Kritik an der Luca-App

Die App Luca soll Kulturveranstaltungen auch in Zeiten einer Pandemie ermöglichen. Doch steht sie aus verschiedenen Gründen seit Wochen in der Kritik. Der luca Performance Monitor erfasst die tatsächliche Nutzung.

Digitale Werkzeuge seien bei der Kontaktverfolgung zu befürworten – jedoch nur unter Einhaltung der bereits seit einem Jahr festgelegten Grundprinzipien: Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. Laut der Unterzeichnenden erfülle die Luca-App keine der Kriterien, die eine solche App brauche.

Sicherheitsforscher: Risiken der Luca-App „völlig unverhältnismäßig“

Erst wenn ein Infektionsfall eintritt und ein Veranstalter auf Anfrage seine Gästeliste freigibt, könne das Gesundheitsamt und niemand sonst die persönlichen Daten von eingecheckten Gästen sehen. Die Forscher:innen weisen darauf hin, dass sich dieses Versprechen mit dem derzeitigen Aufbau des Systems nicht halten lässt. Weil Nutzer:innen bei einem Check-in mit Luca nicht nur verschlüsselte Daten an den Server schicken, sondern auch ihre IP-Adresse und andere Informationen über ihr Handy übermitteln, lasse sich mit großer Wahrscheinlichkeit rekonstruieren, welches Gerät und letztlich welche Person sich hinter einer pseudonymen Nutzer-ID verbirgt.

Das zentrale Problem von Luca

Selbst wenn man Luca eine geringfügige Vorleistung zugesteht (…) rechtfertigen sie in keiner Weise die steuerfinanzierte Investition nördlich der 20 Millionen Euro. Gleichzeitig macht das Luca-System bei unabhängigen Prüfungen und im Testbetrieb bei weitem nicht den Eindruck, bereits fertig zu sein. Von Luca selbst ist bekannt, dass Vorleistungen konsequent in elastischen Preismodellen eingekauft werden. Dank des stümperhaften IT-Einkaufs durch einige Bundesländer wird das Geschäft für Luca also genau dann besonders profitabel, wenn es tatsächlich kaum jemand nutzt.

Warum im Voraus bezahlte Lizenzen eine schlechte Idee sind

(…) dass sich über eine bekannte Schwachstelle nicht nur Daten abgreifen lassen, sondern auch ein Verschlüsselungstrojaner ins System eines Gesundheitsamts eingeschleust werden könnte. (…) Es ist ein Angriffsvektor, wie man ihn etwa von Emotet-Infektionen kennt: Ein Sachbearbeiter klickt in einem für ihn völlig alltäglichen Arbeitsvorgangs eine Warnung des eingesetzten MS-Office-Programms weg und in der Folge wird sein Rechner mit Schadsoftware infiziert. Die kann dann dort Daten klauen und weitere Systeme infizieren. Tausende von Unternehmen, Organisationen und Behörden können ein Lied davon singen, was das bedeutet.

Gefahr für Gesundheitsämter: Luca-App ermöglicht Code Injection