Was ist die Luca-Warn-App

Die Luca-Warn-App ist eigentlich keine Warn-App im herkömmlichen Sinne und daher auch nicht mit der Corona-Warn-App des Bundes vergleichbar. Sie hat trotzdem ihre Berechtigung und ist zurzeit in aller Munde.

Was die Luca-App kann und besonders macht und ob sie uns vielleicht sogar schneller aus dem Lockdown bringt, erfahren Sie bei uns.

Was ist die Luca-Warn-App

Die Luca-Warn-App, die im eigentlichen Sinne keine Warn-App ist, dient vielmehr der schnellen Kontaktrückverfolgung. Und zwar im Zusammenarbeit mit den Gesundheitsämtern. Die App kann überall dort eingesetzt werden, wo viele Menschen zusammenkommen. Die Luca-App erfasst Kontaktdaten, indem ein QR-Code gescannt wird. Das hilft beispielsweise Veranstaltern oder Restaurantbetreibern, die nicht mehr mit Zetteln wirtschaften möchten. Und auch für Gäste ist das Verfahren einfacher und vor allem anonym.

Hinter der App steht unter anderem Smudo von Band „Die Fantastischen Vier“. Als Musiker ist er von den Einschränkungen durch Corona besonders betroffen, denn Konzerte und Co. finden schon lange nicht mehr statt. Und gerade für Künstler, aber auch Gastronome, Veranstalter und Anbieter von Waren des nicht-täglichen Bedarfs wird es von Tag zu Tag dringender, dass die Pandemie entweder komplett überwunden oder zumindest ein Weg gefunden wird, damit derart umzugehen, dass jeder wieder seinem Beruf nachgehen und somit Geld verdienen kann. Die Luca-App soll und also schneller aus dem Lockdown helfen.

In vier einfachen Schritten zur Kontakterfassung. Bild: Screenshots luca-app.de/Montage. PC-SPEZIALIST

Wie funktioniert die Luca-App?

Die Luca-App gibt es sowohl für Android als auch für iOS. Voraussetzung ist die Android-Version 5.0 oder die iOS-Version 12.0.

Die App funktioniert folgendermaßen: Nach der Installation tragen Sie Ihre persönlichen Kontaktdaten in die App ein. Daraufhin erzeugt die App wechselnde QR-Codes. Gehen Sie auf eine Veranstaltung oder in ein Restaurant oder wo auch immer in Corona-Zeiten Kontaktdaten erfasst werden müssen, scannt entweder der Veranstalter den Code oder Sie selbst scannen beim Besuch einen QR-Code – das ist unterschiedlich handhabbar, hat aber immer denselben Effekt.

Sobald Sie das Restaurant, die Veranstaltung, das Museum wieder verlassen, werden Sie über eine Geofencing-Erkennung automatisch ausgecheckt. Das passiert, sobald Sie einen vordefinierten Radius verlassen. Wird einer der Gäste später positiv auf Corona getestet, können mit Hilfe der App die Kontakte schnell und einfach nachverfolgt werden und das Gesundheitsamt informiert alle Gäste, die sich zur entsprechenden Zeit dort aufgehalten haben. Wichtig: Veranstalter, Gastronome und auch App-Betreiber können Ihre persönlichen Daten nicht auslesen, das Gesundheitsamt allerdings schon.

Das Problem mit der Luca-Warn-App

Es gibt ein großes Problem mit der App, die als Ergänzung zur Corona-Warn-App gesehen werden kann. Die Gesundheitsämter müssen an das Luca-System angeschlossen sein. Von den etwa 400 Gesundheitsämtern in ganz Deutschland sind es bislang aber nur 60. Laut ZDF ist absolut offen, ob die App demnächst bundesweit eingesetzt wird. Und solange nur eine kleine Minderheit mitmacht, ist die App eine gute Idee, aber in der breiten Fläche leider noch nicht nutzbar.

Immerhin, auch die Corona-Warn-App soll nach Ostern, neun Monate nach ihrem Start, ebenfalls ein Check-In-System bekommen. Es soll die Zettelwirtschaft unnötig, aber die Kontaktverfolgung gleichzeitig einfacher und schneller machen. Ob die verspätete Weiterentwicklung bei der stark kritisierten App das Vertrauen der Bevölkerung in die Technik vergrößert, bleibt abzuwarten. Allgemeine Infos zu Tracking-Apps erhalten Sie bei uns im Blogbeitrag Tracking-Apps zu Corona-Zeiten.

Sind gesellige Treffen im Restaurant dank Luca-App oder einer Alternative bald wieder denkbar? Bild: Pixabay

Die Luca-App und der Datenschutz

Die Kritik an der Corona-Warn-App war verhältnismäßig früh schon recht groß. Zunächst war weder klar, wo die gesammelten Daten gespeichert werden noch wie genau die App überhaupt arbeitet. Immerhin: Inzwischen haben rund 26 Millionen Deutsche die App auf ihrem Handy und Bedenken zum Thema Datenschutz gibt es keine mehr. Wie sieht es damit bei der Luca-App aus?

Bislang geben die Behörden grünes Licht. Nach einer rechtlichen und technischen Prüfung sagt der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink, dass die App „hohe Datenschutzstandards“ erfülle. Grund für die Beurteilung ist, dass die Dokumentation der Kontakte verschlüsselt erfolgt und der Nutzer selbst entscheidet, „wann und mit wem er diese sensiblen Daten teilen möchte“.

Zudem versprechen die App-Entwickler auf ihrer Website, dass die Kontaktdaten unabhängig voneinander gespeichert werden. Die Datensätze von Gast, Gastgeber und Gesundheitsamt fügen sich demnach erst im Fall einer Infektion zusammen. Außerdem haben weder der Veranstalter, noch Mitarbeiter der Luca-Warn-App Zugriff auf persönliche Daten.

Kritik am Datenschutz

Der Datenschutz der App wird nicht nur positiv gesehen. So sagt Datenschutzaktivistin Lilith Wittmann gegenüber der Zeit, dass die zentrale Speicherung der Daten ein Problem sei. Außerdem ist der Quellcode nicht öffentlich einsehbar und laut Wittmann seien die Finanzstrukturen und Geschäftsmodelle äußerst intransparent, weshalb sie von der App abrät.

Übrigens: Es gibt bereits Alternativen zur Luca-Warn-App. Genannt sei beispielsweise die App Hello Q!, die nach identischem Prinzip funktioniert. Entwickelt hat sie der Physiker Florian Ziemann, der als Hobby-Musiker vom Ehrgeiz gepackt wurde, um der Kultur trotz Corona das Leben zu ermöglichen. Es gibt die App für Android und Apple. Neben der QR-Code-Funktion und dezentral verschlüsselter Besucherinformationen, hat die App außerdem eine Chatfunktion. So können Infektionen unter Gästen schnell verbreitet werden.

Entwickler Ziemann kritisiert, dass es zwar sicherlich mehr als zehn Alternativen zur Luca-Warn-App gibt, aber nur die eine App beworben wird. So habe es beispielsweise keine Ausschreibung gegeben, ehe das Bundesland Mecklenburg-Vorpommern die Lizenz für die Luca-App erworben hat.

Hello Q! ist nur eine von zahlreichen Alternativen zur Luca-App. Bild: Screenshots hello-q.app/Montage PC-SPEZIALIST

Umgang mit alternativen Apps

Ziemann will jetzt versuchen, ein drohendes Monopol durch Luca zu verhindern. Ihm ist wichtig zu verdeutlichen, dass Hello Q! wie viele andere Apps eine praktikable Lösung darstellt. Zudem sagt er, dass die Gesundheitsämter nicht zwingend damit zusammenarbeiten müssen. Wichtig wäre es, den Nutzern die Freiheit zu lassen, welcher Kontaktverfolgungs-App sie vertrauen. Eine zentrale Lösung sei dafür nicht nötig, stattdessen könnten alle brauchbaren Apps bei Lockerungen dienlich sein.

Was halten Sie von Kontaktverfolgungs-Apps? Nutzen Sie bereits die ein oder andere? Haben Sie vielleicht in einem ersten Schritt die Corona-Warn-App des Bundes installiert? Oder kennen Sie die Luca-App oder eine Ihrer Alternativen? Lassen Sie uns gern an Ihren Erfahrungen teilhaben, indem Sie uns eine Nachricht als Kommentar hinterlassen.

Und sollten Sie Probleme bei der Installation von Apps auf Ihrem Endgerät haben, dann wenden Sie sich vertrauensvoll an Ihren PC-SPEZIALIST vor Ort. Mit unseren zahlreichen Dienstleistungen rund um Smartphone können wir auch Ihnen helfen – angefangen beim Antivirenschutz über die Datenrettung bis hin zur Smartphone-Reparatur.

Update vom 07.04.2021: Geklauter Quellcode

Die Hacker von Zerforschung haben herausgefunden, dass der Quellcode der Luca-App zumindest zum Teil einfach geklaut wurde. Die Entwickler der App haben demnach den Open-Source-Code einfach übernommen und lediglich die Lizenzhinweise entfernt, sowie Whitespaceänderungen durchgeführt. Damit verstoßen die Entwickler vermutlich gegen die Urheberrechte.

