Kontaktnachverfolgungs-App Luca-Programmcode nun komplett online

Stand: 15.04.2021 15:01 Uhr

Die Macher der Luca-App haben den Quellcode ihres Systems vollständig veröffentlicht. Damit kann er von unabhängigen Stellen überprüft werden. Auch zu Vorwürfen des Chaos Computer Club nahmen die Entwickler Stellung.

Die Entwickler der Luca-App haben den Programmcode ihres Systems zur Kontaktverfolgung vollständig unter einer Open-Source-Lizenz veröffentlicht. Seit Mittwochabend ist der Quellcode der beiden App-Versionen (Android und iOS) sowie des Backend-Systems auf der Plattform GitLab einsehbar. Er kann damit nun von unabhängigen Stellen überprüft werden.

Man wolle eine transparente Analyse und Weiterentwicklung der Software ermöglichen, erklärte die Culture4life GmbH, das Unternehmen hinter dem Luca-System. Firmenchef Patrick Hennig sagte, es gehe dabei auch darum, "ein hohes Vertrauen in die Sicherheit bei allen Beteiligten und interessierten Nutzer:innen zu erzeugen". Das Verfahren sorge außerdem dafür, dass der Quellcode oft getestet und mögliche Probleme schnell identifiziert werden könnten.

Vorwürfe von Datenschutz-Aktivisten

Die Macher der Luca-App wiesen zugleich mehrere Kritikpunkte der europäische Hackervereinigung Chaos Computer Club (CCC) zurück. Diese hatte zuvor gefordert, keine Steuermittel mehr für die Luca-App zur Corona-Kontaktnachverfolgung auszugeben. CCC-Sprecher Linus Neumann verwies am Mittwoch auf eine "nicht abreißende Serie von Sicherheitsproblemen" bei dem Luca-System. Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind. "Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren", kritisierte Neumann.

Die Entwickler der App räumten nun ein, dass es eine Schwachstelle beim Luca-Schlüsselanhänger gegeben habe, die aber inzwischen beseitigt worden sei. Außerdem sei der Schutz der Kontaktdaten die ganze Zeit gewährleistet gewesen.

Hennig wehrte sich zugleich gegen den Vorwurf des CCC, das Luca-System sei potenziell jederzeit in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen. "Aus unserer Sicht ist das Fundamentalkritik an zentralen Datenspeicherungssystemen, die im übrigen aber an vielen Stellen des gesellschaftlichen Lebens wie bei Telekommunikationsanbietern, Kreditkartenunternehmen und auch im Gesundheitswesen vielerorts zum Einsatz kommen." Entsprechend müssten diese Systeme gegen Missbrauch abgesichert werden. "Dies ist beim Luca-System der Fall."

In mehreren Bundesländern aus Steuermitteln finanziert

Die Luca-App, für die unter anderem Hip-Hop-Sänger Smudo von den "Fantastischen Vier" geworben hatte, wird in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg aus Steuermittel finanziert. Die eingesetzten Mittel summieren sich nach Recherchen des Portals Netzpolitik.org auf insgesamt 20 Millionen Euro. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

In Berlin hatte der Senat gestern erklärt, dass die App trotz der Hinweise auf Sicherheitsprobleme zum Einsatz kommen solle. Auch die Berliner Datenschutzbeauftragte Maja Smoltczyk hatte am vergangenen Freitag im "Tagesspiegel" auf datenschutzrechtliche Probleme hingewiesen. Nach den Vorwürfen des CCC sagte sie, es überrasche sie nicht, dass die geäußerten Bedenken wegen der beträchtlichen datenschutzrechtlichen Risiken beim Betrieb der App von dem Club geteilt würden. "Wir bleiben daher auch bei unserer Einschätzung, dass eine genauere Überprüfung der App im Vorfeld der Anschaffung wünschenswert gewesen wäre", erklärte sie.

Über dieses Thema berichtete Deutschlandfunk am 10. April 2021 um 16:41 Uhr.

Darstellung: