vielzahl an Verschlimmerbesserungen“, die Nexenio betreibe.

Marcus Mengs musste deswegen seine ausführliche Dokumentation zu den Auffälligkeiten abbrechen (dennoch sehr informativ).

Ergänzung des Berichtsantrags am 26. Juni

Nach der CSV-Injection-Lücke und der Beschluss des Verwaltungsgerichts Osnabrück ergänze ich meinen Berichtsantrag um drei Fragen und füge denen einen ausführliche fast eineinhalbseitige Begründung bei. Besser spät als nie, denn am Dienstag (29. Juni) tagt der Kreistag und soll über den Antrag entscheiden.

Mitschrift vom 27. Juni

Baden-Württemberg führt in seiner neuen Coronaschutzverordnung eine De-facto-Pflicht für die „Luca“-App ein. Alle genannten technischen Details klingen wie aus der Werbebroschüre von Nexenio.

Eva Wolfangel merkt auf Twitter richterweise an, dass einige Begriffe interpretationsbedürftig sind.


Sommerpause (genug passiert ist allemal)


Blogpost vom 23. August

Am 27. Juni aktualisierte ich zuletzt meine Luca-Chronik. Zwei Monate später ist klar: Luca ist ein Millionengrab und völlig nutzlos in der Pandemie-Bekämpfung.

Der SPIEGEL hat über 200 der knapp 400 Gesundheitsämter zu Luca befragt. Das Ergebnis ist ernüchternd: Nur die Hälfte der 114 Gesundheitsämter mit Luca-Anbindung hat überhaupt schon mal Daten von Luca abgefragt. 86 Gesundheitsämter antworteten detailliert auf die Fragen des SPIEGEL. Summa summarum sollen die Luca-Daten in nur 130 Fälle nützlich gewesen sein.

Zur Erinnerung: Die App wurde von 13 Bundesländern für insgesamt 21,3 Millionen Euro lizensiert. Trivial gerechnet bedeutet das 163.846 Euro je nachverfolgbarem Fall.

Zudem berichtet die SPIEGEL über eine steigenden Zahl von Beschwerden der örtlichen Gesundheitsämter:

Aus dem Main-Taunus-Kreis heißt es, der Nutzen stehe »in keinem Verhältnis zum Aufwand für Einführung und Betrieb der App«.

In Berlin kam es vergangene Woche zu einem Krisentreffen wegen Luca. Dort behindert die nicht freigegebene Anbindung an Sormas die Arbeit. Die Sormas-Betreiber bemängeln den unzureichenden Datenschutz bei Luca. Nun müssen die Mitarbeiter*innen der Gesundheitsämter händisch alle Daten von Luca zu Sormas übertragen. Auf der Website von Luca heißt es noch, „abgerufene Daten können einfach in verschiedene Systeme übertragen werden (zum Beispiel SORMAS)“. Nichts da!

Berlins regierenden Bürgermeister Michael Müller hatte im März verkündet, er habe „die [App] jetzt bestellt“, „ohne dass ich […] mich mit den technischen Details auskenne“. Die Lizenz kostete das Land 1,2 Millionen Euro.

Auch die Stadt Weimar hat den Betrieb von Luca mittlerweile eingestellt. Weimar gehörte im Frühjahr zu den Modellregionen von Luca.

Ein Großteil der Luca-Daten sei unbrauchbar, heißt es. In der Süddeutsche Zeitung erklärte dies Max Muth wie folgt:

Oft stellt sich heraus, dass die Luca-Daten unbrauchbar sind, weil Betreiber zu große Flächen mit nur einem Check-in ausstatten, eine Infektion also eher unwahrscheinlich ist.

An dieser Stelle lohnt sich ein Blick zurück in den Mai. Damals schrieb ich mit Bezug zur Effektivität von Luca:

Luca ist ein Klotz am Bein der Corona-Warn-App, die – durch schnelle und direkte Warnungen an Kontaktpersonen – effektiv Infektionen verhindern kann. Das bedeutet, wir sollten doch darüber nachdenken, die Luca-App rückabzuwickeln. In jedem Fall sollten wir allerdings Druck auf die Verwaltung aufbauen, die Corona-Warn-App ähnlich prominent zu bewerben.

Diese Einschätzung hat sich mittlerweile bewahrheitet. Die 130 nachverfolgbaren Fälle von Luca stehen im Kontrast zu knapp 500.000 geteilten positiven Testergebnissen mit der Corona-Warn-App. Angenommen jede dieser Personen hatte zu vier weiteren Personen Kontakt, ergäben sich daraus vier Millionen dezentrale Warnungen über die Corona-Warn-App – ohne dass auch nur ein Gesundheitsamt Daten auswerten musste.

Tatsächlich geteilte positive Testergebnisse im Zeitverlauf seit Start der App

Was die Sicherheitsbedenken bei Luca angeht, hat Hessen mittlerweile eine tiefgehende Überprüfung der App beim Bundesamt für Sicherheit und Informationstechnik (BSI) angefragt. Diese wurde allerdings vom übergeordneten Bundesinnenministerium gestoppt. Da die Luca-Verträge von den Ländern abgeschlossen worden seien, sei das BSI nicht zuständig.

Das Millionengrab Luca war mehr Hindernis als Wunderwaffe im Kampf gegen die Pandemie. Jetzt gilt es zu verhindern, dass die PR-Ritter rund um Smudo weitere Millionen einsacken. Die Bundesländer sollten stattdessen überprüfen, ob Regressansprüche geltend gemacht werden können.

Kleine Anfrage vom 2. September

Aufgrund der unbefriedigenden Antwort auf meinen Berichtsantrag (25. Mai 2021) habe ich eine Kleine Anfrage an die Kreisverwaltung des Rheingau-Taunus-Kreises gestellt.

Dringlichkeitsantrag vom 11. September

Nach etlichen Gesprächen mit der Verwaltung, aber auch Expert*innen zu Luca, fordert unsere Fraktion in einem Dringlichkeitsantrag die Einführung des zentralen Gateways IRIS connect zugunsten der Abschaltung von Luca im Gesundheitsamt.

Pressemitteilung vom 15. September

Die GRÜNEN fordern die Einführung von IRIS Connect zur Kontaktnachverfolgung bei Corona-Infektionen und bringen dazu im Kreistag einen Dringlichkeitsantrag ein. IRIS soll dann im Gesundheitsamt des Rheingau-Taunus-Kreises die fehleranfällige Luca-Anbindung ablösen.

IRIS ist eine zentrale Schnittstelle für die Kontaktnachverfolgung. Das System kann die Daten aller gängigen „Corona-Apps“ zusammenführen. Somit können die Nutzerinnen und Nutzer frei entscheiden, ob sie beim Einchecken in geschützte Bereiche lieber Luca, die Corona-Warn-App oder eine andere App benutzen möchten. „IRIS ist effektiver als Luca und kann entscheidend dazu beitragen, die vierte Welle der Pandemie einzudämmen“, ist sich der Vorsitzende der grünen Kreistagsfraktion Günter Linke sicher. Auf Landesebene wurde die Einführung bereits beschlossen.

Gleichzeitig kann mit der Einführung von IRIS die sicherheitskritische Schnittstelle von Luca im Gesundheitsamt des Kreises abgeschaltet werden. Nach Einschätzung von Dominik Lawetzky, dem Digitalexperten der grünen Kreistagsfraktion, ist Luca mit „eklatanten Mängeln“ behaftet und stellt „ein erhebliches Risiko nicht nur für den Schutz der persönlichen Daten seiner Nutzerinnen und Nutzer, sondern auch für die IT-Sicherheit des Kreises dar“. Das hatten auch Überprüfungen durch den Chaos Computer Club ergeben. Die Kritik an Luca riss deshalb nicht ab und war auch der Grund mehrerer Anfragen der Grünen im Kreistag.

„IRIS kann tatsächlich die Arbeit der Gesundheitsämter erleichtern, und zwar ohne Einbußen bei der IT-Sicherheit“, freut sich Lawetzky. Wichtig sei zudem, dass transparent gemacht werde, woher die Daten zur Kontaktpersonennachverfolgung stammen. Deshalb fordern die GRÜNEN eine entsprechende Statistik, die monatlich aktualisiert werden soll. Lawetzky betont: „Ein Fehler wie bei Luca soll sich nicht wiederholen.“

Das Original findet sich hier.