Seite 2: My Name is Luca

Inhaltsverzeichnis

In Taiwan, Südkorea und anderen demokratischen Staaten funktioniert die Pandemiebekämpfung so gut, weil die Politik früh wirksame Konzepte erarbeitet und die Gesundheitsämter mit den nötigen Mitteln ausgestattet hat, diese umzusetzen. Hierzulande ist das anders: Beispielsweise sehen die Coronaverordnungen der Bundesländer vor, dass jede Location, sei es der Biergarten, das Museum oder die Kirche, eingelassene Personen namentlich erfassen muss. So sollen die Gesundheitsämter Infektionsketten nachverfolgen können, wenn ein positiver Test zu einem bestimmten Zeitpunkt bekannt wird. In der Praxis sind die Ämter damit aber heillos überfordert. Die Nachverfolgung funktioniert nicht, geschweige denn die Überwachung von Quarantänemaßnahmen.

Um der resultierenden Zettelwirtschaft entgegenzutreten, entstanden Mitte 2020 Dutzende funktionierende Smartphone-Check-in-Systeme, von denen sich keines durchsetzen konnte. Wie schon im Fall der Corona-Warn-App bedurfte es eines Heilsversprechens, diesmal dem des Fanta-4-Rappers Smudo. Er stellte in der Talskow AnneWill Ende Februar Normalität und Öffnungen in Aussicht, wenn nur alle Check-ins künftig über das Luca-App-System laufen.

Die Luca-App stammt vom Start-up Nexenio, auch die Fanta 4 haben kräftig in das System investiert. Plötzlich ist es in aller Politikermunde, und in zwei Monaten sammelte Nexenio rund 20 Millionen Euro von 13 Bundesländern ein, die ohne Ausschreibung eine Jahreslizenz bei Nexenio erwarben. Vor allem deswegen hängen die Luca-QR-Codes an immer mehr Eingängen. Mecklenburg-Vorpommern hat jüngst sogar seine Verordnung angepasst. Wörtlich heißt es im neuen § 13a (Maßnahmen zur regionalen Lockerung): "Die verpflichtende Dokumentation zur Kontaktnachverfolgung soll in elektronischer Form landeseinheitlich mittels Luca-App erfolgen."

Schon wieder soll der Glaube an technische Lösungen überdecken, dass die Basics nicht stimmen. Luca stellt all das dar, was die CWA nie sein sollte: ein zentrales Erfassungssystem für sensible Bürgerdaten, etwa Bewegungsprofile und Gesundheitsatteste. Überdies wird diese Apparatur betrieben von einem privatwirtschaftlichen, gewinnorientierten Start-up, das augenscheinlich vollkommen überfordert ist und deshalb derzeit weit davon entfernt, bei allen Nebenwirkungen wenigstens sein Heilsversprechen einlösen zu können.

Ein Fiasko droht

Es verging seit Anfang März kaum ein Tag, an dem nicht neue, peinliche Schwächen des Systems an die Öffentlichkeit gelangten. Mal ging es um eine nicht funktionierende Check-out-Funktion, dann um eine Lücke, die Bewegungshistorien von Nutzern in die Hand von Check-in-Betreibern oder dem Luca-Anbieter selbst gibt. Landesdatenschutzbehörden, die Luca noch im Januar ein funktionierendes Verschlüsselungskonzept attestiert hatten, zogen reihenweise ihre Unterstützung zurück.

Nun sind die Bundesländer in der Bredouille, denn sie haben ihre umstrittenen Öffnungsmodelle untrennbar an Luca gekoppelt. Die Modellregion Weimar hat allerdings in einer ersten Bilanz erklärt, dass Luca keinen relevanten Beitrag zur Nachverfolgung leisten konnte, und überdies die Unterstützung durch den Betreiber nicht zufriedenstellend war.

Der Luca-Einsatz droht zum Fiasko zu werden. Angesichts der Sicherheitsprobleme sowie der seltsam abwiegelnden Kommunikation des Unternehmens Nexenio kann eigentlich momentan keine Kommune guten Gewissens Luca einsetzen. Der Chaos Computer Club hat sich aus der Debatte lange herausgehalten, um dann doch Mitte April drastisch Partei zu ergreifen: Unter der Überschrift "Luca-App: CCC fordert Bundesnotbremse" leitet die Hacker-Vereinigung eine Abrechnung ein, in der sie sowohl die Vergabepraxis als auch die handwerklichen Mängel hart kritisiert: "Der CCC fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab ‚Luca-App‘."

Nexenio antwortete dem CCC postwendend öffentlich: Luca sei ja ein "freiwilliges Angebot". Und ja: "Die Luca-App kann ausgetrickst werden – wie viele andere Hilfsmittel gegen Corona auch." Das System sei "auf keinen Fall der alleinige Heilsbringer". Das freilich klang bei Smudos Talkshow-Auftritten noch ganz anders. Es bleibt die Frage, ob man sich auf die Luca-App einlassen soll, um Läden oder Restaurants betreten zu dürfen. Angesichts der Menge an Schwächen des zentralen Erfassungssystems ist es vorerst wohl sicherer, wo immer möglich die guten alten Check-in-Zettel auszufüllen.

c’t Ausgabe 10/2021

Wir haben unser Notfallsystem c't-WIMage neu aufgelegt. Außerdem erfahren Sie in c’t 10/2021, wie Sie die Selbstheilung von Windows nutzen, Ihre Fritzbox absichern und wer beim Linux-Kernel mitredet. Wir haben Oberklasse-Notebooks, -Handys und Gaming-Mäuse getestet und erläutern die Grundlagen von Flash-Speichern, Ethereum und NFTs. Ausgabe 10/2021 ist ab dem 23. April im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.

(hob)