Der Chaos Computer Club (CCC) hat in einem Schreiben potentielle Gefahren der Luca-App dargestellt und für einen Stopp in weiteren Bundesländern plädiert. Laut Pressesprecher Linus Neumann entspreche die App keinem der zehn von Club geforderten Punkte für Corona-Tracing-Apps. Dazu wird der Betrieb des Systems immer teurer: Bislang ist von 20 Millionen Euro die Rede, dabei sind noch nicht alle Bundesländer an das Luca-System angeschlossen. CCC kritisiert fragwürdige Vergabepraktiken für die App ohne Ausschreibungen und unter Ausschluss der Konkurrenz.

Auf der Pressekonferenz in Mecklenburg-Vorpommern hatten die Verantwortlichen diesen beschleunigten Vertragsabschluss mit der Corona-Verordnung erklärt: Diese erlaube demnach in manchen dringenden Fällen einen Auftrag ohne Ausschreibung zu vergeben. Allerdings haben solche Ausnahmen auch einen maximalen Grenzwert, den ein solcher Auftrag ohne Teilnahmewettbewerb stattfinden kann. In Bayern darf dieser Wert aktuell nicht die Grenze von 100 000 Euro überschreiten.

Lücken unterschiedlicher Art in der Luca-App

Der Chaos Computer Club weist in seiner Meldung auf mehrere Schwachstellen, die die Sicherheitsforscher bei der Luca-App gefunden haben. Manche davon wurden rasch behoben, manche können erst nach kompletter Änderung des Konzepts geschlossen werden, wie Sicherheitsforscher in ihrem Paper ausführen. Die Teilnehmer an der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder werten die App nicht so streng und sehen darin eine Möglichkeit, die Kontaktnachverfolgung zu digitalisieren. Demnach bleibt die Behörde mit den Betreibern der App im Gespräch, inwiefern eine dezentrale Speicherung der Nutzerdaten über die App möglich ist.

Der CCC kritisiert vor allem, dass die Länder bei der Auftragsvergabe keine alternativen Anbieter in Betracht gezogen haben. Zudem haben die Entwickler der Corona-Warn-App eine vergleichbare Funktion mit dem nächsten Update versprochen, das wohl in den nächsten Wochen im App Store erscheint.

Unsere Meinung: Bereits bei der Berichterstattung über die Corona-Warn-App (CWA) haben wir bemerkt, dass sich die Diskussion über solche Corona-Apps allzu sehr emotionalisiert. Auch bei der ersten App haben die Gegner ein "Überwachungs-Tool der Corona-Diktatur", die Befürworter – einen digitalisierten Heilsbringer, der die Pandemie wenn nicht stoppen, dann zumindest signifikant verlangsamen kann. Luca wie die CWA sind im besten Fall dünne Scheiben Schweizer Käse eines Corona-Schutzkonzepts. Die Pandemie wird letztlich mit einer beschleunigten Impfstrategie und konsequenten Schutzmaßnahmen und nicht mit Apps beendet.

Update, 15. April:Die Macher der Luca-App haben folgende Stellungnahme versandt:

Wir empfinden die Vorwürfe des CCC als überzogen. luca ist ein Hilfsmittel zur Eindämmung der Pandemie - auf keinen Fall der alleinige Heilsbringer. Es ist außerdem ein freiwilliges Angebot für Bürger:innen. Die luca App kann ausgetrickst werden - wie viele andere Hilfsmittel gegen Corona auch. Eine teils polemische Auseinandersetzung oder ein Wettrennen, wer Systeme am besten täuschen oder missbrauchen kann, ist in der Pandemie aus unserer Sicht nicht hilfreich. Sicherheitsrelevante Fragen sollten unbedingt gestellt werden - hier ist allerdings keine Lücke im luca-System bekannt, durch die hinterlegte Daten der Nutzer:innen gefährdet sind. Um den hohen Sicherheitsstandard zu gewährleisten und das System weiterzuentwickeln ist der Quellcode in einer sehr liberalen Lizenz verfügbar. Hier hoffen wir auf die konstruktive Zusammenarbeit mit der netzpolitischen Community. (Macwelt)