Ratgeber

Check-In-App Luca kurz vorgestellt

Ein Artikel von , veröffentlicht am 23.03.2021, bearbeitet am25.03.2021
Pressebild: culture4life GmbH

Während der Corona-Pandemie soll sie die Kontaktverfolgung in Geschäften oder Restaurants erleichtern. Die App wird von einem Berliner Start-up entwickelt und bereits von vielen Gesundheitsämtern verwendet, doch es gibt auch Kritikpunkte. Ein Überblick.

Hinweis: Die Luca-App lässt sich derzeit durch uns nicht technisch analysieren. Dieser Text fasst Informationen zusammen, die der App-Anbieter zum Datenschutz gibt und ordnet sie kritisch ein.

Was kann die Luca-App?

Die Luca-App soll Begegnungen mit Corona-Infizierten an öffentlichen Orten wie Restaurants und Geschäften leichter nachvollziehbar machen. Wer die App installiert hat, kann beim Betreten eines Geschäfts über einen QR-Code einchecken. Stellt sich später heraus, dass man gleichzeitig mit einer infizierten Person im Laden war, wird man schnell benachrichtigt und kann sich sofort in Quarantäne begeben.

Apps, die Besuche öffentlicher Orten nachvollziehbar machen, gab es auch vorher schon. Das Besondere an Luca: Die Gesundheitsämter sollen direkt an die App angeschlossen werden, sodass sie Kontaktpersonen schneller und einfacher benachrichtigen können. Die Corona-Warn-App des Bundes bietet eine solche Funktion bisher nicht, da in der App keine persönlichen Daten hinterlegt werden.

Wenn ein Gesundheitsamt aktuell die Kontakte einer infizierten Person nachverfolgen will, muss es zum Beispiel die Papier-Gästelisten der Restaurants und Läden anfragen, in denen die Person gewesen ist. Mit der Luca-App können infizierte Personen ihre Besuchshistorie dem Gesundheitsamt selbst freigeben. Jede positiv getestete Person entscheidet selbst, ob sie diese Informationen teilt. Die Gesundheitsämter können dann für den entsprechenden Zeitraum die Besuchslisten der Restaurants von der Luca-Plattform abfragen.

Gesundheitsämter in mehreren Bundesländern wurden bereits an die Luca-App angeschlossen, meistens nur in einzelnen Regionen. Mecklenburg-Vorpommern setzt als erstes Bundesland bereits voll auf Luca. Eine Liste der teilnehmenden Orte finden Nutzer*innen in der Beschreibung im Google Play-Store. Wer kein Smartphone besitzt, kann Luca über einen speziellen Schlüsselanhänger trotzdem nutzen.

Bekannt wurde die Luca-App im März 2021, nachdem der Rapper Smudo von den Fantastischen Vier in der ARD-Talkshow von Anne Will für sie geworben hatte. Sie steht seit Dezember 2020 für Android und für iOS zum Download bereit.

Anbieter und Geschäftsmodell

Entwickelt wird die Luca-App von dem Berliner Start-up culture4life GmbH. Unterstützt wird die Initiative laut Webseite von der neXenio GmbH, einer Ausgründung des Hasso-Plattner-Instituts, sowie Kulturschaffenden, die ein Interesse daran haben, Veranstaltungen wieder sicher stattfinden lassen zu können. Die Mitglieder der Band "Die Fantastischen Vier" starteten die App gemeinsam mit Marcus Trojan, Patrick Hennig und Philipp Berger.

Luca ist für Gäste und Betreiber*innen öffentlicher Einrichtungen kostenlos. Der Anschluss der App an die Gesundheitsämter wird aus Mitteln des Bundes und der Länder bezahlt. Mecklenburg-Vorpommern zahlte für die flächendeckende Einführung der App im ersten Jahr 440.000 Euro, Berlin steht laut Medienberichten kurz vor dem Vertragsabschluss.

Datenschutz der Luca-App

Damit das Konzept der Luca-App funktioniert, muss man seine Kontaktdaten in die App eingeben. Bei der Installation werden Name, Adresse und Telefonnummer abgefragt. Die Handynummer wird durch eine SMS-Bestätigung überprüft. Das ist ein Vorteil gegenüber den Papierlisten, bei denen Personen oft falsche Kontaktdaten angaben: Wer die Luca-App nutzt, kann direkt angerufen werden.

Für die Verifikation der eigenen Telefonnummer verwendet Luca laut Datenschutzerklärung den SMS-Dienst der Message Mobile GmbH (Deutsche Telekom AG). Dieser Anbieter erfasst also die Telefonnummern aller Personen, die sich in der Luca-App anmelden.

Alle Daten, die bei der Nutzung der Luca-App anfallen, werden laut Datenschutzerklärung in verschlüsselter Form zentral auf Servern der Berliner neXenio GmbH gespeichert und nach vier Wochen gelöscht.

Die Verschlüsselung erfolgt in mehreren Schritten. Die eigenen Kontaktdaten werden zunächst mit einem "Nutzergeheimnis" verschlüsselt, das auf dem verwendeten Smartphone verbleibt. Beim Scannen des QR-Codes im Restaurant oder Laden werden diese bereits verschlüsselten Daten erfasst, ein weiteres Mal verschlüsselt - diesmal mit einem Schlüssel des zuständigen Gesundheitsamts - und an den Gastgeber gesendet. Der fügt den Zeitpunkt des Check-Ins hinzu, verschlüsselt die Daten erneut und legt sie auf der Luca-Plattform ab.

