Luca-App

Idstein, 06. Mai 2021

 

Anfrage der ULI-Fraktion gem. § 18 GO
Betr.: Luca-App

Der Magistrat wird um die Beantwortung folgender Fragen gebeten:

In zunehmendem Maß ist zu beobachten, dass im Idsteiner Einzelhandel und Gastronomie die sogenannte Luca-App zum Einsatz kommt. Seit Wochen mehrt sich die Kritik an dieser App zur Verfolgung von Kontakten. Beigefügt haben wir die „Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung“ von mehr als 70 führenden deutschen IT-Sicherheitsforscher:innen zur Luca-App.

Dazu haben wir folgende Fragen:

  1. Hat sich der Magistrat mit den offenkundigen Sicherheitslücken, den gravierenden datenschutzrechtlichen Bedenken und dem geringen Nutzen der Luca-App beschäftigt? Zu welchen Einsichten ist er dahingehend gekommen?
  2. Wird der Magistrat den großflächigen Einsatz der Luca-App trotz der vorgenannten Schwachstellen in Idstein befürworten? Wenn ja, aufgrund welcher Abwägungsparameter?
  3. Wer trägt die anfallenden Lizenzgebühren der Luca-App und in welcher Höhe fallen diese an?
  4. In welcher Form wurden bzw. werden der Einzelhandel und die Gastronomie sowie die Bürgerschaft über die schwerwiegenden Risiken der Luca-App informiert?
  5. Wie denkt der Magistrat über den alternativen Einsatz der Corona-Warn-App?

Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung

Digitale Werkzeuge, wie Apps zur Kontaktnachverfolgung, können einen unterstützenden Beitrag zur Bewältigung einer Pandemie leisten. Um ihr Potential voll entfalten zu können, müssen solche Werkzeuge zielgerichtet in eine Gesamtstrategie eingebettet werden und das Vertrauen der Bevölkerung genießen. Wenn durch ihre Einführung auch neue Risiken für Bürger:innen und Gesellschaftsgruppen entstehen, muss ihr Nutzen gegen diese Risiken abgewogen werden.

Vor einem Jahr haben mehr als 600 internationale Wissenschaftler:innen in einem offenen Brief (https://www.esat.kuleuven.be/cosic/sites/contact-tracing-joint-statement/) an ihre Regierungen appelliert, Technologien zur digitalen Kontaktverfolgung verantwortungsbewusst und zielgerichtet zu entwickeln und einzusetzen. Dabei wurde die Einhaltung grundlegender Entwicklungsprinzipien gefordert, die in Deutschland mit der Corona-Warn-App größtenteils vorbildlich umgesetzt wurden:

 

  • Zweckbindung: Das einzige Ziel muss die Pandemiebekämpfung sein. Eine Verknüpfung mit anderen Geschäftsmodellen, Anwendungsmöglichkeiten und Profitinteressen muss ausgeschlossen, idealerweise technisch unmöglich sein.
  • Offenheit und Transparenz: Fachleuten, IT-Sicherheits- und Datenschutzexpert:innen muss frühzeitig die Möglichkeit gegeben werden, sich konstruktiv am Entwicklungsprozess zu beteiligen oder diesen unabhängig zu begutachten.
  • Freiwilligkeit: Die Nutzung bestimmter Werkzeuge zur digitalen Kontaktverfolgung muss freiwillig sein. Bürger:innen, die das Werkzeug nicht benutzen möchten, dürfen nicht von sozialen Aktivitäten, dem Zutritt zu öffentlichen Gebäuden, Geschäften, usw. ausgeschlossen werden.
  • Risikoabwägung: Die Beurteilung des Nutzens und der Risiken einer solchen Lösung muss im Vorfeld unabhängig und öffentlich geprüft werden können. Dies gilt ganz besonders dann, wenn der Effekt der technischen Lösung in wesentlichem Umfang auf dem Vertrauen der Bürger:innen basiert.

