Die Luca-App: Dilettantisch und sinnlos

Das Debakel um die Luca-App zur Kontaktnachverfolgung. Teil 1: das Firmengeflecht und die Profiteure

Die Corona-Tracing-App Luca, die der Rapper Smudo in deutschen Fernsehshows bewirbt, genießt nach wie vor ein positives Image, obwohl die Firmen dahinter mit Anfängerfehlern und dubiosen Konzepten antreten. Politiker und Länder dehnen geltendes Recht, um schnell in den Genuss der App zu kommen, über zehn Millionen hat man schon eingeworben. Aber geht da alles mit rechten Dingen zu?

Eigentlich haben die Entwickler der Luca-App zuletzt so ziemlich alles falsch gemacht, was man falsch machen kann, nicht nur technisch. Der Digital-Rights-Experte Michael Veale bringt es auf Twitter auf den Punkt. Sein Fazit: Urheberrechtsverletzungen, haarsträubend falsch verwendete GPL-Lizenzen, Nutzungsbestimmungen, die die Analyse und Publikation potenzieller Schwachstellen verhindern, fragwürdige Technik, unsichere und nicht nachvollziehbare Sicherheitslösungen, vor allem bei Verschlüsselung, Schlüsselablage und Metadaten und allgemein dem Datenschutz, und nur zaghaft, widerwillig und teilweise veröffentlichter Code.

Screenshot Twitter

Was bisher an Softwarequelltext publiziert wurde, ist unvollständig, von fragwürdiger Qualität, teilweise gar unerlaubt von Dritten übernommen. Sicherheit, Anonymität und Datenschutz können einer vernichtenden Analyse von wissenschaftlichen Expert:innen der Universitäten Lausanne und Radboud (Niederlande) zufolge nicht sichergestellt werden.

Der vorbildliche Schlüsselanhänger, den die Luca-App-Hersteller auch anbieten, lässt sich simpel selbst erzeugen, was Kunden wie die Rostocker Bürgerschaft verärgerte. Vor allem, als man feststellen musste, dass jede beliebige sechsstellige Zahl als Tan zur Bestätigung funktionierte.

Wer anonym mitmachen oder testen will nutzt SMS-Dienste für die Tans wie SMS24.me. Offenbar machten das Hunderte von Testern. Auch das spricht nicht gerade für das Vertrauen, das Anwender in die App setzen.

Nun fand auch noch der CCC Freiburg eigentlich gefixt geglaubte Lücken, die den Massenversand von SMS via Luca erlaubten. Das Problembewusstsein des Herstellers scheint Anfang April noch nicht allzu ausgeprägt: Ein Problem im SMS-Versand sehe man nicht, hieß es von dieser Seite.

Sicherheitsexperten fanden durch einfaches Testen der URLs heraus, dass die Daten der Standorte und die anwesenden Besucher nicht nur ohne Verschlüsselung und Authentifizierung auslesbar, sondern teilweise auch aus der Ferne änderbar sind. Vor Ort sein muss man derzeit wohl nicht, um sich an einem Standort zu registrieren. Und diverse Einrichtungen – vielleicht wie Frauenhäuser, vielleicht Selbsthilfegruppen – dürften es nicht lustig finden, wenn ihre Adressen im Netz erscheinen.

Desaströses PR-Verhalten

Auch das PR-Verhalten der Macher ist ein Desaster, man laviert von Fehlereingeständnissen zu Entschuldigungen oder vertröstet Sicherheitsexperten auf spätere Versionen, manchmal verstrickt man sich in Widersprüche, weil der eine Geschäftsführer zugibt, man habe einen Fehler gemacht, während sein Kollege von längerfristiger Strategie spricht.

Bis heute hat man nur den Code einer zukünftigen Android-App-Version ohne Historie veröffentlicht, und schon der ist beklagenswert schlecht. Rapper und Maskottchen Smudo springt derweil von Talkshow zu Talkshow und wird nicht müde zu erklären, dass er kein Entwickler sei, auch wenn Medien wie der Rundfunk Berlin-Brandenburg ihn immer wieder als "Mitentwickler" bezeichnen.

Was er nicht sagt, ist dagegen, dass er mit einer Fanta-4-Holding an dem Projekt beteiligt ist. Ja, richtig verstanden: Die Luca-App ist ein kommerzielles Produkt eines Unternehmens, das gewinnorientiert arbeitet, von Menschen, die andere kommerzielle Interessen verfolgen. Daher auch die Kooperation mit Ticketherstellern Aber dazu später mehr.

Die Frage, ob die Hersteller so dilettantisch unterwegs sind, dass ihnen all diese Fehler unbeabsichtigt unterlaufen oder ob all das einem größeren Plan folgt, ist gar nicht so einfach zu beantworten. Am wahrscheinlichsten ist wohl der Plan, so argwöhnen Analysten, dass die Hersteller auf Zeit spielen, um möglichst viele Kunden, Anwender oder Behörden zu gewinnen, möglichst viel Geld abzugreifen, sodass der wirtschaftliche Erfolg sichergestellt ist, egal wie die Qualität der App aussieht. Dann hätte man genug Kunden der öffentlichen Hand in derselben. Ein wunderbarer Hebel zum Gelddrucken.

Über zehn Millionen Euro Steuergelder könnten es den Herstellern erlauben, ein System zu entwickeln, das zwar niemand braucht, aber leichtfertig mit Benutzerdaten umgeht und wenigen Beteiligten ein Vermögen einbringt.

Derweil treten Smudo und der CEO des Herstellers selbstbewusst, gleichzeitig mit wenig Fakten unterfüttert auf, nicht nur hinter den Kulissen mächtig unterstützt von der Politik, etwa der CDU-Fraktion oder auch Berlins Regierender Bürgermeister Michael Müller (SPD) "Ich hab' die jetzt bestellt".