Audio

Loca-tag 'teaser_more_audio_sr' not found Forschende warnen vor Luca-App

Eine Kundin scannt den QR-Code der Luca-App zur Kontaktnachverfolgung. (dpa)

Über zwei Millionen Euro hat das Land Hessen in die Luca-App investiert. Gesundheitsämter sollen damit Kontakte nachverfolgen und zugleich Öffnungen erleichtert werden. Doch Sicherheitsexperten wie Thomas Schneider, Professor an der TU Darmstadt, sind von der App entsetzt.

Nichts weniger als ein Weg aus dem Lockdown soll sie sein, die Luca-App - prominent beworben von Smudo, Rapper bei den Fantastischen Vier. Mit einer Check-in-Funktion per QR-Code sollen Veranstalter, Geschäfts- und Restaurantbetreiber sowie die Gesundheitsämter von der mühsamen Kontaktverfolgung per Papierfragebogen entlastet werden. Mehrere Bundesländer haben insgesamt über 20 Millionen Euro in die App eines privaten Start-Ups investiert, allein Hessen über zwei Millionen Euro.

Derweil tauchen immer wieder Sicherheitslücken auf, der Satiriker Jan Böhmermann loggte sich etwa über das Foto eines QR-Codes in den Osnabrücker Zoo ein, ohne wirklich da zu sein. IT-Experten kritisieren die App seit Wochen. Nun haben über 70 Wissenschaftlerinnen und Wissenschaftler und über 200 weitere Unterstützende eine "Gemeinsame Stellungnahme zur digitalen Kontaktnachverfolgung" veröffentlicht und den Einsatz der App scharf kritisiert.

Einer der Unterzeichner ist Thomas Schneider, Professor für Cryptography and Privacy Engineering an der TU Darmstadt. Die App berge ein großes Missbrauchspotenzial, warnt er im Interview.

hessenschau.de: Herr Schneider, Sie haben gemeinsam mit über 70 Kolleginnen und Kollegen eine Stellungnahme unterzeichnet, in der Sie die Risiken der Luca-App als völlig unverhältnismäßig bezeichnen. Welche Probleme birgt die App aus Ihrer Sicht?

Thomas Schneider: An meinem Fachgebiet an der TU Darmstadt arbeiten wir an Technologien zum Schutz von Daten. Daher unterstütze ich die Stellungnahme aus fachlicher Sicht voll und ganz. Ich halte es für äußerst problematisch, dass mit Steuergeldern eine App zur Kontaktnachverfolgung finanziert und eingesetzt werden soll, die Daten zentral sammelt und die von einem Privatunternehmen entwickelt wurde, das diese Daten möglicherweise monetarisieren könnte.

hessenschau.de: Was ist Ihr Hauptargument gegen die Luca-App?

Schneider: Die erste Frage, die man beantworten muss, ist, ob man überhaupt eine App zur Kontaktnachverfolgung beziehungsweise für Besucher- und Gästelisten verwenden sollte. Das wurde vor Einführung der Corona-Warn-App auch schon diskutiert. Eine App hat immer das Potenzial, dass es darin Sicherheitslücken gibt oder dass sie missbraucht werden kann. Wenn man sich für eine App entscheidet, dann sollte es eine möglichst datenschutzkonforme und auf Sicherheitslücken getestete App mit frei verfügbarem Quellcode sein. Und es muss den Bürgerinnen und Bürgern selbst überlassen bleiben, ob sie diese verwenden möchten oder nicht.

Das ist - so wie es derzeit aussieht - bei der Luca-App nicht der Fall. Bei ihr sind Sicherheitslücken erst im laufenden Betrieb entdeckt worden und Daten konnten manipuliert werden. Außerdem gibt es erste Bestrebungen, die Nutzung der App zur Pflicht zu machen.

hessenschau.de: Inwieweit ist die Luca-App nicht datenschutzkonform?

Schneider: Der Betreiber einer solchen App sollte auf keinen Fall zentral Nutzerdaten sammeln, so wie es die Luca-App derzeit tut. Es ist nur eine Frage der Zeit, bis diese Daten entwendet, missbraucht oder gar verkauft werden könnten.

hessenschau.de: Aber letztendlich geht es darum, mögliche Infektionsketten zu unterbrechen und Menschenleben zu retten. Muss der Datenschutz da nicht zurücktreten?

Schneider: Wir können Leben retten und gleichzeitig Daten schützen. Das eine schließt das andere ja nicht aus. Man kann die Daten schützen, indem man die Systeme entsprechend entwirft. Es ist wichtig, möglichst wenige Daten zu sammeln, die Daten richtig zu sammeln und zu verarbeiten – idealerweise in einem dezentralen System. Dafür gibt es diverse Ansätze.

hessenschau.de: Jetzt könnte man sagen, naja, wen interessiert es schon, ob ich in den Zoo gehe.

Schneider: Über Kontaktnachverfolgung gewonnene Daten sind Bewegungsprofile, also hochsensitive Daten, die sehr feingranular gesammelt werden. Wir müssen uns klar werden, was diese Daten über uns aussagen können - zum Beispiel, wann ich zur Arbeit oder zu welchem Arzt gehe, wo ich einkaufe, wen ich wann und vielleicht mehrmals treffe.

Wenn man solche Daten sammelt und verarbeitet, was wir zur Zeit ja ein Stück weit wollen, um diese Pandemie einzudämmen, dann muss dies unter bestmöglicher Wahrung des Datenschutzes geschehen. Daten ohne Zweckbindung zentral zu sammeln und dann mal zu schauen, was man damit macht, das darf nicht sein.

hessenschau.de: Wir geben aber sowieso schon viele Daten über Google, Facebook und Co. preis. Fällt da eine weitere App so ins Gewicht?

Schneider: Welche Daten man preisgibt, muss natürlich jeder selbst entscheiden. Schon wenn ich nur ein Handy mit mir herumtrage, werden Daten vom Betriebssystem gesammelt, dessen muss ich mir bewusst sein. Auch hier muss ich dem jeweiligen Hersteller vertrauen, dass er die Daten nicht missbraucht und dass keine Sicherheitslücken existieren.

Bei Luca ist es zudem so, dass niemand den genauen Quellcode kennt und weiß, was diese App auf dem Handy tut beziehungsweise was auf dem Server mit den Daten passiert - im Gegensatz zur Corona-Warn-App. Da hatten Experten Einsicht. Man weiß, wie die App arbeitet und dass die Daten dezentral gespeichert werden.

hessenschau.de: Ausgerechnet die Corona-Warn-App hat einer neusten Umfrage zufolge in Sachen Datenschutz aber ein schlechtes Image.

Schneider: Dabei ist der Vorteil der Corona-Warn-App aus Datenschutz-Sicht, dass sie nur die nötigsten Daten sammelt und wie gesagt dezentral speichert. Das macht sie sicherer vor Angriffen oder Missbrauch. Die App wurde in staatlichem Auftrag durch mehrere große IT-Unternehmen entwickelt. Diese Unternehmen haben ein großes IT-Sicherheits-Knowhow über Jahre aufgebaut.

Es wäre sinnvoll, hier weiterzuentwickeln und die entsprechenden Features einzubauen - in einem dezentralen, datenschutzfreundlichen Ansatz und unter Einbeziehung von Forscherinnen und Forschern in der IT-Sicherheit.

Videobeitrag

Video

zum hr-fernsehen.de Video Luca-App - was an der Kritik dran ist

mex. das marktmagazin vom 21.04.2021
Ende des Videobeitrags

Das Gespräch führte Sonja Fouraté.