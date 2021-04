Von Paul Pflästerer

Heidelberg. Ein effektives Mittel zum Zweck im Kampf gegen die Corona-Pandemie ist laut Experten eine funktionierende Kontaktnachverfolgung. Das Prinzip: Überall dort, wo Menschen zusammenkommen, und wo ein erhöhtes Infektionsrisiko besteht, sollen Begegnungen nachvollziehbar gemacht werden. Wenn dann Infektionen mit dem Corona-Virus gemeldet werden, soll über das sogenannte "Backtracking" vermieden werden, dass Kontaktpersonen der erkrankten Person als "Spreader" für viele weitere Infektionen sorgen. Bislang läuft die Nachverfolgung über Dokumente, die per Hand ausgefüllt werden müssen.

Bis die nötigen Informationen schließlich zum Gesundheitsamt gelangen, und von dort wieder zurück zu den Kontaktpersonen, vergeht kostbare Zeit. Digitale Lösungen versprechen, diese Prozesse zu beschleunigen, indem sie automatisiert werden. Zuletzt ist die Luca-App als vielversprechende Plattform auf den Plan getreten. Einige Bundesländer haben schon Lizenzen gekauft und wollen die Anwendung in Zukunft nutzen und nutzbar machen.

Die wichtigsten Fragen rund um Funktionsweise, Sicherheit und Kritik gegenüber der Smartphone-App sind in diesem Artikel zusammengefasst.

Welchen Zweck will die Luca-App erfüllen?

Vordergründig soll Luca die Kontaktverfolgung vereinfachen. Die meisten Menschen werden sich an den Sommer 2020 erinnern, als Bars und Restaurants geöffnet waren und Speisen sowie Getränke im Lokal verzehrt werden durften - unter der Voraussetzung, dass jeder Besucher seine Kontaktdaten hinterlässt. Und auch für zukünftige Öffnungsschritte wird diese Erfassung wohl wieder wichtig werden, denn so sollen die Gesundheitsämter Infektionsketten nachvollziehbar machen können. Was also bis zuletzt per Formular oder Zettel erledigt wurde, soll durch die Luca-App vereinfacht werden, denn die App sorgt für die Kommunikation folgender drei Schnittstellen: dem Gast, dem Gastgeber sowie den Gesundheitsämtern. Schlussendlich können auch kleinere Betriebe profitieren, die keine eigene Website haben und somit größere Hürden bei der digitalisierten Kontaktdatenerfassung zu bewältigen hätten.

So funktioniert die Luca-App

Der Gast lädt sich die App herunter und meldet sich mit seinen Daten an. Dabei werden der vollständige Name, Adresse und die Mobilnummer abgefragt. Letztere wird benötigt, um einen Verifzierungscode per SMS an den Nutzer zu senden, die anschließend in der App zur Bestätigung eingegeben werden muss. Anschließend ist die App einsatzbereit, Luca generiert einen sich minütlich ändernden QR-Code, der dem Endgerät des Nutzers zugeordnet ist. Mit diesem "Pass" können sich die Nutzer in Locations einchecken. Wenn der Gast dies möchte und der Gastgeber hierfür einen Radius festgelegt hat, wird beim Verlassen der Örtlichkeit automatisch ausgecheckt. Das passiert über das sogenannte "Geofencing" (siehe unten).

Für Nutzer ohne Smartphone

Auch ohne Smartphone soll das System genutzt werden können. Die Betreiber schreiben auf ihrer Website: Kontaktdaten können über ein Kontaktformular bei Veranstaltern angeben werden. Diese Daten werden dann auch verschlüsselt und gespeichert. Über die Web-Anwendung, die über einen Browser anzusteuern ist, können temporärer QR-Codes generiert werden. Außerdem sollen bald QR-Code-Schlüsselanhänger als weitere Option verfügbar sein, der beim Besuch von Örtlichkeiten vorgezeigt und damit eingecheckt werden kann.

Diese Daten werden von Luca gesammelt

Sobald die Besucher digital einchecken, werden die Daten in einer virtuellen Box gespeichert. Zugriff zu den sensiblen Informationen hat laut den Entwicklern lediglich das örtliche Gesundheitsamt, die Veranstalter oder andere User aber nicht. Wird über ein TAN-Verfahren ein Corona-Fall gemeldet, gleicht das System ab, mit wem die infizierte Person in den vergangenen 14 Tagen Kontakt hatte, und informiert die betroffenen Restaurants oder Veranstalter. Nach 14 Tagen werden die Daten gelöscht.

Was ist Geofencing und wie nutzt Luca diese Funktion?

Geofencing ermöglicht das automatisierte Auslösen einer Aktion, wenn eine zuvor festgelegte örtliche Begrenzung bestimmt wurde und diese vom Gast beim Verlassen überschritten wird. Die Betreiber der Luca-App nutzen Geofencing laut eigener Aussage nur, sofern ein Nutzer dies aktiv einschaltet, um sich automatisch aus Veranstaltungsorten auszuchecken. Erstellt ein Gastgeber einen begrenzten Ort innerhalb der App, legt er einen Radius für diesen Veranstaltungsort fest. Verlässt nun ein Gast diesen Radius, wird er automatisch ausgecheckt und hat die Veranstaltung verlassen. Geht der Gast zurück zum Veranstaltungsort, muss er erneut eincheckt werden.

