Die Luca-App: Dilettantisch und sinnlos

Das Debakel um die Luca-App zur Kontaktnachverfolgung. Teil 1: das Firmengeflecht und die Profiteure

Die Corona-Tracing-App Luca, die der Rapper Smudo in deutschen Fernsehshows bewirbt, genießt nach wie vor ein positives Image, obwohl die Firmen dahinter mit Anfängerfehlern und dubiosen Konzepten antreten. Politiker und Länder dehnen geltendes Recht, um schnell in den Genuss der App zu kommen, über zehn Millionen hat man schon eingeworben. Aber geht da alles mit rechten Dingen zu?

Eigentlich haben die Entwickler der Luca-App zuletzt so ziemlich alles falsch gemacht, was man falsch machen kann, nicht nur technisch. Der Digital-Rights-Experte Michael Veale bringt es auf Twitter auf den Punkt. Sein Fazit: Urheberrechtsverletzungen, haarsträubend falsch verwendete GPL-Lizenzen, Nutzungsbestimmungen, die die Analyse und Publikation potenzieller Schwachstellen verhindern, fragwürdige Technik, unsichere und nicht nachvollziehbare Sicherheitslösungen, vor allem bei Verschlüsselung, Schlüsselablage und Metadaten und allgemein dem Datenschutz, und nur zaghaft, widerwillig und teilweise veröffentlichter Code.

Screenshot Twitter

Was bisher an Softwarequelltext publiziert wurde, ist unvollständig, von fragwürdiger Qualität, teilweise gar unerlaubt von Dritten übernommen. Sicherheit, Anonymität und Datenschutz können einer vernichtenden Analyse von wissenschaftlichen Expert:innen der Universitäten Lausanne und Radboud (Niederlande) zufolge nicht sichergestellt werden.

Der vorbildliche Schlüsselanhänger, den die Luca-App-Hersteller auch anbieten, lässt sich simpel selbst erzeugen, was Kunden wie die Rostocker Bürgerschaft verärgerte. Vor allem, als man feststellen musste, dass jede beliebige sechsstellige Zahl als Tan zur Bestätigung funktionierte.

Wer anonym mitmachen oder testen will nutzt SMS-Dienste für die Tans wie SMS24.me. Offenbar machten das Hunderte von Testern. Auch das spricht nicht gerade für das Vertrauen, das Anwender in die App setzen.

Nun fand auch noch der CCC Freiburg eigentlich gefixt geglaubte Lücken, die den Massenversand von SMS via Luca erlaubten. Das Problembewusstsein des Herstellers scheint Anfang April noch nicht allzu ausgeprägt: Ein Problem im SMS-Versand sehe man nicht, hieß es von dieser Seite.

Sicherheitsexperten fanden durch einfaches Testen der URLs heraus, dass die Daten der Standorte und die anwesenden Besucher nicht nur ohne Verschlüsselung und Authentifizierung auslesbar, sondern teilweise auch aus der Ferne änderbar sind. Vor Ort sein muss man derzeit wohl nicht, um sich an einem Standort zu registrieren. Und diverse Einrichtungen – vielleicht wie Frauenhäuser, vielleicht Selbsthilfegruppen – dürften es nicht lustig finden, wenn ihre Adressen im Netz erscheinen.

Desaströses PR-Verhalten

Auch das PR-Verhalten der Macher ist ein Desaster, man laviert von Fehlereingeständnissen zu Entschuldigungen oder vertröstet Sicherheitsexperten auf spätere Versionen, manchmal verstrickt man sich in Widersprüche, weil der eine Geschäftsführer zugibt, man habe einen Fehler gemacht, während sein Kollege von längerfristiger Strategie spricht.

Bis heute hat man nur den Code einer zukünftigen Android-App-Version ohne Historie veröffentlicht, und schon der ist beklagenswert schlecht. Rapper und Maskottchen Smudo springt derweil von Talkshow zu Talkshow und wird nicht müde zu erklären, dass er kein Entwickler sei, auch wenn Medien wie der Rundfunk Berlin-Brandenburg ihn immer wieder als "Mitentwickler" bezeichnen.

Was er nicht sagt, ist dagegen, dass er mit einer Fanta-4-Holding an dem Projekt beteiligt ist. Ja, richtig verstanden: Die Luca-App ist ein kommerzielles Produkt eines Unternehmens, das gewinnorientiert arbeitet, von Menschen, die andere kommerzielle Interessen verfolgen. Daher auch die Kooperation mit Ticketherstellern Aber dazu später mehr.

Die Frage, ob die Hersteller so dilettantisch unterwegs sind, dass ihnen all diese Fehler unbeabsichtigt unterlaufen oder ob all das einem größeren Plan folgt, ist gar nicht so einfach zu beantworten. Am wahrscheinlichsten ist wohl der Plan, so argwöhnen Analysten, dass die Hersteller auf Zeit spielen, um möglichst viele Kunden, Anwender oder Behörden zu gewinnen, möglichst viel Geld abzugreifen, sodass der wirtschaftliche Erfolg sichergestellt ist, egal wie die Qualität der App aussieht. Dann hätte man genug Kunden der öffentlichen Hand in derselben. Ein wunderbarer Hebel zum Gelddrucken.

