Ratgeber

Check-In-App Luca kurz vorgestellt

Ein Artikel von , veröffentlicht am 23.03.2021, bearbeitet am25.03.2021
Pressebild: culture4life GmbH

Während der Corona-Pandemie soll sie die Kontaktverfolgung in Geschäften oder Restaurants erleichtern. Die App wird von einem Berliner Start-up entwickelt und bereits von vielen Gesundheitsämtern verwendet, doch es gibt auch Kritikpunkte. Ein Überblick.

Hinweis: Die Luca-App lässt sich derzeit durch uns nicht technisch analysieren. Dieser Text fasst Informationen zusammen, die der App-Anbieter zum Datenschutz gibt und ordnet sie kritisch ein.

Was kann die Luca-App?

Die Luca-App soll Begegnungen mit Corona-Infizierten an öffentlichen Orten wie Restaurants und Geschäften leichter nachvollziehbar machen. Wer die App installiert hat, kann beim Betreten eines Geschäfts über einen QR-Code einchecken. Stellt sich später heraus, dass man gleichzeitig mit einer infizierten Person im Laden war, wird man schnell benachrichtigt und kann sich sofort in Quarantäne begeben.

Apps, die Besuche öffentlicher Orten nachvollziehbar machen, gab es auch vorher schon. Das Besondere an Luca: Die Gesundheitsämter sollen direkt an die App angeschlossen werden, sodass sie Kontaktpersonen schneller und einfacher benachrichtigen können. Die Corona-Warn-App des Bundes bietet eine solche Funktion bisher nicht, da in der App keine persönlichen Daten hinterlegt werden.

Wenn ein Gesundheitsamt aktuell die Kontakte einer infizierten Person nachverfolgen will, muss es zum Beispiel die Papier-Gästelisten der Restaurants und Läden anfragen, in denen die Person gewesen ist. Mit der Luca-App können infizierte Personen ihre Besuchshistorie dem Gesundheitsamt selbst freigeben. Jede positiv getestete Person entscheidet selbst, ob sie diese Informationen teilt. Die Gesundheitsämter können dann für den entsprechenden Zeitraum die Besuchslisten der Restaurants von der Luca-Plattform abfragen.

Gesundheitsämter in mehreren Bundesländern wurden bereits an die Luca-App angeschlossen, meistens nur in einzelnen Regionen. Mecklenburg-Vorpommern setzt als erstes Bundesland bereits voll auf Luca. Eine Liste der teilnehmenden Orte finden Nutzer*innen in der Beschreibung im Google Play-Store. Wer kein Smartphone besitzt, kann Luca über einen speziellen Schlüsselanhänger trotzdem nutzen.

Bekannt wurde die Luca-App im März 2021, nachdem der Rapper Smudo von den Fantastischen Vier in der ARD-Talkshow von Anne Will für sie geworben hatte. Sie steht seit Dezember 2020 für Android und für iOS zum Download bereit.

Was die Corona-Warn-App kann und wie sie funktioniert, erklären wir hier.

Anbieter und Geschäftsmodell

Entwickelt wird die Luca-App von dem Berliner Start-up culture4life GmbH. Unterstützt wird die Initiative laut Webseite von der neXenio GmbH, einer Ausgründung des Hasso-Plattner-Instituts, sowie Kulturschaffenden, die ein Interesse daran haben, Veranstaltungen wieder sicher stattfinden lassen zu können. Die Mitglieder der Band "Die Fantastischen Vier" starteten die App gemeinsam mit Marcus Trojan, Patrick Hennig und Philipp Berger.

Luca ist für Gäste und Betreiber*innen öffentlicher Einrichtungen kostenlos. Der Anschluss der App an die Gesundheitsämter wird aus Mitteln des Bundes und der Länder bezahlt. Mecklenburg-Vorpommern zahlte für die flächendeckende Einführung der App im ersten Jahr 440.000 Euro, Berlin steht laut Medienberichten kurz vor dem Vertragsabschluss.

Datenschutz der Luca-App

Damit das Konzept der Luca-App funktioniert, muss man seine Kontaktdaten in die App eingeben. Bei der Installation werden Name, Adresse und Telefonnummer abgefragt. Die Handynummer wird durch eine SMS-Bestätigung überprüft. Das ist ein Vorteil gegenüber den Papierlisten, bei denen Personen oft falsche Kontaktdaten angaben: Wer die Luca-App nutzt, kann direkt angerufen werden.

Für die Verifikation der eigenen Telefonnummer verwendet Luca laut Datenschutzerklärung den SMS-Dienst der Message Mobile GmbH (Deutsche Telekom AG). Dieser Anbieter erfasst also die Telefonnummern aller Personen, die sich in der Luca-App anmelden.

Alle Daten, die bei der Nutzung der Luca-App anfallen, werden laut Datenschutzerklärung in verschlüsselter Form zentral auf Servern der Berliner neXenio GmbH gespeichert und nach vier Wochen gelöscht.

Die Verschlüsselung erfolgt in mehreren Schritten. Die eigenen Kontaktdaten werden zunächst mit einem "Nutzergeheimnis" verschlüsselt, das auf dem verwendeten Smartphone verbleibt. Beim Scannen des QR-Codes im Restaurant oder Laden werden diese bereits verschlüsselten Daten erfasst, ein weiteres Mal verschlüsselt - diesmal mit einem Schlüssel des zuständigen Gesundheitsamts - und an den Gastgeber gesendet. Der fügt den Zeitpunkt des Check-Ins hinzu, verschlüsselt die Daten erneut und legt sie auf der Luca-Plattform ab.

