In den letzten zweieinhalb Monaten musste ich wieder und wieder meine klare Position zur Luca „Luca“-App verteidigen. Dabei habe ich mittlerweile so ziemlich jedes Argument gehört und mein Bestes geben, es zu widerlegen. In diesem Blogpost mache ich meine Ausführungen aus zahlreichen E-Mails, Mitschriften und Protokollen öffentlich. Vielleicht dienen sie dem ein oder der anderen als Entscheidungshilfe (gegen die „Luca“-App).

Dieser Blogpost wird laufend aktualisiert.

Hier geht es zu meinem Berichtsantrag gegenüber dem Kreisausschuss des Rheingau-Taunus-Kreises.

Auszüge aus einer E-Mail vom 9. April

Frage 1: Zwar schreiben die Betreiber*innen der Luca-App von einem dezentralen System (drei Schnittstellen, die jeweils Schlüssel austauschen), jedoch erfüllt dies nicht die notwendige Bedingung für ein dezentrales System, die lautet: Die Betreiber*innen können die Schlüssel weder sehen, noch ändern. Aktuelle Fälle zeigen, dass die Betreiber sehr wohl dazu in der Lage sind, zentral einzugreifen. Da die Betreiber*innen den Quellcode ihrer Server-Applikation nie veröffentlicht haben (auch nicht unter wilder, erfundener Lizenz), haben wir keine Chance, auszuschließen, dass die Schlüssel zentral in irgendeiner halbwegs (un-)sicheren Datenbank rumliegen.

Frage 2: Bei der Rufnummer-Verifikation lief zuletzt einiges schief. Entgegen jedes Basiswissens „Sicherheitsprüfung“ wurden die Nummern bei der Registrierung im Web-Browser nur clientseitig geprüft. Mit ein bisschen Tricksen im Javascript konnte man sich mit jeder Nummer registrieren. Insofern haben es die Luca-Betreiber*innen nicht einmal geschafft, ihr zentrales Versprechen, die Telefonnummern als sicheren Verifikationsfaktor zu nutzen, zu erfüllen.

Luca-App mit Datenschutzproblem
Durch eine Sicherheitslücke in der Luca-App können sich Benutzer ohne Verifizierung der Telefonnummer registrieren – fremde und frei erfundene Nummern sind möglich.

Insgesamt sollte nochmal betont werden, dass die Corona-Warn-App in Kürze eine sichere, einfache und vor allem preislich zuverlässige (siehe Frage 3) Implementierung von Check-ins erhält. Völlig idiotisch ist dabei, dass diese Implementierung nicht mit den aktuellen Landesverordnungen vereinbar ist, die die Speicherung und Prüfung von Kontaktdaten verlangen.

Facebook-Post vom 14. April

Was bei der "Luca"-App gerade passiert, ist ein Armutszeugnis für die deutsche Politik und alle Bestrebungen in Richtung Digitalisierung.Da bezahlen Bundesländer teils mehrere Millionen für eine bislang völlig unerprobte App, die einzig und allein Marketing kann. In allem anderen ist das Produkt miserabel. Ausschreibung? Fehlanzeige. Ist ja eine Sondersituation.

LNP385 Fümpf Blockchains!!!
Feedback — Digitaler Impfausweis — Luca vs. CrowdNotifierHeute dreht sich alles um Corona und wir konzentrieren uns - abgesehen vom Feedback – auf zwei Themenbereiche: die Ankündigungen der Bundesregierung zur technischen Implementierung des Digitalen Impfausweises und die Funktionsweise der Luca-A…

Auszüge aus einer E-Mail vom 22. Mai

Vor wenigen Tagen ist eine Studie der Oxford University erschienen, in der die Effektivität der britischen Corona-Warn-App modelliert und statistisch abgeschätzt wird (Paper anbei). Die britische Warn-App basiert wie die deutsche Corona-Warn-App auf dem vom Google Apple Exposure Notification system (GAEN) und ist somit mit ihr vergleichbar. Das Ergebnis: Für jeden weiteren Prozent der Bevölkerung, der die offizielle App nutzt, können die Infektionszahlen zwischen 0,8 Prozent (Modell) und 2,3 Prozent (statistische Analyse) reduziert werden:


