Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
Ratgeber

Check-In-App Luca kurz vorgestellt

Ein Artikel von , veröffentlicht am 23.03.2021, bearbeitet am25.03.2021
Pressebild: culture4life GmbH

Während der Corona-Pandemie soll sie die Kontaktverfolgung in Geschäften oder Restaurants erleichtern. Die App wird von einem Berliner Start-up entwickelt und bereits von vielen Gesundheitsämtern verwendet, doch es gibt auch Kritikpunkte. Ein Überblick.

Hinweis: Die Luca-App lässt sich derzeit durch uns nicht technisch analysieren. Dieser Text fasst Informationen zusammen, die der App-Anbieter zum Datenschutz gibt und ordnet sie kritisch ein.

Was kann die Luca-App?

Die Luca-App soll Begegnungen mit Corona-Infizierten an öffentlichen Orten wie Restaurants und Geschäften leichter nachvollziehbar machen. Wer die App installiert hat, kann beim Betreten eines Geschäfts über einen QR-Code einchecken. Stellt sich später heraus, dass man gleichzeitig mit einer infizierten Person im Laden war, wird man schnell benachrichtigt und kann sich sofort in Quarantäne begeben.

Apps, die Besuche öffentlicher Orten nachvollziehbar machen, gab es auch vorher schon. Das Besondere an Luca: Die Gesundheitsämter sollen direkt an die App angeschlossen werden, sodass sie Kontaktpersonen schneller und einfacher benachrichtigen können. Die Corona-Warn-App des Bundes bietet eine solche Funktion bisher nicht, da in der App keine persönlichen Daten hinterlegt werden.

Wenn ein Gesundheitsamt aktuell die Kontakte einer infizierten Person nachverfolgen will, muss es zum Beispiel die Papier-Gästelisten der Restaurants und Läden anfragen, in denen die Person gewesen ist. Mit der Luca-App können infizierte Personen ihre Besuchshistorie dem Gesundheitsamt selbst freigeben. Jede positiv getestete Person entscheidet selbst, ob sie diese Informationen teilt. Die Gesundheitsämter können dann für den entsprechenden Zeitraum die Besuchslisten der Restaurants von der Luca-Plattform abfragen.

Gesundheitsämter in mehreren Bundesländern wurden bereits an die Luca-App angeschlossen, meistens nur in einzelnen Regionen. Mecklenburg-Vorpommern setzt als erstes Bundesland bereits voll auf Luca. Eine Liste der teilnehmenden Orte finden Nutzer*innen in der Beschreibung im Google Play-Store. Wer kein Smartphone besitzt, kann Luca über einen speziellen Schlüsselanhänger trotzdem nutzen.

Bekannt wurde die Luca-App im März 2021, nachdem der Rapper Smudo von den Fantastischen Vier in der ARD-Talkshow von Anne Will für sie geworben hatte. Sie steht seit Dezember 2020 für Android und für iOS zum Download bereit.

Anbieter und Geschäftsmodell

Entwickelt wird die Luca-App von dem Berliner Start-up culture4life GmbH. Unterstützt wird die Initiative laut Webseite von der neXenio GmbH, einer Ausgründung des Hasso-Plattner-Instituts, sowie Kulturschaffenden, die ein Interesse daran haben, Veranstaltungen wieder sicher stattfinden lassen zu können. Die Mitglieder der Band "Die Fantastischen Vier" starteten die App gemeinsam mit Marcus Trojan, Patrick Hennig und Philipp Berger.

Luca ist für Gäste und Betreiber*innen öffentlicher Einrichtungen kostenlos. Der Anschluss der App an die Gesundheitsämter wird aus Mitteln des Bundes und der Länder bezahlt. Mecklenburg-Vorpommern zahlte für die flächendeckende Einführung der App im ersten Jahr 440.000 Euro, Berlin steht laut Medienberichten kurz vor dem Vertragsabschluss.

Datenschutz der Luca-App

Damit das Konzept der Luca-App funktioniert, muss man seine Kontaktdaten in die App eingeben. Bei der Installation werden Name, Adresse und Telefonnummer abgefragt. Die Handynummer wird durch eine SMS-Bestätigung überprüft. Das ist ein Vorteil gegenüber den Papierlisten, bei denen Personen oft falsche Kontaktdaten angaben: Wer die Luca-App nutzt, kann direkt angerufen werden.

Für die Verifikation der eigenen Telefonnummer verwendet Luca laut Datenschutzerklärung den SMS-Dienst der Message Mobile GmbH (Deutsche Telekom AG). Dieser Anbieter erfasst also die Telefonnummern aller Personen, die sich in der Luca-App anmelden.

Alle Daten, die bei der Nutzung der Luca-App anfallen, werden laut Datenschutzerklärung in verschlüsselter Form zentral auf Servern der Berliner neXenio GmbH gespeichert und nach vier Wochen gelöscht.

Die Verschlüsselung erfolgt in mehreren Schritten. Die eigenen Kontaktdaten werden zunächst mit einem "Nutzergeheimnis" verschlüsselt, das auf dem verwendeten Smartphone verbleibt. Beim Scannen des QR-Codes im Restaurant oder Laden werden diese bereits verschlüsselten Daten erfasst, ein weiteres Mal verschlüsselt - diesmal mit einem Schlüssel des zuständigen Gesundheitsamts - und an den Gastgeber gesendet. Der fügt den Zeitpunkt des Check-Ins hinzu, verschlüsselt die Daten erneut und legt sie auf der Luca-Plattform ab.