Verschlüsselung der Daten

Um die Funktion des Geofencing nutzen zu können, schreibt die Luca-App Bewegungsaktivitäten der Nutzer. Festgelegt wird damit, in welchem Zeitraum sich die Person in einer Lokalität aufgehalten hat. Sodass im Falle einer Infektion die weiteren Kontaktpersonen auch ausfindig gemacht werden können, müssen darüber hinaus weitere Daten vorhanden sein. Diese werden aber dezentral verschlüsselt und ebenfalls auf drei Schnittstellen aufgeteilt: Gastgeber, Gast und Gesundheitsamt. Wenn diese verschlüsselten Datensätze wieder lesbar gemacht werden sollen, um eben den Kontakt aufnehmen zu können, müssen die Gesundheitsämter diesen Entschlüsselungsprozess freigeben - entweder durch die Gäste oder durch einen Gastgeber.

Was sind die Unterschiede zur Corona-Warn-App des Bundes?

Der wesentliche Unterschied: Die Corona-Warn-App warnt ihre Nutzer lediglich allgemein über ein entstandenes Risiko. Es wird nicht angegeben, wo genau der Kontakt zustande gekommen ist. Ausgelöst wird eine entsprechende Warnung dann, wenn sich der Nutzer in unmittelbarem Umfeld zu einer Person aufgehalten hat, die später positiv getestet wurde. Vorausgesetzt, das Ergebnis wurde in die App eingetragen. Dafür nutzt die Corona-Warn-App Bluetooth-Signale, um die Dauer und den Abstand der Begegnungen abzuschätzen.

Des Weiteren ist die Corona-Warn-App ein dezentrales System, die Daten laufen also nicht an einer Stelle zusammen. Anders sieht es bei der "Luca-App" aus, auf die die Gesundheitsämter Zugriff haben. Für die vom Bund initiierte und finanzierte Corona-Warn-App ist am 21. April ein Update veröffentlicht worden, mit der nun auch sogenannte Check-ins per QR-Code möglich sind. Für die Erkennung von "Clustern" in Räumen können die Anwender der App durch das Einscannen eines QR-Codes einchecken, ähnlich wie bei der privaten Luca-App. In der App kann man die Klötzchengrafik für private Treffen auch selbst erstellen und ausdrucken.

In künftigen Versionen soll - noch vor Beginn der Sommerferien - auch ein digitales Impfzertifikat angezeigt werden können. Anwender könnten damit nachweisen, dass sie vollständig geimpft worden sind. Außerdem sollen in der App die Ergebnisse von Schnelltests erscheinen können.

Kostenvergleich

Die von SAP und Telekom entwickelte Corona-Warn-App des Bundes kostet bis Ende 2021 mindestens 60 Millionen Euro: 20 Millionen Euro für die Entwicklung, dazu kommen noch 2,5 Millionen bis 3,5 Millionen Euro im Monat für die laufenden Betriebskosten, unter anderem für zwei Telefon-Hotlines. Während der Bund also für die Entwicklung und Bewerbung einer eigenen App tief in die Tasche greift, aber versäumte, wichtige Funktionen einzubinden, die auch bei den Öffnungsschritten unterstützen können, gab es eine privatwirtschaftliche Lösung durch die neue Luca-App. Die Bundesländer haben bereits Verträge mit den Anbietern geschlossen und wollen Luca in Zukunft institutionell nutzbar machen. Mehr als 20 Millionen Euro gibt es bislang von den Bundesländern, das geht aus einem Bericht von netzpolitik.org hervor. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million.

Kritik

Die Luca-App wirbt damit, besonders sicher zu sein. Dennoch gibt es laut Experten Schwachstellen, die es Hackern ermöglichen, auf die Tracking-Daten der Nutzer zuzugreifen. Besonders gefährlich wird das, wenn die App einen Fremdeingriff nicht bemerkt und die Anwendung im äußersten Fall sogar so verändert wird, dass sie sich bösartig verhält - wie ein Trojaner-Virus zum Beispiel. Diese Fälle sind allerdings eher selten. Ein weiterer Kritikpunkt: Derzeit können Veranstalter nicht überprüfen, ob nach einer Entschlüsselungsanfrage, die nötig ist, um die zuvor verschlüsselten personenbezogenen Daten der Nutzer wieder lesbar zu machen, tatsächlich eine Infektion mit dem Corona-Virus vorliegt. Diese kommt lediglich vom Luca-Server, nicht aber vom Gesundheitsamt. Hacker könnten, nach einem Angriff auf die Luca-Server, diesen Entschlüsselungsbefehl fälschen und somit an Nutzerdaten gelangen.

Eine Reaktion auf die Kritik: Die Entwickler haben den gesamten Programmcode als "Open Source" frei zugänglich gemacht.

Zuletzt machten IT-Experten öffentlich, wie auch Unbefugte mit Daten aus Luca eine Bewegungshistorie anderer nachbilden konnten: Geringfügige Programmierkenntnisse reichen laut diesem Bericht aus, um nachzuvollziehen, an welchen Orten Nutzer der Luca-App sich in den vergangenen 30 Tagen aufgehalten haben.

Auch Datenschutzaktivisten haben kürzlich auf die Sicherheitslücken hingewiesen, die vor allem in Verbindung mit dem QR-Code-Schlüsselanhänger bestehen. Vorneweg moniert der "Chaos Computer Club" das "zweifelhaftes Geschäftsmodell", das mit "mangelhafter Software" daherkäme. Außerdem wurden Unregelmäßigkeiten bei der Auftragsvergabe angeprangert.

Weitere Informationen finden sich in diesem Beitrag.