Über zehn Millionen Euro Steuergelder könnten es den Herstellern erlauben, ein System zu entwickeln, das zwar niemand braucht, aber leichtfertig mit Benutzerdaten umgeht und wenigen Beteiligten ein Vermögen einbringt.

Derweil treten Smudo und der CEO des Herstellers selbstbewusst, gleichzeitig mit wenig Fakten unterfüttert auf, nicht nur hinter den Kulissen mächtig unterstützt von der Politik, etwa der CDU-Fraktion oder auch Berlins Regierender Bürgermeister Michael Müller (SPD) "Ich hab' die jetzt bestellt".

Cloud-Produkte, Kneipiers, Rapper und Verhaltensanalysen

Für diese Interpretation sprechen schon die Businessmodelle der Hersteller der Luca-App, einem interessanten Konglomerat aus Start-ups und Kulturschaffenden. Nexenio, eine Ausgründung des Hasso-Plattner-Instituts, die Culture4life GmbH und die im November 2020 gegründete Fantastic Capital Beteiligungsgesellschaft UG.

Das Berliner Start-up Nexenio hat nach eigenen Angaben 50 Mitarbeiter und wirbt auf seiner Webseite für drei Produkte: ein Cloud-Whiteboard, ein Cloud-Produkt für die Bundesdruckerei sowie Seamless.me, die "verhaltensbasierte Authentifizierung nutzt Sensoren in mobilen Geräten wie Smartphones oder Smartwatches". Vor allem den Verweis zur Bundesdruckerei zieht man gebetsmühlenartig heran, um die Qualität der eigenen Arbeit zu beteuern.

Inhaber und Betreiber des Luca-App-Systems ist die im Impressum der Luca-App genannte Culture4life GmbH, "an der neben der Nexenio GmbH (41 Prozent) auch Marcus Trojan UG (27,5 Prozent, Geschäftsführer), Fantastic Capital Beteiligungsgesellschaft UG (22,9 Prozent) sowie Centineo Investment I GmbH & Co KG (8,3 Prozent) beteiligt sind. Unternehmenszweck ist die Erbringung von Dienstleistungen in der Informationstechnik."1

Marcus Trojan kennen die Berliner noch vom Club "Weekend", mit dem er sich einen fragwürdigen Namen machte, weil er mit markigen Sprüchen reichere Klientel in seinen Club locken wollte: "Wer nicht in der Lage sei, 20 Euro für ein Taxi zu bezahlen, sei für ihn auch nicht attraktiv als Kunde", schrieb 2014 der Berliner Tagesspiegel. Er habe eben "eine ganz spezielle Vorstellung von der Zielgruppe die sein Club anziehen soll."

Die GbR Beck, Dürr, Rieke, Schmidt

Und wer steckt hinter der Ende 2020 gegründeten Fantastic Capital Beteiligungsgesellschaft UG? Laut Branchenverzeichnissen eine GbR der Herren Beck, Dürr, Rieke, Schmidt – die Fantastischen Vier. Die haben übrigens gerade letztes Jahr ihre 30-Jahres-Jubiläumstournee verschieben müssen ("Und wir WERDEN diese 30 JAHRE LIVE Shows spielen - no matter what! (...) Alle Tickets behalten uneingeschränkt ihre Gültigkeit und müssen nicht umgetauscht werden!"). Die Corona-Zeiten sind sicher hart, aber weder Trojan noch die Fanta 4 stehen im Verdacht, "IT-Dienstleistungen" erbringen zu können, aber sie halten zusammen mehr als 50 Prozent einer Firma, die genau das verspricht.

Auch ist es ungewöhnlich, dass eine Gruppierung wie Culture4life unkompliziert und ohne Ausschreibungen Millionen an Steuergeldern erhält, wie das gerade geschieht. Die Mittel stammen aus Niedersachsen, Hessen, Mecklenburg-Vorpommern, Baden-Württemberg und Thüringen.

Trotz zahlreicher Konkurrenzprodukte auf dem Markt sind Ausschreibungen ausgeblieben, bis zu zehn Millionen Euro sollen bereits geflossen sein. "Mecklenburg-Vorpommern ist meines Wissens nach das einzige der Dataport-Trägerländer, das eine eigene Markterkundung gemacht hat. Haben elf Bundesländer Lizenzen der #lucaApp gekauft ohne Ausschreibung und auf Basis von online zusammen kopierten Textblöcken?", fragt die Investigativ-Journalisting Eva Wolfangel. Es wird nicht lange dauern, bis Konkurrenten gerichtliche Schritte einleiten, eine Klage läuft offenbar schon.

Datenschützer aus Baden-Württemberg und Thüringen rudern vor und wieder zurück. Im ostdeutschen Bundesland ergab eine Schnellprüfung erst grünes Licht für Luca, nach gründlicherer Prüfung schlug man aber Alarm. Über das ursprüngliche Urteil, das der App ein "gutes Niveau" bescheinigte reagierten viele Experten mit Kopfschütteln.