Ähnliche Auswertungen für die deutsche Corona-Warn-App stehen zwar noch aus, dürften jedoch ähnlich aussehen. Das hieße auch: Durch die massive Bewerbung eines Konkurrenten, der nicht an das dezentrale und schnelle GAEN angebunden ist, haben wir dem eigentlichen Ziel – der Eindämmung des Viruses – eher geschadet, da die Corona-Warn-App nur noch als gleichwertiger Konkurrent zu „Luca“ oder gar als unnütz wahrgenommen wurde. Richtig ist: In diesem einen Fall – dem Contact Tracing – wäre ein Monopol auf eine dezentrale App nicht nur sinnvoll, sondern dringend notwendig gewesen. (Bei einer zentralen App sieht das wiederum anders aus, da die Daten zwischen den zentralen Einheiten „austauschbar“ sind.)

„Luca“ ist ein Klotz am Beine der Corona-Warn-App, die – durch schnelle und direkte Warnungen an Kontaktpersonen – effektiv Infektionen verhindern kann. Das bedeutet, wir sollten doch darüber nachdenken, die „Luca“-App rückabzuwickeln. In jedem Fall sollten wir allerdings Druck auf die Verwaltung aufbauen, die Corona-Warn-App ähnlich prominent zu bewerben.

Auszüge aus einer E-Mail vom 26. Mai

Noch am Dienstag letzter Woche habe ich dieses Szenario theoretisch beschrieben. „Luca“ enttäuscht wieder nicht, denn mittlerweile ist die Schwachstelle praktisch vorgeführt:

Ergänzend:

Genau dieses Angriffsszenario habe ich letzte Woche [...] skizziert. Manchmal will man nicht recht behalten …

Auszüge aus einer weiteren E-Mail vom 26. Mai

Bei der Fraktionssitzung vor einer Woche habe ich mögliche CSV-Injections noch als theoretisches Szenario erklärt. Heute zeigt sich, sie sind möglich und die Folgen fatal:

Die „Luca“-Schnittstelle sollte schnellstmöglich vom Gesundheitsamt deaktiviert werden.

Auszüge aus einer Mitschrift vom 26. Mai

Die Debatte erinnert mich an ein bekanntes Schema in der Wissenschaftskommunikation. Expertise wird kleingeredet, politische Meinungen und wissenschaftliche Erkenntnis auf einer Ebene betrachtet.Ähnlich läuft es in der Klimaforschung oder zuletzt mit der Epidemiologie.

Verantwortlich mache ich dafür vor allem die Landesregierungen und Landkreise, die dieses offensichtlich unsichere Systeme bis heute bewerben. Einsicht herrscht keine, stattdessen weist man von oben das politisch nicht unabhängige BSI an, eine Prüfung durchzuführen, die wundersam bescheinigt: alles halb so wild. Zwei Tage später dann das.

Twitter-Thread vom 10. Juni

Der Rheingau-Taunus-Kreis hat Stadt Eltville 500 Schlüsselanhänger für #Luca zur Verfügung gestellt. Vor zwei Monaten wurden massive Sicherheitslücken im Zusammenhang mit den Luca-Anhängern bekannt. Die App steht seit Monaten in der Kritik.

Für mich ist es unverständlich, für eine kommerzielle Lösung, die sich als derart unsicher erwiesen hat, weiter Steuermittel auszugeben. Die CWA ermöglicht schnellere und effektivere Kontakt-Benachrichtigungen.

IGTV vom 11. Juni

Auszüge aus einer E-Mail vom 15. Juni

Insgesamt könnten etwa 100.000 Infektionen durch die dezentralen Warnungen verhindert worden sein. Siehe:

RKI-Schätzung: Corona-Warn-App hat über 100.000 Infektionsketten unterbrochen
Laut Bundesgesundheitsministerium und RKI könnte die Kontaktnachverfolgung der Corona-Warn-App so erfolgreich gewesen sein wie die der Gesundheitsämter.