Im Infektionsfall kann die betroffene Person ihre Besuchshistorie dem Gesundheitsamt übermitteln. Die Luca-App entschlüsselt dann die Daten so, dass sie nur noch mit dem Schlüssel des Gesundheitsamts verschlüsselt sind. Das Gesundheitsamt kann die Daten anschließend von der Luca-Plattform abrufen und entschlüsseln.

Genauso läuft es, wenn Gesundheitsämter Besuchslisten bei Gastgeber*innen anfragen: Dann übermittelt die Luca-Plattform die Daten der Kontaktpersonen wiederum einfach verschlüsselt an das Gesundheitsamt, das sie mit seinem eigenen Schlüssel lesbar machen kann. Kontaktpersonen werden über den Datenzugriff von ihrer App benachrichtigt.

"Die Daten können weder von Betreiber:innen noch vom luca-System gelesen werden, sondern nur von den Gesundheitsämtern, in dem Falle dass eine Kontaktnachverfolgung wegen einer bestätigten Infektion eines Gastes notwendig wird", heißt es im Security Concept der App.

Die Datenschutzerklärung gibt darüber hinaus an, dass der Dienstbetreiber personenbezogene Daten theoretisch auch an Strafverfolgungsbehörden herausgeben kann. Welche Daten genau gemeint sind und wie dies überhaupt möglich ist, wenn die eigenen Daten doch per Nutzergeheimnis verschlüsselt und ausschließlich mit Hilfe des verwendeten Smartphones wieder lesbar gemacht werden können, bleibt unklar.

Fazit: Kritik ist angebracht

Die Corona-Warn-App des Bundes ist komplett anonym nutzbar und legt Daten über Begegnungen ausschließlich auf den Smartphones von Nutzer*innen ab. Bei Luca sieht es anders aus: Hier liegen personenbezogene Daten auf einem zentralen Server eines privaten Anbieters. Das kann leicht Begehrlichkeiten wecken - schon die Besuchslisten aus Papier wurden in den vergangenen Monaten für polizeiliche Ermittlungen genutzt.

Eine vorläufige Analyse des Sicherheitskonzepts der Luca-App liegt seit 23. März von einer Forscher*innengruppe der niederländischen Radboud-Universität vor. Digitalcourage fasst die Ergebnisse auf Mastodon zusammen.

Wie genau die Daten der Luca-App übertragen werden und ob sie auf der Plattform sicher verschlüsselt sind, lässt sich momentan nicht vollständig überprüfen. Die Datenschutzaktivistin Lilith Wittmann konnte Teile des nicht öffentlichen Quellcodes jedoch wiederherstellen und fand dabei massive Probleme in der Verschlüsselungstechnik. Mehr Informationen hat ZEIT ONLINE.

Die App-Betreiber haben den Programmcode ihres Systems bisher nicht offengelegt. Erst nach massiver Kritik versprachen sie, dies in den nächsten Wochen nachzuholen.

Aus unserer Sicht dieser Schritt überfällig: Die Luca-App soll einem öffentlichen Interesse dienen und verwendet dazu öffentliches Geld. Entsprechend sollten die Betreiber*innen sich um maximale Transparenz bemühen. Unabhägige Dritte müssen jederzeit überprüfen können, dass kein Generalschlüssel zu den personenbezogenen Daten existiert und dass die Anwendung keine Sicherheitslücken durch Programmierfehler enthält. Beides kann zukünftig nur sichergestellt werden, wenn die App Open Source ist.

Mit dem Update des Textes am 25.03.2021 haben wir die Hinweise auf die Analyse der Radboud-Universität und auf die Überprüfung durch Lilith Wittmann ergänzt.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

Inga Pöting ist Chefin vom Dienst bei mobilsicher.de. Sie gibt Texten den letzten Schliff, kümmert sich um die Webseite und erklärt Apps und Smartphone-Funktionen vor der Kamera. Davor hat sie im Ruhrgebiet für verschiedene Zeitungen und Magazine geschrieben.

Weitere Artikel

Ratgeber 

Bluetooth: Praktische Technologie mit Tücken

Fast alle Smartphones und Tablets verfügen über Bluetooth, um Verbindungen mit Geräten in der näheren Umgebung aufzubauen. Vor allem durch unvorsichtige Nutzung kann es dabei Sicherheitsprobleme geben. Wir erklären, wie Bluetooth funktioniert und wo es dabei Risiken gibt.

Mehr
Messenger 

Messenger-App Delta.Chat kurz vorgestellt

Anders als WhatsApp und Co. schickt der Messenger Delta.Chat Nachrichten nicht über eigene Server, sondern nutzt die Infrastruktur bestehender E-Mail-Adressen. Der Dienst ist damit dezentral - für Nutzer*innen hat das Vorteile.

Mehr
Ratgeber 

AdVersary: Werbefreie Zone (Android)

Werbung in Apps ist nicht nur lästig, sie kann auch in die Privatsphäre eines Nutzers eingreifen. Zudem können Werbebanner Links zu schädlichen Seiten enthalten. Eine neue Android-App namens AdVersary entfernt Werbung aus anderen Apps.

Mehr
Ratgeber 

Unbekannte Quellen: Wann muss man Apps manuell installieren?

Android ermöglicht die „Installation aus unbekannten Quellen“. Darunter fasst das System alles, was nicht der Google Play-Store ist. Welche Vorteile die Funktion hat und wie Sie sie sicher nutzen, erfahren Sie hier.

Mehr