Mittlerweile haben die Macher der App ihren Fehler eingestanden und reagiert: Die Lizenz der App wurde geändert und die Lizenzhinweise ergänzt, soweit es nötig war. Die Macher erklären das Fehlen der Lizenznennung folgendermaßen: „Bei der Konvertierung/Encodierung-Routine des QR-Codes, wurde ein Baustein eines Open-Source-Projektes verwendet, der nicht hinreichend referenziert war. Dies haben wir umgehend korrigiert. Durch die starke Verteilung von Code in verschiedenen öffentlichen Projekten unter diversen Lizenzen und durch automatische Refactoring Tools können solche Lizenzkommentare in der Praxis verloren gehen. […] Wir haben einen Referenzierungsfehler gemacht, für den wir uns beim Autor und der Open Source Community entschuldigen!“

30.04.2021: Forscher warnen vor Mängeln

Der ursprüngliche Heilsbringer der Corona-Pandemie, die Luca-App, gerät immer mehr in die Kritik. 70 führende IT-Sicherheitsforscher warnen in einer Stellungnahme, dass die App die Daten der Nutzer nicht geheim halten kann. So seien „grundlegende Entwicklungsprinzipien eklatant verletzt“ worden.

Die Forscher empfehlen die digitale Nachverfolgung von Kantaktpersonen, allerdings solle sich die Politik und Verwaltung lieber auf dezentrale Lösungen wie die Corona-Warn-App verlassen. Bei ihr sind die Grundprinzipien „Zweckbindung“, „Transparenz“, „Freiwilligkeit“ und „Risikoabwägung“ eingehalten worden. Bei der Luca-Warn-App hingegen nicht.

Die Forscher sehen folgende Probleme:

• Zur Kontaktnachverfolgung werden in großem Umfang Bewegungs- und Kontaktdaten gesammelt. Die Daten werden zentral gespeichert. Daher bergen sie ein enormes Missbrauchspotenzial. Einem Start-up sei es laut Sicherheitsforscher nicht zuzutrauen, die Daten sicher zu verwalten. Damit hätten schon große Unternehmen Probleme.
• Die unverschlüsselten Meta-Daten der App lassen Rückschlüsse auf Bewegungen und Aktivitäten zu.
• Der Nutzen der App sei zweifelhaft, da nur Papierlisten digitalisiert würden. Aber die Auswertung liegt weiter bei den Gesundheitsämtern
• Bei den Betreibern handelt es sich um ein Privatunternehmen. Also können kommerzielle Interessen nicht ausgeschlossen werden.
• Die Luca-App hat Schwachstellen, über die Bewegungsprofile abgefangen werden konnten.

Als Folge der von den Sicherheitsforscher kritisierten Mängel fordert der Chaos Computer Club eine Bundesnotbremse für die Luca-App.

01.06.2021: Gefahr durch Schadcode

Sicherheitsforscher haben erneut auf eine gefährliche Schwachstelle in der Luca-Warn-App hingewiesen. Durch diese Sicherheitslücke können Kriminelle Schadcode einschleusen und die Gesundheitsämter lahmlegen.  Ziel der Luca-App ist eigentlich, die Nachverfolgung zu vereinfachen und so die Gesundheitsämter zu entlasten.

Der Schadcode kann mittels einer Excel-Datei und der Exportfunktion der in der Luca-App eingetragenen Daten in die Gesundheitsämter eingeschleust werden. Makroviren sind das Zauberwort, denn das Angriffsszenario ähnelt einer Emotet-Infektion. Klickt ein Mitarbeiter des Gesundheitsamt die Warnung des eingesetzten MS-Office-Programms weg, wird sein Rechner mit Schadsoftware infiziert. Von dort kann sich die Schadsoftware ausbreiten und Daten klauen.

Für die Macher der Luca-Warn-App steht fest: Schuld haben die anderen. In dem Fall die Mitarbeiter im Gesundheitsamt, die trotz Warnung die verseuchte Datei öffnen. Sicherheitsforscher kritisieren allerdings, dass wichtige Sicherheitsmaßnahmen bei der Entwicklung vernachlässigt wurden. So werden beispielsweise Daten nicht gefiltert, um das Einschleusen von gefährlichem Schadcode zu verhindern. Die Macher der Luca-Warn-App schließen ein solches Szenario allerdings kategorisch aus: „Eine code injection ist bei Luca im Gesundheitsamt nicht möglich“, zitiert Zeit Online Patrick Henning.

08.12.2021: „Luca Connect“ integriert

An vielen Stellen findet die Luca-App in der Corona-Pandemie Verwendung, deshalb sorgen die Entwickler dafür, dass App stets auf dem neuesten Stand bleibt. Ein Nachteil war bislang, dass die Gesundheitsämter an die App angeschlossen sein müssen, um die Kontakte nachverfolgen zu können.

Mit dem neusten Update geht das nun einfacher: Dank verschlüsselter Chat-Funktion können sich Anwender mit dem Gesundheitsamt mittels Direkt-Nachrichten austauschen. Diese neue Funktion trägt den Namen „Luca Connect“ und  kommt noch im Dezember. Die Luca-Macher setzen bei der neuen Chat-Funktion auf die Verschlüsselungstechnik, die auch der Messengerdienst Signal verwendet.

Mit „Luca Connect“ erhalten die Gesundheitsämter freiwillig hinterlegte Daten. Mit diesen Daten können sie schneller und differenzierter Risiken analysieren und gefährdete Personen individuell über Direkt-Nachrichten informieren. Wichtig: Die von Nutzern zur Verfügung gestellten Daten – Name, Telefonnummer und Impfstatus – können laut Luca-Macher nur das regional zuständige Gesundheitsamt entschlüsseln und analysieren.

17.01.2022: Wird Luca künftig noch genutzt?

Die Kritik an der Luca-App reißt nicht ab: unüberprüfbare Massenanmeldungen, zentrale Speicherung sensibler Nutzerdaten und die Möglichkeit rechtswidriger Zugriffe durch unbeteiligte Behörden – darüber hatte heise.de berichtet. Ob Datenschützer, Politiker oder Journalisten – die Luca-Warn-App steht zweifelsfrei in der Kritik.

Im März dieses Jahres laufen nun die Lizenzverträge mit den Bundesländern aus. Ob und zu welchen Konditionen die App weiterhin eingesetzt wird, ist absolut offen. Schleswig-Holstein hat sich als einziges Bundesland bereits positioniert und entschieden, die App auf Landesebene nicht weiter verwenden zu wollen. Elf weitere Bundesländer sind noch in der Überprüfung. Da aber die Corona-Warn-App zusätzliche Funktionen erhalten hat, ist die Entscheidung offen.

Und auch in der Öffentlichkeit ist die Luca-Warn-App umstritten. Laut einer Civey-Befragung von 10.000 Deutschen im Mai 2021 würden nur 40 Prozent die App freiwillig installieren, 20 Prozent würden sie nutzen, wenn es verpflichtend wäre. 27 Prozent gaben an, die App keinesfalls installieren zu wollen. Diese Skepsis zeigt sich bereits im Nutzungsverhalten. Hatte die Luca-Warn-App zu Hochzeiten etwa 5,2 Millionen aktive monatliche Nutzer, sank die Zahl schon im August 2021 wieder unter knapp vier Millionen.

11.05.2022: Luca-Warn-App löscht Nutzerdaten

Mit Aufhebung der Corona-Maßnahmen und dem Ende der Kontaktverfolgung durch die Gesundheitsämter, hat sie Luca-Warn-App ihren Sinn verloren. Außerdem hatten die Bundesländer die Verträge mit dem Betreiber der App gekündigt, sodass die Betreiber, die Culture4Life GmbH, nun nach neuen Einsatzmöglichkeiten suchen.

Ein allererster Schritt, der dem Ende der Kontaktverfolgung Rechnung trägt, ist die Löschung sämtliche Nutzerdaten aus ihrem System, die zur Kontaktverfolgung seit Beginn der Pandemie erfasst und verschlüsselt wurden. Die Daten seien nun nur noch lokal auf den Smartphones sichtbar, aber Luca habe darauf keinen Zugriff. Laut Betreiber hatten sich insgesamt 41 Millionen Menschen bei der Luca-Warn-App registriert.

Möglicherweise wandeln die Betreiber die Luca-Warn-App zu einer Bezahl-App um. Demnach sollten Restaurantbesucher nur eine QR-Code scannen müssen, um die Rechnung digital zu erhalten und die dann per Luca Pay zu begleichen. Luca Pay finanziert sich aus den Transaktionsgebühren, die 0,5 Prozent des Umsatzes plus 0,05 Euro pro Bezahlvorgang betragen.

_______________________________________________

Weiterführende Links: Luca, Chip, Chip, Spiegel, RND, ZDF, Hello Q!, Merkur, Zerforschung, PC Welt, digikoletter, trojaner.info, t3n, heise, Statista, Bild