Zentraler Satz aus der jetzt erfolgten Evaluation: „Den Beitrag, den die CWA zur Eindämmung leistet, schätzt das RKI in etwa so hoch ein wie den aller Gesundheitsämter gemeinsam.“

Ich hatte auf diesen Aspekt transferierend aus der Oxford-Studie zur britischen CWA bereits hingewiesen. Der Nutzen der CWA ist immens und steigt mit jedem weiterer Nutzer.

Auszüge aus einer weiteren E-Mail vom 15. Juni

Ja, die „Luca“-App hat mittlerweile zahlreiche Nutzer*innen. Das macht die App jedoch weder sicher, noch gut und nützlich. Getreu dieser Argumentation könnte ich entgegnen, dass die CWA mit 27 Millionen Downloads weit akzeptierter ist.

Dass Du immer wieder betonst, die CWA sei weniger nützlich, weil sie nicht an die Gesundheitsämter angeschlossen ist, zeugt von einem fundamentalen Missverständnis. Die CWA soll gar nicht an die Gesundheitsämter angeschlossen werden. Der Sinn einer dezentralen Lösung ist, dass diese ohne zentrale Instanz funktionieren kann. Die Kontaktverfolgung funktioniert folglich ohne die Gesundheitsämter. Dadurch ist die Kontaktverfolgung nicht nur schneller und sicherer, sondern auch ökonomischer. Auch diesen Aspekt habe ich mehrfach dezidiert beschrieben (u. a. in meiner E-Mail vom 22. Mai 2021). Ich kann mich leider an keine argumentative Erwiderung dazu erinnern (außer den Verweis auf die Anzahl von Nutzer*innen).

Der digitale Impfpass wird im Übrigen ebenfalls über die CWA gesichert. Hinsichtlich der Speicherung in „Luca“ werden auch hier wieder Sicherheitsbedenken geäußert. Diese hängen im Wesentlichen mit der o. g. Sicherheitslücke zusammen, die es ermöglicht, sich unter einer fremden Telefonnummer zu registrieren. Dadurch wäre es theoretisch möglich, den Impfpass einer anderen Person einzuspeichern. Das alles, obwohl die Betreiber von „Luca“ behaupten (namentlich: Smudo), die Sicherung des Impfpasses sei in ihrer App sicherer.

Was mich zu meinem letzten Punkt bringt: Den Kosten, die „Luca“ verursacht. Worauf basiert Deine Aussage die App sei für den RTK „kostenlos“? Der Kreis hat der Stadt Taunusstein 800 kostenpflichtige „Luca“-Anhänger zur Verfügung gestellt, in Eltville sind es 500 Exemplare. Auch Kiedrich gab bekannt, es habe Anhänger spendiert bekommen (ohne Anzahl). Die Preise für die Anhänger sind nicht öffentlich einsehbar, dürften jedoch in dieser Größenordnung weit über 1000 EUR liegen.

Der Kreis investiert folglich immer weiter in eine App-Lösung, für die es eine günstigere zentrale Alternative (Zettelwirtschaft) und ein effektivere dezentrale Alternative (CWA) gibt.

Mitschrift vom 16. Juni

Gestern hat das Verwaltungsgericht Osnabrück entschieden, dass der Landkreis Osnabrück die „Luca“-App nicht konkurrenzlos bewerben darf: „Zwar sei nicht jede staatliche Information, die Wettbewerbschancen von Unternehmen am Markt nachteilig verändere zugleich als Grundrechtseingriff zu bewerten. Die amtliche Information der Öffentlichkeit könne allerdings dann einen Eingriff darstellen, wenn sie direkt auf die Marktbedingungen konkreter Unternehmen ziele und so die Markt- und Wettbewerbssituation zum wirtschaftlichen Nachteil der betroffenen Unternehmen verändere.“