 

Der aktuell viel diskutierte Ansatz, digitale Hilfsmittel zur Kontaktnachverfolgung in öffentlichen Räumen und für Veranstaltungen einzubeziehen, erscheint sinnvoll. Richtig eingesetzt könnten sie Infektionsketten schneller unterbrechen und die Gesundheitsämter entlasten. Konkrete funktionale Anforderungen für solch eine digitale Kontaktnachverfolgung wurden durch die verantwortlichen Behörden bislang nicht transparent und klar kommuniziert. Doch nur so ist es möglich effektive Lösungen zu entwickeln, welche einen sinnvollen Beitrag zur Eindämmung der Pandemie leisten können und dabei personenbezogene Daten nur in einem Umfang erheben, der auf das dafür notwendige Maß beschränkt ist.

 

LUCA

Das bereits in vielen Bundesländern eingesetzte LUCA-System erfüllt keine dieser Prinzipien. Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf LUCA diskutiert [1]. Damit entsteht eine Abhängigkeit von einem einzelnen Privatunternehmen mit Gewinnerzielungsabsicht als Betreiber des Systems. Es wurde ein intransparent entwickeltes System in Betrieb genommen und selbst leicht zu findende Sicherheitslücken konnten erst im laufenden Betrieb entdeckt werden. Wird die App Voraussetzung, um am öffentlichen Leben teilnehmen zu können oder gar von Corona-Schutzverordnungen vorgegeben [2], ist die Freiwilligkeit nicht gegeben, da ein de facto Nutzungszwang entsteht.

Der Nutzen des LUCA-Systems bleibt zweifelhaft, da sich die aktuelle Umsetzung im Wesentlichen auf die Automatisierung der manuellen Erfassung von Papierlisten beschränkt, die Auswertung jedoch weiter manuell durch die Gesundheitsämter erfolgt. Da mit LUCA falsche oder gar manipulierte Anmeldungen und Check-Ins leicht und in großer Zahl erzeugt werden können, entsteht zudem die Gefahr, dass die Belastung der Gesundheitsämter bei abnehmender Datenqualität zunimmt [3]. Gleichzeitig erfasst das LUCA-System in großem Umfang Bewegungs- und Kontaktdaten: wer war wo, mit welchen Personen am selben Ort, und wie lange. Die Daten werden zentralisiert und auf Vorrat bei einem Privatunternehmen gesammelt und gespeichert. Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer:innen allein aufgrund der anfallenden Metadaten erstellen lassen. Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotential und das Risiko von gravierenden Datenleaks [4].

Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele. Selbst große Unternehmen sind nicht in der Lage, solche Systeme vollständig zu sichern. Es ist nicht zu erwarten, dass dies einem Start-Up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendem Verständnis von fundamentalen Sicherheitsprinzipien [5] aufgefallen ist, besser gelingen sollte.

 

Fazit

Für den Erfolg von digitalen Hilfsmitteln zur Kontaktverfolgung ist eine breite Unterstützung der Bevölkerung essentiell. Das gilt insbesondere, wenn diese tief in die Privatsphäre der Bürger:innen eingreifen und in umfassender Weise vertrauliche Daten erheben. Das hierfür notwendige Vertrauen kann nur durch Transparenz und Privacy-by-Design, zum Beispiel durch echte Dezentralisierung, geschaffen werden. Sicherheit und Datenschutz sind elementare Voraussetzungen für die Akzeptanz und damit den erhofften Nutzen eines solchen Systems.

Es gibt bereits Systeme, die in diesem Sinne die Risiken für Bürger:innen auf ein Minimum reduzieren und dabei eine schnellere Benachrichtigung garantieren. Dies sind dezentrale Lösungen, wie sie in der CoronaWarn-App, NotifyMe (Schweiz), NHS COVID-19 (Großbritannien) und NZ COVID Tracer (Neuseeland) umgesetzt und bereits genutzt werden. Die mit dem LUCA System verbundenen Risiken erscheinen völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.

Wir empfehlen eindringlich die Rückbesinnung auf die oben genannten Prinzipien und deren Anwendung bei der Entwicklung digitaler Werkzeuge zur Kontaktnachverfolgung. Insbesondere sollte es aus unserer Sicht keinen de facto Zwang zur Nutzung einer Lösung geben, die diese Prinzipien eklatant verletzt.

Falls es konkrete Anforderungen gibt, die von bestehenden dezentralen Systemen noch nicht erreicht werden, dann müssen diese klar formuliert werden, so dass zielgerichtet entsprechende Erweiterungen entwickelt werden können. Auch in einem dezentralen und datensparsamen System können notwendige Informationen zur Pandemiebekämpfung erhoben und den Gesundheitsämtern zur Verfügung gestellt werden.

 

Referenzen

[1] Bereits am 25. März 2021 gaben Ticket i/O und die Entwickler des LUCA-Systems (https://landing.ticket.io/news/ticket-i-o-undluca-gehen-kooperation-ein) ihre Zusammenarbeit bekannt. Bisher geht es dabei um die Verifizierung von Schnelltests. Interne Dokumente (https://twitter.com/Linuzifer/status/1381516218176303105) weisen jedoch auf eine Ausweitung der Kooperation hin.
[2] Aus der Coronaverordnung des Landes Mecklenburg-Vorpommern (https://www.regierung-mv.de/static/Regierungsportal /Portalredaktion/Inhalte/Corona/Corona-Verordnung.pdf): „Die verpflichtende Dokumentation zur Kontaktnachverfolgung soll in elektronischer Form landeseinheitlich mittels LUCA-App erfolgen“.
[3] Dass ein Check-In von beliebigen Orten aus möglich ist, wurde bereits in der Praxis demonstriert (https://www.golem.de/news/coronapandemie-luca-app-ermoeglicht-check-ins-von-beliebigen-orten-aus-2104-155530.html).
[4] Eine ausführliche Analyse der Risiken des LUCA-Systems wurde bereits am 23. März 2021 als Preprint (https://arxiv.org/pdf/2103.11958.pdf) veröffentlicht. Darauf wurde auch in einer Stellungnahme des BfDI (https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2021/06_DSK-Kontaktnachverfolgung-Apps.html) hingewiesen.
[5] Eine umfassende Übersicht über die festgestellten Mängel im grundsätzlichen Systementwurf sowie bei der Umsetzung gibt eine Stellungnahme des CCC (https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse)

 

Erstunterzeichnende

  1. Dr. Florian Alt, Forschungsinstitut CODE, Universität der Bundeswehr München
  2. Dr. Frederik Armknecht, Universität Mannheim
  3. Dr. Michael Backes, CISPA Helmholtz Center for Information Security
  4. Dr. Markus Bläser, Universität des Saarlandes
  5. Dr. Eric Bodden, Heinz Nixdorf Institut der Universität Paderborn und Fraunhofer IEM
  6. Dr. Franziska Boehm, Karlsruher Institut für Technologie (KIT)/FIZ Karlsruhe
  7. Dr. Kevin Borgolte, Ruhr-Universität Bochum
  8. Dr. Stefan Brunthaler, Forschungsinstitut CODE, Universität der Bundeswehr München
  9. -Ing. Sven Bugiel, CISPA Helmholtz Center for Information Security
  10. Dr. Cas Cremers, CISPA Helmholtz Center for Information Security
  11. Jean Paul Degabriele, Technische Universität Darmstadt
  12. Dr. Christian Dietrich, Westfälische Hochschule
  13. Dr. Gabi Dreo Rodosek, Forschungsinstitut CODE, Universität der Bundeswehr München
  14. Dr. Hannes Federrath, Universität Hamburg, Arbeitsbereich Sicherheit in verteilten Systemen
  15. -Ing. Tobias Fiebig, TU Delft
  16. Dr. Nils Fleischhacker, Ruhr-Universität Bochum
  17. Dr.-Ing. Felix Freiling, Friedrich-Alexander-Universität Erlangen-Nürnberg
  18. Michael Friedewald, Fraunhofer ISI
  19. Dr.-Ing. Mario Fritz, CISPA Helmholtz Center for Information Security
  20. -Ing. Kai Gellert, Bergische Universität Wuppertal
  21. Dr.-Ing. Ulrich Greveler, Hochschule Rhein-Waal
  22. -Prof. Priv.-Doz. Dr. Daniel Gruss, TU Graz
  23. Seda Gurses, TU Delft
  24. Felix Günther, ETH Zürich
  25. Dr. Sabine Hark, TU Berlin
  26. Dr. Andreas Heinemann, Hochschule Darmstadt
  27. Dr. Dominik Herrmann, Otto-Friedrich-Universität Bamberg
  28. Dr. Thorsten Holz, Ruhr-Universität Bochum
  29. Dr. Wolfgang Hommel, Forschungsinstitut CODE, Universität der Bundeswehr München
  30. Dr.-Ing. Thomas Hupperich, Universität Münster, European Research Center for Information Systems
  31. -Ing. Swen Jacobs, CISPA Helmholtz Center for Information Security
  32. Dr.-Ing. Tibor Jager, Bergische Universität Wuppertal
  33. Dr. Martin Johns, Technische Universität Braunschweig
  34. Ghassan Karame, NEC Laboratories Europe
  35. Dr. Stefan Katzenbeisser, Universität Passau, PIDS
  36. Dr. Elif Bilge Kavun, University of Passau
  37. Dr. Doğan Kesdoğan, Universität Regensburg
  38. Dr. Eike Kiltz, Ruhr-Universität Bochum
  39. Dr. Teresa Koloma Beck, Helmut-Schmidt-Universität
  40. Dr.-Ing. Dorothea Kolossa, Ruhr-Universität Bochum
  41. Dr. Martin Kreuzer, Universität Passau, PIDS
  42. Katharina Krombholz, CISPA Helmholtz Center for Information Security
  43. Dr. Nicole Krämer, Universität Duisburg-Essen
  44. Robert Künnemann, CISPA Helmholtz Center for Information Security
  45. Dr. Gregor Leander, Ruhr-Universität Bochum
  46. Dr. Anja Lehmann, Hasso-Plattner-Institut, Universität Potsdam
  47. Dr. Klaus-Peter Löhr, FU Berlin
  48. Dr. Michael Meier, Universität Bonn
  49. Dr.-Ing. Mira Mezini, Technische Universität Darmstadt
  50. Dr. Esfandiar Mohammadi, Universität zu Lübeck
  51. Sebastian Pape, Goethe-Universität Frankfurt
  52. Giancarlo Pellegrino, CISPA Helmholtz Center for Information Security
  53. Dr. Günther Pernul, Universität Regensburg
  54. Dr. Joachim Posegga, Universität Passau, PIDS
  55. Dr. Kai Rannenberg, Goethe-Universität Frankfurt
  56. Dr. Steffen Reith, Hochschule RheinMain
  57. Dr. Anne Remke, WWU Münster
  58. Dr. Konrad Rieck, Technische Universität Braunschweig
  59. Dr. Oliver Rose, Dekan Informatik, Universität der Bundeswehr München
  60. Dr. Christian Rossow, CISPA Helmholtz Center for Information Security
  61. Dr. Martina Angela Sasse, Ruhr-Universität Bochum
  62. Ralf Sasse, ETH Zürich
  63. Dr. Sebastian Schinzel, FH Münster
  64. Dr.-Ing. Thomas Schneider, Technische Universität Darmstadt
  65. Dr.-Ing. Thomas Schreck, Hochschule München
  66. Dr. Dominique Schröder, Friedrich-Alexander-Universität Erlangen-Nürnberg
  67. Dr. Peter Schwabe, Max Planck Institute for Security and Privacy
  68. Dr. Matthew Smith, Rheinische Friedrich-Wilhelms-Universität Bonn, Fraunhofer FKIE
  69. Dr.-Ing. Juraj Somorovsky, Universität Paderborn
  70. Dr.-Ing. Christoph Sorge, Universität des Saarlandes
  71. Dr. LL.M. Indra Spiecker genannt Döhmann, Goethe-Universität Frankfurt
  72. -Ing. Cristian-Alexandru Staicu, CISPA Helmholtz Center for Information Security
  73. -Ing. Ben Stock, CISPA Helmholtz Center for Information Security
  74. Dr. Gunnar Teege, Forschungsinstitut CODE, Universität der Bundeswehr München
  75. Dr. Florian Tschorsch, TU Berlin
  76. Dr. Arno Wacker, Forschungsinstitut CODE, Universität der Bundeswehr München
  77. Dr. Andreas Zeller, CISPA Helmholtz Center for Information Security