Im Infektionsfall kann die betroffene Person ihre Besuchshistorie dem Gesundheitsamt übermitteln. Die Luca-App entschlüsselt dann die Daten so, dass sie nur noch mit dem Schlüssel des Gesundheitsamts verschlüsselt sind. Das Gesundheitsamt kann die Daten anschließend von der Luca-Plattform abrufen und entschlüsseln.

Genauso läuft es, wenn Gesundheitsämter Besuchslisten bei Gastgeber*innen anfragen: Dann übermittelt die Luca-Plattform die Daten der Kontaktpersonen wiederum einfach verschlüsselt an das Gesundheitsamt, das sie mit seinem eigenen Schlüssel lesbar machen kann. Kontaktpersonen werden über den Datenzugriff von ihrer App benachrichtigt.

"Die Daten können weder von Betreiber:innen noch vom luca-System gelesen werden, sondern nur von den Gesundheitsämtern, in dem Falle dass eine Kontaktnachverfolgung wegen einer bestätigten Infektion eines Gastes notwendig wird", heißt es im Security Overview der App.

Die Datenschutzerklärung gibt darüber hinaus an, dass der Dienstbetreiber personenbezogene Daten theoretisch auch an Strafverfolgungsbehörden herausgeben kann. Welche Daten genau gemeint sind und wie dies überhaupt möglich ist, wenn die eigenen Daten doch per Nutzergeheimnis verschlüsselt und ausschließlich mit Hilfe des verwendeten Smartphones wieder lesbar gemacht werden können, bleibt unklar.

Fazit: Kritik ist angebracht

Die Corona-Warn-App des Bundes ist komplett anonym nutzbar und legt Daten über Begegnungen ausschließlich auf den Smartphones von Nutzer*innen ab. Bei Luca sieht es anders aus: Hier liegen personenbezogene Daten auf einem zentralen Server eines privaten Anbieters. Das kann leicht Begehrlichkeiten wecken - schon die Besuchslisten aus Papier wurden in den vergangenen Monaten für polizeiliche Ermittlungen genutzt.

Eine vorläufige Analyse des Sicherheitskonzepts der Luca-App liegt seit 23. März von einer Forscher*innengruppe der niederländischen Radboud-Universität vor. Digitalcourage fasst die Ergebnisse auf Mastodon zusammen.

Wie genau die Daten der Luca-App übertragen werden und ob sie auf der Plattform sicher verschlüsselt sind, lässt sich momentan nicht vollständig überprüfen. Die Datenschutzaktivistin Lilith Wittmann konnte Teile des nicht öffentlichen Quellcodes jedoch wiederherstellen und fand dabei massive Probleme in der Verschlüsselungstechnik. Mehr Informationen hat ZEIT ONLINE.

Die App-Betreiber haben den Programmcode ihres Systems bisher nicht offengelegt. Erst nach massiver Kritik versprachen sie, dies in den nächsten Wochen nachzuholen.

Aus unserer Sicht dieser Schritt überfällig: Die Luca-App soll einem öffentlichen Interesse dienen und verwendet dazu öffentliches Geld. Entsprechend sollten die Betreiber*innen sich um maximale Transparenz bemühen. Unabhägige Dritte müssen jederzeit überprüfen können, dass kein Generalschlüssel zu den personenbezogenen Daten existiert und dass die Anwendung keine Sicherheitslücken durch Programmierfehler enthält. Beides kann zukünftig nur sichergestellt werden, wenn die App Open Source ist.

Mit dem Update des Textes am 25.03.2021 haben wir die Hinweise auf die Analyse der Radboud-Universität und auf die Überprüfung durch Lilith Wittmann ergänzt.

Nachtrag 11.04.2024: Ein informatives Video zur Luca-App hat Simplicissimus 2024 veröffentlicht, ihr könnt es euch auf YouTube ansehen.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Artikel drucken:

Beitrag teilen:

Weitere Artikel

YouTube-Video 

Apps gecheckt: Selfie-Bearbeitungs-Apps

Einfach Selfie hochladen – und per Fingertippen hat das eigene Gesicht Hasenohren, ist weniger picklig oder viel älter. Aber diese Apps funktionieren nur, wenn sie Gesichtsmerkmale erheben. Die können der Identifizierung dienen. Was passiert also mit den Bildern, die Nutzer*innen hochladen?

Ansehen YouTube-Video 

Displaykratzer loswerden

Displaykratzer sind ärgerlich. Aber ist es wirklich eine gute Idee, sein Handy mit Zahnpasta zu putzen? Was ihr stattdessen tun könnt.

Ansehen YouTube-Video 

10 Fragen aus der YouTube-Community: Messenger-Special

Die Fragen unserer YouTube-Community sind viel zu interessant, um sie in der Kommentarspalte untergehen zu lassen. Deshalb gibt es unsere Antworten nun als Video. Wir starten direkt mit einem Special: 10 Fragen zum Thema Messenger-Dienste – und unsere Antworten.

Ansehen Ratgeber 

Sicher ins neue Jahr: 4 Tipps fürs iPhone

Überprüfen, was Ihr iPhone unbemerkt im Hintergrund tut - das wollten Sie schon lange mal? Der Start ins Jahr 2021 ist ein guter Anlass! Mit unseren vier Tipps sind die wichtigsten Punkte schnell abgehakt.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz