Die größten Pannen der Luca-App und was Entwickler:innen daraus lernen können

Bessere Kontaktnachverfolgung, Einbindung der Gesundheitsämter, ein funktionierendes Check-in-System: Für kurze Zeit sah es so aus, als wäre die Luca-App DIE Innovation im Kampf gegen das Corona-Virus und würde endlich das Problem der nicht nachvollziehbaren Infektionsketten lösen. Leider entpuppte sich Luca stattdessen eher als eine Art Musterbeispiel für die größten Pannen, die App-Entwickler:innen passieren können.

Die Luca-App: Auf den Hype folgte die große Ernüchterung

Jeder erfüllt einen Nutzen – und sei es nur den, als schlechtes Beispiel zu dienen. Besser kann man die aktuellen Entwicklungen zur Luca-App nicht beschreiben. Als der Rapper Smudo von der HipHop-Gruppe „Die Fantastischen Vier“ die App im März 2021 in Talkshows einer breiten Öffentlichkeit vorstellte, klang alles noch vielversprechend: Anders als bei der Corona-Warn-App (CWA) von der Bundesregierung, sollte hier eine bessere Datennachverfolgung gewährleistet und zudem die Gesundheitsämter mit eingebunden werden. Die Bundesländer belohnten das erfolgreiche Marketing von Smudo und den Entwickler-Teams der neXenio GmbH, sowie der culture4life GmbH mit einer bisherigen Förderung von über 20 Millionen Euro.

Doch gutes Marketing täuscht nicht über ein mangelhaftes Produkt hinweg und genau das scheint die Luca-App nach aktuellem Entwicklungsstand zu sein. Zahlreiche IT-Fachleute, darunter auch der bekannte Chaos Computer Club fordern mittlerweile eine Einstellung der Finanzierung für die Luca-App. Die Gründe dafür lesen sich ein bisschen so wie eine Anleitung für Entwickler:innen, was man bei der Programmierung einer App alles NICHT machen sollte: Sicherheitslücken, zentrale Datenspeicherung, grundsätzliche Fehler im Aufbau, Urheberrechtsverletzungen, sowie schlechtes Krisenmanagement. Insbesondere die Kontaktverfolgung und Datenspeicherung von Luca ist IT-Fachleuten ein Dorn im Auge.

Mehrere IT-Fachleute kritisieren die Luca-App

In einer Stellungnahme zur Kontaktverfolgung fordern mehrere IT-Fachleute eine Rückbesinnung zur verantwortungsbewussten und zielgerichteten Entwicklung und Einsetzung von digitalen Werkzeugen zur Kontaktnachverfolgung. Die Luca-App verletze alle diese Prinzipien und sei daher als Lösung nicht tragbar. Der ursprünglichen Stellungnahme von fast 80 Befürworter:innen schlossen sich mittlerweile fast 500 weitere Unterzeichner:innen an. Die ganz grundsätzliche Kritik an der Luca-App basiert auf drei Problematiken:

  1. Hinter der Luca-App steht ein Privatunternehmen, dessen System die Bewegungs- und Kontaktdaten der Nutzer:innen erfasst und zentralisiert und auf Vorrat sammelt und speichert.
  2. Mit der Luca-App sind nicht nur falsche oder manipulierte Check-ins der Nutzer:innen möglich, sondern auch Fake-Anmeldungen.
  3. Die von den Luca-Entwickler:innen beworbene doppelte Verschlüsselung der Kontaktdaten kann gar nicht funktionieren, da sich aufgrund der anfallenden Metadaten Bewegungsprofile der Nutzer:innen erstellen lassen. Die Datensammlung an einer zentralen Stelle birgt ein massives Missbrauchspotential, sowie das Risiko von Datenleaks.

Zu diesen drei Punkten kommen die zahlreichen Sicherheitslücken und Bugs, die mehrere IT-Fachleute in den letzten Wochen aufdeckten. Anders als bei der CWA steht hinter der Luca-App ein Privatunternehmen, dass sich aus der neXenio GmbH (Entwicklung), der culture4life GmbH (Inhaber), sowie „Kulturschaffenden“ wie der Gruppe „Die Fantastischen Vier“ zusammensetzt. Diese sind privatwirtschaftliche Unternehmen und verwalten die Daten, die App und die zugehörige Infrastruktur in Eigenregie. Die CWA dagegen ist eine offiziell von der Bundesregierung zur Verfügung gestellte App, hinter der kein Privatunternehmen steht und die zudem auch keinerlei personenbezogene Daten speichert.

Luca-App versus Corona-Warn-App: Was sind die Unterschiede?

