Macher der Luca-App weisen Kritik von Sicherheitsexperten zurück

Berlin – Die Macher der Luca-App haben die massive Kritik von Sicherheitsexperten an der Anwendung zur Coronakontaktnachverfolgung zurückgewiesen. Das Luca-System sei sicher und transparent und werde auch niemandem aufgezwungen, sagte Patrick Hennig, Geschäftsführer der Culture4Life GmbH, die das Luca-System betreibt, heute.

In einer gemeinsamen Stellungnahme hatten 70 deutsche Sicherheitsexperten zuvor kritisiert, dass die mit dem Luca-System verbundenen Risiken viel höher seien als der zu erwartende Nutzen. Luca erfasse in großem Umfang Bewegungs- und Kontaktdaten, die zentralisiert bei einem Privatunternehmen ge­sam­melt und gespeichert werden.

„Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks“, schreiben die Experten von zahlreichen deutschen Hoch­schulen.

Hennig sagte, Luca sei ein System, das über zentrale Strukturen Daten austauscht. „Davon gibt es aber in Deutschland ganz viele. Das Finanzsystem, jedes Gesundheitsamt, jede Gesundheitsakte, alle diese Sys­teme haben zentrale Strukturen.“ Wichtig dabei sei aber, dass sie abgesichert seien. „Bei Luca sind über eine umfassende dezentrale Verschlüsselung keinerlei Daten durch eine einzige Partei lesbar.“

Dagegen glauben die Wissenschaftler nicht, dass das Luca-System wirkungsvoll geschützt werden kann. „Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele.“

Selbst große Unternehmen seien nicht in der Lage, solche Systeme vollständig zu sichern. „Es ist nicht zu erwarten, dass dies ­­einem Start-up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte.“

Die Luca-App, für die unter anderem der Hip-Hop-Sänger Smudo von den „Fantastischen Vier“ geworben hatte, kommt in vielen Bundesländern bereits zum Einsatz. Nur Thüringen, Sachsen und Nordrhein-West­falen setzen das System nicht landesweit ein. In NRW testen allerdings die Gesundheitsämter in 27 von 53 Landkreisen das System.

Henning widersprach der Behauptung, das Luca-System werde von den Behörden bislang kaum genutzt. Aktuell seien 291 Gesundheitsämter angeschlossen. „Dort wo Leben stattfindet, wird es oft benutzt. Luca ist ein System für die Zeit nach dem Lockdown. Wenn Restaurants wieder öffnen können, Kultur-Events wieder stattfinden und Besuche in Pflegeheimen wieder möglich sind. Vorher kann Luca nur vorberei­tend aktiv sein.“

Die Sicherheitsforscher setzten sich in ihrer Erklärung dafür ein, auf die Luca-App zu verzichten und statt­des­sen „dezentrale, sichere Systeme wie die Corona-Warn-App oder NotifyMe in der Schweiz zur Benach­ri­chtigung von Nutzern“ zu verwenden. Bei diesen Anwendungen werden die Nutzer anonym erfasst, nicht mit ihren Kontaktdaten.

Hennig betonte dagegen, die Gesundheitsämter seien auf die konkreten Kontaktdaten angewiesen, um die Infektionsketten effizient zu unterbrechen. „Kein Gesundheitsamt würde sagen, wir benötigen keine Kontaktdaten mehr.“ Deswegen verlangten die Infektionsschutzverordnungen aus einem guten Grund die Erfassung der Daten.

Die Bürger akzeptierten das auch, weil sie das Gefühl hätten, etwas Sinnvolles zu tun und sich aktiv an der Bekämpfung der Pandemie zu beteiligen.

dpa