Im Infektionsfall kann die betroffene Person ihre Besuchshistorie dem Gesundheitsamt übermitteln. Die Luca-App entschlüsselt dann die Daten so, dass sie nur noch mit dem Schlüssel des Gesundheitsamts verschlüsselt sind. Das Gesundheitsamt kann die Daten anschließend von der Luca-Plattform abrufen und entschlüsseln.

Genauso läuft es, wenn Gesundheitsämter Besuchslisten bei Gastgeber*innen anfragen: Dann übermittelt die Luca-Plattform die Daten der Kontaktpersonen wiederum einfach verschlüsselt an das Gesundheitsamt, das sie mit seinem eigenen Schlüssel lesbar machen kann. Kontaktpersonen werden über den Datenzugriff von ihrer App benachrichtigt.

"Die Daten können weder von Betreiber:innen noch vom luca-System gelesen werden, sondern nur von den Gesundheitsämtern, in dem Falle dass eine Kontaktnachverfolgung wegen einer bestätigten Infektion eines Gastes notwendig wird", heißt es im Security Overview der App.

Die Datenschutzerklärung gibt darüber hinaus an, dass der Dienstbetreiber personenbezogene Daten theoretisch auch an Strafverfolgungsbehörden herausgeben kann. Welche Daten genau gemeint sind und wie dies überhaupt möglich ist, wenn die eigenen Daten doch per Nutzergeheimnis verschlüsselt und ausschließlich mit Hilfe des verwendeten Smartphones wieder lesbar gemacht werden können, bleibt unklar.

Fazit: Kritik ist angebracht

Die Corona-Warn-App des Bundes ist komplett anonym nutzbar und legt Daten über Begegnungen ausschließlich auf den Smartphones von Nutzer*innen ab. Bei Luca sieht es anders aus: Hier liegen personenbezogene Daten auf einem zentralen Server eines privaten Anbieters. Das kann leicht Begehrlichkeiten wecken - schon die Besuchslisten aus Papier wurden in den vergangenen Monaten für polizeiliche Ermittlungen genutzt.

Eine vorläufige Analyse des Sicherheitskonzepts der Luca-App liegt seit 23. März von einer Forscher*innengruppe der niederländischen Radboud-Universität vor. Digitalcourage fasst die Ergebnisse auf Mastodon zusammen.

Wie genau die Daten der Luca-App übertragen werden und ob sie auf der Plattform sicher verschlüsselt sind, lässt sich momentan nicht vollständig überprüfen. Die Datenschutzaktivistin Lilith Wittmann konnte Teile des nicht öffentlichen Quellcodes jedoch wiederherstellen und fand dabei massive Probleme in der Verschlüsselungstechnik. Mehr Informationen hat ZEIT ONLINE.

Die App-Betreiber haben den Programmcode ihres Systems bisher nicht offengelegt. Erst nach massiver Kritik versprachen sie, dies in den nächsten Wochen nachzuholen.

Aus unserer Sicht dieser Schritt überfällig: Die Luca-App soll einem öffentlichen Interesse dienen und verwendet dazu öffentliches Geld. Entsprechend sollten die Betreiber*innen sich um maximale Transparenz bemühen. Unabhägige Dritte müssen jederzeit überprüfen können, dass kein Generalschlüssel zu den personenbezogenen Daten existiert und dass die Anwendung keine Sicherheitslücken durch Programmierfehler enthält. Beides kann zukünftig nur sichergestellt werden, wenn die App Open Source ist.

Mit dem Update des Textes am 25.03.2021 haben wir die Hinweise auf die Analyse der Radboud-Universität und auf die Überprüfung durch Lilith Wittmann ergänzt.

Nachtrag 11.04.2024: Ein informatives Video zur Luca-App hat Simplicissimus 2024 veröffentlicht, ihr könnt es euch auf YouTube ansehen.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Ratgeber 

Android-Apps ersetzen: Textbearbeitung

Auf fast allen Android-Geräten ist Googles App zur Textbearbeitung, Google Docs, schon vorinstalliert. Doch wer seine Dokumente dem Konzern anvertraut, gibt sie auch zur Analyse frei. Zwei gute App-Alternativen finden Sie hier.

Mehr
Ratgeber 

VPN: Mehr Privatsphäre beim Surfen

Dienstanbieter, Staaten, Kriminelle – sie alle können theoretisch verfolgen, welche Seiten Sie im Internet aufrufen und welche Daten Sie versenden. Ein Virtual Private Network verschleiert Ihre Verbindungen – am Computer und am Smartphone.

Mehr
Ratgeber 

Neue Ära: Rechteverwaltung ab Android 6

Mit der Version 6.0 von Android hat Google ein Versprechen eingelöst: Zugriffsrechte von Apps lassen sich nun einzeln verwalten und auch verweigern. Allerdings nicht alle. Für die Kontrolle der eigenen Daten dennoch ein erfreulicher Schritt nach vorn.

Mehr
Ratgeber 

Diagnose fürs Handy: Was bringen die Untersuchungs-Apps?

Für Handys gibt es Instrumente, mit denen man messen kann, ob bestimmte Dinge da drinnen richtig funktionieren. Oft sind das einfach Apps wie Castro oder Phone Doctor.

Mehr