Weiter heißt es: „In der Rubrik zur LUCA-App werde darüber hinaus deutlich gemacht, dass es vom Antragsgegner gewünscht sei, die LUCA-App flächendeckend und ausschließlich zu nutzen. Damit bleibe der Antragsgegner nicht neutral, sondern betreibe aktiv Werbung für die LUCA-App, die dadurch im Ergebnis eine Alleinstellung erhalte.“

Interessant ist in diesem Zusammenhang, dass der Rheingau-Taunus-Kreis nicht mehr auf seiner Startseite für die „Luca“-App wirbt. Bis zuletzt befand sich dort ein prominent platziertes Banner, das einzig auf die „Luca“-App hinwies (auch nicht auf die CWA). Ein Bildschirmfoto dieses Banners habe ich meinem KT-Antrag als Anhang beigefügt. Auch über Archive.org lässt sich die Seite noch mit dem Werbe-Banner aufrufen.

In einem bis heute einsehbaren Info-Text des Landkreises heißt es zudem: „Damit dieses System erfolgreich arbeiten kann, ist es wichtig, dass möglichst viele Bürgerinnen und Bürger die App frühzeitig nutzen. So können zusätzliche Erfahrungen zum Einsatz gesammelt werden, die für die zukünftigen Entwicklungen wertvoll sein können.“

Das könnte im Sinne des Verwaltungsgerichts Osnabrück als aktive Werbung für die „Luca“-App aufgefasst werden.

Mitschrift vom 18. Juni

Der tatsächliche Nutzen der durch die „Luca“-App erfassten Kontakte bleibt zweifelhaft. Zuletzt wies der NDR darauf hin, dass die Städte und Landkreise noch unsicher seien, was die Nützlichkeit der Daten angeht: „Dieser Weg wurde laut NDR Recherchen bislang nahezu gar nicht genutzt. Die Kommunen sind offenbar noch unsicher, wie gut sie die digitalen Daten nutzen können.“

Twitter-Thread vom 18. Juni

Ergänzung: Preislich liegen die Anhänger bei 0,25 EUR exklusive Mehrwertsteuer. Das macht inklusive Mehrwertsteuer dann 0,2975 EUR. Bei 6100 Anhängern entspricht dies mindestens 1814,75 EUR.

In einer weiteren Pressemitteilung der Kreisverwaltung wirbt sie erneut vorrangig für „Luca“: „Für die Kontaktdatenerfassung kann seit Ende März bereits kreisweit die Luca App verwendet werden, aber auch über die Corona-Warn-App kann eingecheckt werden.“

E-Mail vom 20. Juni

Die CSV-Injection-Sicherheitslücke ist weiter offen. Nexenio konnte die Lücke wohl doch nie richtig schließen. Damit sind die Gesundheitsämter wieder angreifbar. Der Sicherheitsexperte und Entdecker der Lücke Marcus Mengs spricht auf Twitter von einer „Vielzahl an Verschlimmerbesserungen“, die Nexenio betreibe.

Marcus Mengs musste deswegen seine ausführliche Dokumentation zu den Auffälligkeiten abbrechen (dennoch sehr informativ).

mame82/LucaAppIssues
Dokumentation zu Fehlern im Fachsystem Luca (und der LucaApp) - mame82/LucaAppIssues

Ergänzung des Berichtsantrags am 26. Juni

Nach der CSV-Injection-Lücke und der Beschluss des Verwaltungsgerichts Osnabrück ergänze ich meinen Berichtsantrag um drei Fragen und füge denen einen ausführliche fast eineinhalbseitige Begründung bei. Besser spät als nie, denn am Dienstag (29. Juni) tagt der Kreistag und soll über den Antrag entscheiden.

Die neue Fassung findet sich hier und hier.

Mitschrift vom 27. Juni

Baden-Württemberg führt in seiner neuen Coronaschutzverordnung eine De-facto-Pflicht für die „Luca“-App ein. Alle genannten technischen Details klingen wie aus der Werbebroschüre von Nexenio.

Eva Wolfangel merkt richterweise an, dass einige Begriffe interpretationsbedürftig sind: