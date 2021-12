Im März hatte die Programmiererin Bianca Kastl Anwendungen wie die mittlerweile stark umstrittene Luca-App zum Check-in bei Events als Lösung zum Kontaktnachverfolgen von ihrem Grundprinzip her noch als "sinnvoll" erachtet. Sie ermöglichten den medienbruchfreien und schnellen Transfer von Ereignisdaten. Mittlerweile hat sich ihre Ansicht geändert: Luca sei "technologisch tot", befand die Expertin am Montag auf dem remote Chaos Communication Congress (rC3) des Chaos Computer Clubs (CCC).

Scheinlösungen

Ebenfalls bereits im März habe sie für den Bodenseekreis einen Pilot-Test der App begleitet, berichtete Kastl. Diese habe sich dabei als "fachlich ungeeignet" herausgestellt, da sich das Verhältnis zwischen der Masse von Kontaktdaten und der Effizienz als "schwierig" herausgestellt habe. Ein Mitarbeiter des Landratsamts habe im Anschluss auch betont, dass es nicht dessen Rolle sei, "Entwicklungshilfe für private Betreiber zu leisten". Die Behörde könne auch kein Sicherheitsaudit durchführen.

Die Überprüfung übernahm Kastl dann selbst in ihrer Freizeit und baute sie gemeinsam mit ihrem Kollegen Tobias Ravenstein im "Team LucaTrack" aus. Sie fanden unter anderem eine Sicherheitslücke in den QR-Codes von Luca-Schlüsselanhängern. Dadurch wurde es möglich, Bewegungsprofile der Nutzer nachzuzeichnen. Weiter demonstrierten die IT-Experten laut der Entwicklerin, dass sich Schadcode über Excel in das Übertragungsverfahren etwa in ein Kontaktdatenfeld habe einbringen lassen. So wäre es denkbar gewesen, Ransomware einzuschleusen, was das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch als plausibel bezeichnet habe.

Klingt gut, funktioniert aber nicht

"Kryptografie allein löst keine Sicherheitsprobleme", kommentierte Kastl den Ansatz der Luca-Macher, die ihre Technik gern als "doppelt verschlüsselt" anpriesen. Das bringe aber nichts, wenn man den Schlüssel im Code mit ablege. Auch ein Krypto-Konzept reiche nicht, solange andere Sicherheitsgrundlagen nicht beachtet und Daten "durch die Gegend geschoben" würden.

(Bild: CC by 4.0 rC3 media.ccc.de)

Entwickler sollten zunächst in Infrastrukturen und Programmierschnittstellen (APIs) denken und erst dann in Anwendungen, lautet eine weitere Erkenntnis der Fachfrau. Die Leute wollten zwar Apps, diese schlössen aber keine Digitalisierungslücken. Luca sei kein offener Standard, sondern ein sehr spezielles System. Prinzipiell komme es selten vor, "dass du Daten zwischenparkst", um sie dann ans Amt zu schicken.

Iris vs. Luca

Mit "Iris connect" habe sie daher gemeinsam mit Unterstützern einen Gegenentwurf auf Basis der Anwendung des Innovationsverbunds Öffentliche Gesundheit vorangetrieben, führte Kastl aus. Auch dabei gehe es darum, Gästelisten-Apps ans Gesundheitsamt anzubinden. Zum Einsatz kämen dafür aber eigene Clients in GA, Zertifikate und Proxy-Server. So habe das Team eine Infrastruktur in Code gegossen, die nun etwa auch zur Trinkwasserkontrolle genutzt werden könne.

Bei Luca werde auch allenfalls ein Aktengang von einer zur nächsten Behörde elektrifiziert, kritisierte die Insiderin. Dabei müssten erst Dinge freigegeben, von der Location angefragt und dann in den Check-ins geschaut werden, wer Kontakt mit einem Infizierten hatte. Dabei handle es sich um einen manuell ausgelösten Prozess. In der Regel frage aber keiner die Daten ab, da die Arbeitslast in den Gesundheitsämtern in den mehrfachen Corona-Wellen zu hoch sei. Sie wisse daher nicht, was Luca noch für einen Nutzen haben könnte bei den nun mit der Omikron-Variante zu erwartenden hohen Fallzahlen.

Viele Bundesländer, die Millionen für Luca-Lizenzen ausgegeben haben, lernen Kastl zufolge aber offenbar nur aus Geldverschwendung. Da Check-ins mittlerweile auch mit der Corona-Warn-App (CWA) verfolgt werden könnten, strebten zumindest Baden-Württemberg, Brandenburg und Bremen eine Verlängerung der entsprechenden Verträge offenbar nicht an. Wie sich die Länder konkret entscheiden, dürfte sich im 1. Quartal 2022 zeigen.

Meldeketten verkürzen

Noch bevor Bund und Länder das "Surveillance Outbreak Response Management and Analysis System" (Sormas) zum Kontaktnachverfolgen empfahlen, habe sie als Fax-Alternative im Sommer 2020 eine separate Lösung im Auftrag einer Behörde mit an den Start gebracht, sagte Kastl. Alle Beteiligten seien damit über eine Plattform mit dem Gesundheits- und Ordnungsamt sowie 23 Gemeinden eingebunden worden. Letztlich sei es darum gegangen, die Meldekette, die das Landesgesundheitsamt und das Robert-Koch-Institut über Survnet einschließt, zu digitalisieren und mit agilen Prozessen etwa auf neue Virusmutanten auszurichten. Die Schnittstellenlage habe sie in einem Bericht beschrieben, woraufhin sie damals noch Fanpost vom Luca-Mitentwickler Smudo erhalten habe.

Noch nicht im Detail äußern wollte sich die Programmiererin zum jüngsten Update der CWA, womit diese jetzt während der Online-Buchung eines Tickets für eine Veranstaltung einen erforderlichen Nachweis über die Impfung gegen Covid-19 liefern kann. Normalerweise lege die App Impfzertifikate nur auf dem Endgerät ab. Mit der neuen Version könnten diese nun aber auch an "Prüfverwalter" wie die Deutsche Telekom übermittelt werden. Damit gebe es eine Möglichkeit zur Ausleitung. Sie könne noch nicht sagen, ob dieser Ansatz sicher sei. Die Hersteller unterstreichen, dass die Nachweise auf dem Smartphone verbleiben und nicht außerhalb des Validierungsservices gespeichert werden.

(kbe)