Luca-App
Idstein, 06. Mai 2021
Anfrage der ULI-Fraktion gem. § 18 GO
Betr.: Luca-App
Der Magistrat wird um die Beantwortung folgender Fragen gebeten:
In zunehmendem Maß ist zu beobachten, dass im Idsteiner Einzelhandel und Gastronomie die sogenannte Luca-App zum Einsatz kommt. Seit Wochen mehrt sich die Kritik an dieser App zur Verfolgung von Kontakten. Beigefügt haben wir die „Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung“ von mehr als 70 führenden deutschen IT-Sicherheitsforscher:innen zur Luca-App.
Dazu haben wir folgende Fragen:
- Hat sich der Magistrat mit den offenkundigen Sicherheitslücken, den gravierenden datenschutzrechtlichen Bedenken und dem geringen Nutzen der Luca-App beschäftigt? Zu welchen Einsichten ist er dahingehend gekommen?
- Wird der Magistrat den großflächigen Einsatz der Luca-App trotz der vorgenannten Schwachstellen in Idstein befürworten? Wenn ja, aufgrund welcher Abwägungsparameter?
- Wer trägt die anfallenden Lizenzgebühren der Luca-App und in welcher Höhe fallen diese an?
- In welcher Form wurden bzw. werden der Einzelhandel und die Gastronomie sowie die Bürgerschaft über die schwerwiegenden Risiken der Luca-App informiert?
- Wie denkt der Magistrat über den alternativen Einsatz der Corona-Warn-App?
Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung
Digitale Werkzeuge, wie Apps zur Kontaktnachverfolgung, können einen unterstützenden Beitrag zur Bewältigung einer Pandemie leisten. Um ihr Potential voll entfalten zu können, müssen solche Werkzeuge zielgerichtet in eine Gesamtstrategie eingebettet werden und das Vertrauen der Bevölkerung genießen. Wenn durch ihre Einführung auch neue Risiken für Bürger:innen und Gesellschaftsgruppen entstehen, muss ihr Nutzen gegen diese Risiken abgewogen werden.
Vor einem Jahr haben mehr als 600 internationale Wissenschaftler:innen in einem offenen Brief (https://www.esat.kuleuven.be/cosic/sites/contact-tracing-joint-statement/) an ihre Regierungen appelliert, Technologien zur digitalen Kontaktverfolgung verantwortungsbewusst und zielgerichtet zu entwickeln und einzusetzen. Dabei wurde die Einhaltung grundlegender Entwicklungsprinzipien gefordert, die in Deutschland mit der Corona-Warn-App größtenteils vorbildlich umgesetzt wurden:
- Zweckbindung: Das einzige Ziel muss die Pandemiebekämpfung sein. Eine Verknüpfung mit anderen Geschäftsmodellen, Anwendungsmöglichkeiten und Profitinteressen muss ausgeschlossen, idealerweise technisch unmöglich sein.
- Offenheit und Transparenz: Fachleuten, IT-Sicherheits- und Datenschutzexpert:innen muss frühzeitig die Möglichkeit gegeben werden, sich konstruktiv am Entwicklungsprozess zu beteiligen oder diesen unabhängig zu begutachten.
- Freiwilligkeit: Die Nutzung bestimmter Werkzeuge zur digitalen Kontaktverfolgung muss freiwillig sein. Bürger:innen, die das Werkzeug nicht benutzen möchten, dürfen nicht von sozialen Aktivitäten, dem Zutritt zu öffentlichen Gebäuden, Geschäften, usw. ausgeschlossen werden.
- Risikoabwägung: Die Beurteilung des Nutzens und der Risiken einer solchen Lösung muss im Vorfeld unabhängig und öffentlich geprüft werden können. Dies gilt ganz besonders dann, wenn der Effekt der technischen Lösung in wesentlichem Umfang auf dem Vertrauen der Bürger:innen basiert.
Der aktuell viel diskutierte Ansatz, digitale Hilfsmittel zur Kontaktnachverfolgung in öffentlichen Räumen und für Veranstaltungen einzubeziehen, erscheint sinnvoll. Richtig eingesetzt könnten sie Infektionsketten schneller unterbrechen und die Gesundheitsämter entlasten. Konkrete funktionale Anforderungen für solch eine digitale Kontaktnachverfolgung wurden durch die verantwortlichen Behörden bislang nicht transparent und klar kommuniziert. Doch nur so ist es möglich effektive Lösungen zu entwickeln, welche einen sinnvollen Beitrag zur Eindämmung der Pandemie leisten können und dabei personenbezogene Daten nur in einem Umfang erheben, der auf das dafür notwendige Maß beschränkt ist.
LUCA
Das bereits in vielen Bundesländern eingesetzte LUCA-System erfüllt keine dieser Prinzipien. Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf LUCA diskutiert [1]. Damit entsteht eine Abhängigkeit von einem einzelnen Privatunternehmen mit Gewinnerzielungsabsicht als Betreiber des Systems. Es wurde ein intransparent entwickeltes System in Betrieb genommen und selbst leicht zu findende Sicherheitslücken konnten erst im laufenden Betrieb entdeckt werden. Wird die App Voraussetzung, um am öffentlichen Leben teilnehmen zu können oder gar von Corona-Schutzverordnungen vorgegeben [2], ist die Freiwilligkeit nicht gegeben, da ein de facto Nutzungszwang entsteht.
Der Nutzen des LUCA-Systems bleibt zweifelhaft, da sich die aktuelle Umsetzung im Wesentlichen auf die Automatisierung der manuellen Erfassung von Papierlisten beschränkt, die Auswertung jedoch weiter manuell durch die Gesundheitsämter erfolgt. Da mit LUCA falsche oder gar manipulierte Anmeldungen und Check-Ins leicht und in großer Zahl erzeugt werden können, entsteht zudem die Gefahr, dass die Belastung der Gesundheitsämter bei abnehmender Datenqualität zunimmt [3]. Gleichzeitig erfasst das LUCA-System in großem Umfang Bewegungs- und Kontaktdaten: wer war wo, mit welchen Personen am selben Ort, und wie lange. Die Daten werden zentralisiert und auf Vorrat bei einem Privatunternehmen gesammelt und gespeichert. Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer:innen allein aufgrund der anfallenden Metadaten erstellen lassen. Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotential und das Risiko von gravierenden Datenleaks [4].
Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele. Selbst große Unternehmen sind nicht in der Lage, solche Systeme vollständig zu sichern. Es ist nicht zu erwarten, dass dies einem Start-Up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendem Verständnis von fundamentalen Sicherheitsprinzipien [5] aufgefallen ist, besser gelingen sollte.
Fazit
Für den Erfolg von digitalen Hilfsmitteln zur Kontaktverfolgung ist eine breite Unterstützung der Bevölkerung essentiell. Das gilt insbesondere, wenn diese tief in die Privatsphäre der Bürger:innen eingreifen und in umfassender Weise vertrauliche Daten erheben. Das hierfür notwendige Vertrauen kann nur durch Transparenz und Privacy-by-Design, zum Beispiel durch echte Dezentralisierung, geschaffen werden. Sicherheit und Datenschutz sind elementare Voraussetzungen für die Akzeptanz und damit den erhofften Nutzen eines solchen Systems.
Es gibt bereits Systeme, die in diesem Sinne die Risiken für Bürger:innen auf ein Minimum reduzieren und dabei eine schnellere Benachrichtigung garantieren. Dies sind dezentrale Lösungen, wie sie in der CoronaWarn-App, NotifyMe (Schweiz), NHS COVID-19 (Großbritannien) und NZ COVID Tracer (Neuseeland) umgesetzt und bereits genutzt werden. Die mit dem LUCA System verbundenen Risiken erscheinen völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.
Wir empfehlen eindringlich die Rückbesinnung auf die oben genannten Prinzipien und deren Anwendung bei der Entwicklung digitaler Werkzeuge zur Kontaktnachverfolgung. Insbesondere sollte es aus unserer Sicht keinen de facto Zwang zur Nutzung einer Lösung geben, die diese Prinzipien eklatant verletzt.
Falls es konkrete Anforderungen gibt, die von bestehenden dezentralen Systemen noch nicht erreicht werden, dann müssen diese klar formuliert werden, so dass zielgerichtet entsprechende Erweiterungen entwickelt werden können. Auch in einem dezentralen und datensparsamen System können notwendige Informationen zur Pandemiebekämpfung erhoben und den Gesundheitsämtern zur Verfügung gestellt werden.
Referenzen
[1] Bereits am 25. März 2021 gaben Ticket i/O und die Entwickler des LUCA-Systems (https://landing.ticket.io/news/ticket-i-o-undluca-gehen-kooperation-ein) ihre Zusammenarbeit bekannt. Bisher geht es dabei um die Verifizierung von Schnelltests. Interne Dokumente (https://twitter.com/Linuzifer/status/1381516218176303105) weisen jedoch auf eine Ausweitung der Kooperation hin.
[2] Aus der Coronaverordnung des Landes Mecklenburg-Vorpommern (https://www.regierung-mv.de/static/Regierungsportal /Portalredaktion/Inhalte/Corona/Corona-Verordnung.pdf): „Die verpflichtende Dokumentation zur Kontaktnachverfolgung soll in elektronischer Form landeseinheitlich mittels LUCA-App erfolgen“.
[3] Dass ein Check-In von beliebigen Orten aus möglich ist, wurde bereits in der Praxis demonstriert (https://www.golem.de/news/coronapandemie-luca-app-ermoeglicht-check-ins-von-beliebigen-orten-aus-2104-155530.html).
[4] Eine ausführliche Analyse der Risiken des LUCA-Systems wurde bereits am 23. März 2021 als Preprint (https://arxiv.org/pdf/2103.11958.pdf) veröffentlicht. Darauf wurde auch in einer Stellungnahme des BfDI (https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2021/06_DSK-Kontaktnachverfolgung-Apps.html) hingewiesen.
[5] Eine umfassende Übersicht über die festgestellten Mängel im grundsätzlichen Systementwurf sowie bei der Umsetzung gibt eine Stellungnahme des CCC (https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse)
Erstunterzeichnende
- Dr. Florian Alt, Forschungsinstitut CODE, Universität der Bundeswehr München
- Dr. Frederik Armknecht, Universität Mannheim
- Dr. Michael Backes, CISPA Helmholtz Center for Information Security
- Dr. Markus Bläser, Universität des Saarlandes
- Dr. Eric Bodden, Heinz Nixdorf Institut der Universität Paderborn und Fraunhofer IEM
- Dr. Franziska Boehm, Karlsruher Institut für Technologie (KIT)/FIZ Karlsruhe
- Dr. Kevin Borgolte, Ruhr-Universität Bochum
- Dr. Stefan Brunthaler, Forschungsinstitut CODE, Universität der Bundeswehr München
- -Ing. Sven Bugiel, CISPA Helmholtz Center for Information Security
- Dr. Cas Cremers, CISPA Helmholtz Center for Information Security
- Jean Paul Degabriele, Technische Universität Darmstadt
- Dr. Christian Dietrich, Westfälische Hochschule
- Dr. Gabi Dreo Rodosek, Forschungsinstitut CODE, Universität der Bundeswehr München
- Dr. Hannes Federrath, Universität Hamburg, Arbeitsbereich Sicherheit in verteilten Systemen
- -Ing. Tobias Fiebig, TU Delft
- Dr. Nils Fleischhacker, Ruhr-Universität Bochum
- Dr.-Ing. Felix Freiling, Friedrich-Alexander-Universität Erlangen-Nürnberg
- Michael Friedewald, Fraunhofer ISI
- Dr.-Ing. Mario Fritz, CISPA Helmholtz Center for Information Security
- -Ing. Kai Gellert, Bergische Universität Wuppertal
- Dr.-Ing. Ulrich Greveler, Hochschule Rhein-Waal
- -Prof. Priv.-Doz. Dr. Daniel Gruss, TU Graz
- Seda Gurses, TU Delft
- Felix Günther, ETH Zürich
- Dr. Sabine Hark, TU Berlin
- Dr. Andreas Heinemann, Hochschule Darmstadt
- Dr. Dominik Herrmann, Otto-Friedrich-Universität Bamberg
- Dr. Thorsten Holz, Ruhr-Universität Bochum
- Dr. Wolfgang Hommel, Forschungsinstitut CODE, Universität der Bundeswehr München
- Dr.-Ing. Thomas Hupperich, Universität Münster, European Research Center for Information Systems
- -Ing. Swen Jacobs, CISPA Helmholtz Center for Information Security
- Dr.-Ing. Tibor Jager, Bergische Universität Wuppertal
- Dr. Martin Johns, Technische Universität Braunschweig
- Ghassan Karame, NEC Laboratories Europe
- Dr. Stefan Katzenbeisser, Universität Passau, PIDS
- Dr. Elif Bilge Kavun, University of Passau
- Dr. Doğan Kesdoğan, Universität Regensburg
- Dr. Eike Kiltz, Ruhr-Universität Bochum
- Dr. Teresa Koloma Beck, Helmut-Schmidt-Universität
- Dr.-Ing. Dorothea Kolossa, Ruhr-Universität Bochum
- Dr. Martin Kreuzer, Universität Passau, PIDS
- Katharina Krombholz, CISPA Helmholtz Center for Information Security
- Dr. Nicole Krämer, Universität Duisburg-Essen
- Robert Künnemann, CISPA Helmholtz Center for Information Security
- Dr. Gregor Leander, Ruhr-Universität Bochum
- Dr. Anja Lehmann, Hasso-Plattner-Institut, Universität Potsdam
- Dr. Klaus-Peter Löhr, FU Berlin
- Dr. Michael Meier, Universität Bonn
- Dr.-Ing. Mira Mezini, Technische Universität Darmstadt
- Dr. Esfandiar Mohammadi, Universität zu Lübeck
- Sebastian Pape, Goethe-Universität Frankfurt
- Giancarlo Pellegrino, CISPA Helmholtz Center for Information Security
- Dr. Günther Pernul, Universität Regensburg
- Dr. Joachim Posegga, Universität Passau, PIDS
- Dr. Kai Rannenberg, Goethe-Universität Frankfurt
- Dr. Steffen Reith, Hochschule RheinMain
- Dr. Anne Remke, WWU Münster
- Dr. Konrad Rieck, Technische Universität Braunschweig
- Dr. Oliver Rose, Dekan Informatik, Universität der Bundeswehr München
- Dr. Christian Rossow, CISPA Helmholtz Center for Information Security
- Dr. Martina Angela Sasse, Ruhr-Universität Bochum
- Ralf Sasse, ETH Zürich
- Dr. Sebastian Schinzel, FH Münster
- Dr.-Ing. Thomas Schneider, Technische Universität Darmstadt
- Dr.-Ing. Thomas Schreck, Hochschule München
- Dr. Dominique Schröder, Friedrich-Alexander-Universität Erlangen-Nürnberg
- Dr. Peter Schwabe, Max Planck Institute for Security and Privacy
- Dr. Matthew Smith, Rheinische Friedrich-Wilhelms-Universität Bonn, Fraunhofer FKIE
- Dr.-Ing. Juraj Somorovsky, Universität Paderborn
- Dr.-Ing. Christoph Sorge, Universität des Saarlandes
- Dr. LL.M. Indra Spiecker genannt Döhmann, Goethe-Universität Frankfurt
- -Ing. Cristian-Alexandru Staicu, CISPA Helmholtz Center for Information Security
- -Ing. Ben Stock, CISPA Helmholtz Center for Information Security
- Dr. Gunnar Teege, Forschungsinstitut CODE, Universität der Bundeswehr München
- Dr. Florian Tschorsch, TU Berlin
- Dr. Arno Wacker, Forschungsinstitut CODE, Universität der Bundeswehr München
- Dr. Andreas Zeller, CISPA Helmholtz Center for Information Security