Luca funktioniert folgendermaßen: Ist die App aktiv, erstellt sie im Minutentakt einen QR-Code, der dem verwendeten Endgerät zugeordnet ist (zum Beispiel dem Smartphone). Diesen QR-Code können Anwender:innen dann zum sogenannten Einchecken bei teilnehmenden Geschäften, Lokalen oder Veranstaltungsstätten nutzen. Dadurch sollen die Papierlisten wegfallen und stattdessen digitale Liste von den Aufenthaltsorten der Nutzer:innen erstellt werden. Im Falle einer Infektion kann das jeweilige Gesundheitsamt die infizierte Person um die Freigabe der Liste der besuchten Orte bitten. Erfolgt diese Freigabe, erhält das Gesundheitsamt einen TAN zur Entschlüsselung der Daten und hat anschließend die Möglichkeit, alle Kontaktpersonen zu informieren.

Die CWA dagegen speichert keine personenbezogenen Daten und bietet auch keine Möglichkeit zur Einbindung bei Gesundheitsämtern. Zwar gibt es seit der im April 2021 erschienen Version 2.0 der CWA auch die Möglichkeit, QR-Codes von Veranstaltungen, Restaurants und Geschäften einzuscannen – allerdings weiterhin ohne die Speicherung von personenbezogenen Daten. Technisch funktionieren diese Scans folgendermaßen: Trägt eine Person innerhalb von 14 Tagen (solange werden die QR-Codes gespeichert) ein positives Testergebnis in der CWA ein, werden dessen Check-In-Daten und IDs auf den Server der App übertragen und allen anderen CWAs gemeldet. Besteht eine Übereinstimmung bei den Check-ins von Nutzer:innen, erhalten diese eine Warnung. Allerdings setzt die CWA voraus, dass die Nutzer:innen positive Testergebnisse auch wirklich selbstständig eintragen.

Die größten Pannen der Luca-App

In den letzten Monaten stellte sich gerade der Ansatz der Check-ins über einen QR-Code als die größte potenzielle Fehlerquelle für Luca heraus. So gab es immer wieder Sicherheitslücken und Probleme und nicht alle davon konnten die Entwickler:innen lösen. Ein recht bitteres Fazit beachtet man, dass etwa Mecklenburg-Vorpommern bereits offiziell im Rahmen der Infektionsschutzverordnung die Nutzung der Luca-App angeordnet hat. Noch bitterer wird das nur, wenn man sich die einzelnen Pannen bei der Entwicklung von Luca genauer ansieht und feststellt: Es liest sich ein bisschen wie Anleitung zum Nicht-Nachmachen:

Luca Pannen: #1 der Schlüsselanhänger

Die erste Panne von Luca die bekannt wurde, war die Sicherheitslücke des Schlüsselanhängers. Dabei handelt es sich um einen Service für alle diejenigen, die kein Smartphone oder eines mit einer veralteten Android- oder IOS-Version besitzen: Diese Personen können sich auf der Webseite von Luca registrieren und erhalten dann einen persönlichen QR-Code. Dieser lässt sich dann auf einen Schlüsselanhänger drucken und kann zum Check-in verwendet werden. Leider fand der Chaos Computer Club (CCC) heraus, dass Kriminelle diesen QR-Code auslesen und somit an die persönlichen Daten der Betroffenen sowie ihre Aufenthaltsorte kommen konnten. Die Culture4Life GmbH reagierte zwar umgehend auf die Kritik und erklärte, dass die Schwachstelle inzwischen geschlossen sei. Leider sollte es nicht die einzige Sicherheitslücke bleiben

Luca Pannen: #2 Sicherheitslücken

Der IT-Sicherheitsexperte Marcus Mengs hat einen sehr langen Report über alle Problematiken der Luca-App verfasst und auf github.com veröffentlicht. Darin deckt er unter anderem auf, dass das Luca-Backend potenziell durchaus in der Lage ist, jederzeit einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen. Das steht im direkten Gegensatz zu den Versprechungen des Sicherheitskonzeptes der Entwickler:innen von Luca.

Luca Pannen: #3 Code-Injection

Marcus Mengs deckte auch eine weitere große Sicherheitslücke der Luca-App auf. Eine, die das Potenzial hat, ein an Luca angebundenes Gesundheitsamt komplett lahmzulegen. In einem Video auf Vimeo zeigte der IT-Sicherheitsexperte, wie er über die Eingabe von Sonderzeichen bei Nutzerdaten einen sogenannten „Code-Injection“ Angriff ausführen könnte. Das Microsoft-Office-System der Gesundheitsämter könnte die eingegebenen Sonderzeichen als Programmcode interpretieren. Nach Bekanntwerden der Schwachstelle reagierte auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und bestätigte, dass ein derartiger Angriff möglich sei. Die Luca-Entwickler:innen haben die Schwachstelle mittlerweile behoben und Nutzer:innen können keine Sonderzeichen mehr in den Datenfeldern eingeben.

Luca Pannen: #4 Der virtuelle Check-in

Diese Panne hat der TV-Moderator Jan Böhmermann bekannt gemacht. Er kopierte den QR-Code des Osnabrücker Zoos und checkte vom heimischen Sofa aus um 0:40 Uhr als Besucher ein. Auf Twitter schrieb Böhmermann dazu: „Digitalisierung machts möglich: Ich habe mich soeben um 0:40 Uhr über diesen QR-Code mit der Luca-App als "Michi Beck" von Berlin aus im Zoo Osnabrück eingecheckt und verbringe jetzt eine Nacht virtuell in Gedanken bei Elefantenbaby Yaro.“ Dazu postete er noch ein Bild vom QR-Code, den der Zoo für den Check-in verwendete. Die Macher der Luca-App bestätigten die Problematik der virtuellen Check-ins, sagten aber auch: „Das ist so bei QR-Codes als Schnittstelle und nicht gut zu beheben.“

Luca Pannen: #5 Der Fake-Check-In

Ähnlich einfach, wie ein virtueller Check-in ist es, Fake-Profile in der Luca-App anzulegen. Ein Twitter-User legte diese Schwachstelle in einem langen Thread offen und schrieb dazu: „Niemand hält euch davon ab, euch mit Luca-App als euer Nachbar im Strip-Club einzuchecken“. Denn: Für die Daten, die Nutzer:innen bei der App-Registrierung eingeben, findet keine Validierung statt. Das bedeutet, jeder kann theoretisch jeden mit Name, Anschrift und Telefonnummer registrieren und so die App komplett nutzlos machen. „Luca-App ist also lange nicht fertig. Trotzdem gibt es Geld. Trotzdem gibt es Gutachten. Gutachten über eine Software die so grundlegende Probleme hat, die behoben werden müssen, dass man gar nicht sagen kann wie die Software aussieht, wenn sie behoben ist“, so das Fazit des Twitter-Users.

Luca Pannen: #6 Urheberrechtsverletzung

Offenbar hat das Entwicklerteam von Luca zur Programmierung der App den Open-Source-Code des Wiener Entwicklers Mykola Bubelich verwendet. Dieser stellte seinen Code vor sechs Jahren unter dem Nickname „thesimj“ als Open Source zur Verfügung gestellt und verlangt mittlerweile ein Entgelt für die Nutzung. Laut seinem Rechtsanwalt Markus Dörfler haben „die Entwickler:innen der Luca App den Lizenzhinweis auf „thesimji“ entfernt“. So entstünde der Eindruck, die Softwarekomponente jBaseZ85 stamme von den Luca-Entwickler:innen. Dies stelle einen Urheberrechtsverstoß dar – vor allem, weil die Lizenz der Luca-App (GPLv3) nicht mit der Lizenz von Bubelich vereinbar sei.

Fazit: Gutes Marketing, schlechte Umsetzung

Das Marketing der Luca-App war zweifellos grandios: Ein bekannter Rapper als Sponsor, der das Produkt in zahlreichen deutschen Talkshows vorstellte und so maximale PR gewährleistete. Weniger gut war der Umgang der Entwickler:innen mit Kritik am Luca-System oder der Aufdeckung von Sicherheitslücken. Wie sich „Smudos Steuer-Millionengrab“, wie der Chaos Computer Club das Projekt mittlerweile nennt, weiterhin entwickelt bleibt abzuwarten. Immerhin zeigt die Luca-App aber anderen Entwickler:innen sehr schön, welche potenziellen Schwierigkeiten die Entwicklung einer App mit sich bringen kann.

Sicherheitslücken und Cyber-Kriminalität: So können sich Entwickler:innen absichern

Es gibt Fehler, die sich vermeiden lassen und Möglichkeiten, die Gefahr von Sicherheitslücken zu minimieren. Ganz ausschließen lassen sie sich aber nicht. Um sich als Entwickler:in vor den Schäden, die durch Datenleaks, Hackangriffe oder schlicht Fehler im Code entstehen können zu schützen, empfehlen wir die IT-Haftpflicht von exali.de, inklusive des frei wählbaren Zusatzbausteins der Datenschutz- & Cyber-Eigenschaden-Deckung (DCD). Der DCD versichert Eigenschäden im Zusammenhang mit Hack-Angriffen, Cyber-Erpressung oder Computermissbrauch durch Mal- und Ransomsoftware.