Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab “Luca-App”.
In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt.
Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen. Mecklenburg-Vorpommern will die Installation sogar zur Voraussetzung der Teilhabe am öffentlichen Leben machen.
Der CCC fordert ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs. Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbietet sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst.
Eine mehrmonatige Marketing-Kampagne des Rappers Smudo hat es ermöglicht: Trotz eklatanter Mängel haben verschiedene Bundesländer bisher mehr als 20 Millionen Euro an Steuergeldern für Lizenzen zur Nutzung der Luca-App investiert. Dabei erfüllt die App keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von „Contact Tracing"-Apps.
Obwohl Steuergelder großzügig eingesetzt werden, verbleiben Daten, App und Infrastruktur selbstverständlich in den Händen der privatwirtschaftlichen Betreiber. Dabei gelten die teuren Lizenzen nur für ein Jahr – genug Zeit, um die Luca-App zum de-facto-Standard für Einlass-Systeme zu machen. Mecklenburg-Vorpommern hat die Nutzung bereits offiziell im Rahmen der Infektionsschutzverordnung verpflichtend angeordnet.
Für die Zeit nach dem steuerlichen Geldregen haben die Eigentümer schon heute ungenierte Pläne zur weiteren Kommerzialisierung der Kontaktverfolgung: Neben der Anbindung in Ticketing-Systeme hofft man auf breite Verbindung mit unterschiedlichen Geschäftsmodellen. Die Marke „luca” wurde mit unternehmerischer Weitsicht unter anderem für „Zutrittskontrolle, Besuchermanagement, gedruckte Eintrittskarten, sowie für die Reservierung von Tickets für Veranstaltungen, insbesondere für Kultur- und Sportveranstaltungen, politische Veranstaltungen, Veranstaltungen für Bildungs- und Fortbildungszwecke und für wissenschaftliche Tagungen” eingetragen.
Als Spitzenreiter hat das Bundesland Bayern allein 5,5 Mio. Euro für eine Einjahreslizenz ausgegeben. Andere Länder wie Baden-Württemberg (3,7 Mio. Euro), Niedersachsen (3,0 Mio. Euro) und Berlin (1,2 Mio. Euro) haben die Lizenzen unter Umgehung der Ausschreibungspflicht erstanden. Der regierende Oberbürgermeister von Berlin Müller rühmt sich sogar damit, die Lizenz ohne technische Prüfung erstanden zu haben. Er habe noch nicht einmal mit Smudo gesprochen und offenbarte damit wohl unbewusst den Hauptgrund seiner Spendierlaune. Kurz nach dem Spontankauf warnte die Berliner Datenschutzbeauftragte vor „beträchtlichen Risiken” bei der Luca-App.
Dabei ist Luca nicht alternativlos: Mehr als dreißig Konkurrentinnen lobbyieren im Bündnis „Wir für Digitalisierung” seit Wochen erfolglos gegen die Werbemacht des Stuttgarter Rappers Smudo an. „Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind”, stellte Linus Neumann, Sprecher des Chaos Computer Clubs, fest.
Die großzügige Verschwendung von Steuergeldern wird umso unverständlicher, weil die Landesregierungen damit in Konkurrenz zur dezentralen, datensparsamen und quelloffenen Corona-Warn-App gehen, die mit dem nächsten Update eine vergleichbare Funktionalität erhalten soll. Die vom Bund finanzierte Corona-Warn-App hat bereits eine breite Nutzungsbasis, wurde aber nach einem erfolgreichen Start mehrere Monate lang nur stiefmütterlich weiterentwickelt. Dieses Versäumnis soll nun die privatwirtschaftliche Luca-App monetarisieren.
Der Nutzen der App bleibt dabei fragwürdig und ihre Anwendungsmöglichkeiten begrenzt. Beispiele im 20 Hektar großen Osnabrücker Zoo und verschiedenen IKEA-Filialen erheitern seit Tagen das Netz: Ein sinnvoller Beitrag zur Pandemie-Bekämpfung lässt sich auch mit viel Kreativität nicht konstruieren.
Als besonderes Leistungsmerkmal wird die Anbindung an Gesundheitsämter betont. Die Gesundheitsämter sind bisher jedoch weder durch besonders schnelle Kontaktverfolgung noch durch besonderes Interesse an Besuchslisten aufgefallen: Regelmäßig sind diese zu umfangreich und zu ungenau, um relevante Kontakte zu identifizieren.
„Impfungen und effektive Seuchenschutzmaßnahmen sind die einzige sinnvolle Möglichkeit, der Pandemie Einhalt zu gebieten. Es würde mich nicht wundern, wenn das digitale Heilsversprechen Luca-App bald zum Sündenbock für das fortwährende Versagen der Bundes- und Landesregierungen wird”, spekulierte Neumann.
Ein Team aus international renommierten Privacy- und Security-Forscherinnen warnte schon früh in einer achtzehnseitigen „vorläufigen Analyse” vor verschiedensten Missbrauchspotenzialen des zentralen Ansatzes.
Das zentralisierte Luca-System speichert alle Daten bei den Betreibern und ermöglicht dadurch ein Monitoring sämtlicher Check-in-Vorgänge in Echtzeit. Das gilt auch für jene Check-ins, die in der App als „privat” gekennzeichnet sind. Die Betreiber scheuen auch nicht davor zurück, in diese Treffen aktiv einzugreifen und sie beispielsweise zu löschen.
Die bisher gefundenen Schwachstellen und Peinlichkeiten der Luca-App sind ein bunter Strauß der Inkompetenz:
Bei der Registrierung soll die Telefonnummer per SMS „validiert” werden. Millionen Euro müssen verschiedene Bundesländer für den Versand aufbringen. Eine handwerklich fehlerhafte Implementierung macht die Validierung jedoch unwirksam. Die Folge: Das massenhafte Erstellen von Fake-Accounts ist ebenso einfach wie deren Check-in an beliebigen Orten. Es droht nicht weniger als der Kollaps des kompletten Luca-Systems.
Die für Menschen ohne Smartphone zu hunderttausenden angeschafften Luca-Schlüsselanhänger verraten bei jedem Scan die vollständige zentral gespeicherte Location-Historie. „Wer den QR-Code scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren”, bestätigte Linus Neumann die heute von Bianca Kastl und Tobias Ravenstein veröffentlichte Schwachstelle „Lucatrack”. „Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit. Hier wurde – mal wieder – mit der heißen Nadel gestrickt, statt eine wohlüberlegte Lösung zu bauen”, so Neumann weiter.
Entgegen den Versprechungen des Sicherheitskonzepts ist das Luca-Backend potenziell jederzeit in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen.
Als Musikant schimpft Smudo gern auf die „Umsonst-Gesellschaft” und die Verletzung von Urheberrechten. Für die Luca-App wurden jedoch fremde Software-Komponenten unter dreister Missachtung der Lizenzbedingungen verwendet. Ein „bedauerlicher Fehler", der professionellen Programmierern einfach nicht passiert.
Bis heute ist nur ein Teil des Quellcodes des Gesamtsystems öffentlich. Inwieweit dieser Teil überhaupt noch mit der produktiven Umgebung übereinstimmt, ist unklar.
Die App erfüllt Mindeststandards der Barrierefreiheit nicht. Der App-Zwang stellt eine besonders schwere Form der Diskriminierung dar.
Die zwielichtige Vergabepraxis zeugt bestenfalls von der Strahlkraft des Rappers Smudo, der bisher nicht als Programmierer oder Datenschützer aufgefallen war: Dem Investor der culture4life GmbH, die die Luca-App in Windeseile aus dem Boden gestampft hat, ist es binnen Monaten gelungen, Millionen für ein unreifes und untaugliches Produkt einzuwerben. Dabei vergisst Investor Smudo gern zu erwähnen, dass er mit über 22% am Unternehmen beteiligt ist, also nicht ohne beträchtlichen Eigennutz für die Luca-App wirbt.
„Die Luca-App ist nicht der einzige Fall, bei dem COVID-Glücksritter weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen”, sagte Linus Neumann. „Die Maskenaffäre wurde gerade erst erfolgreich unter den Teppich gekehrt. Um einem weiteren Vertrauensverlust in die Politik Einhalt zu gebieten, muss nun lückenlos aufgeklärt werden, wie es zu der zweifelhaften Vergabe kam”, so Neumann weiter.