AKTUELL

Macher der luca App nehmen Stellung: Fakten vs. Geraune

By August 25, 2021September 1st, 2021No Comments

In sozialen und klassischen Medien arbeiten sich Kritiker und Schreiber:innen an der luca App ab. Auch das Online-Magazin Telepolis aus dem heise Verlag hat verschiedene, überaus kritische Artikel zum Thema veröffentlicht – teilweise voller fehlgeleiteter Spekulationen. Zeit für unsere Unternehmensgründer, der Fiktion belastbare Fakten gegenüberzustellen. 

 

Haben wir in unserer Rolle als Entwickler:innen von luca alles richtig gemacht? Nein, natürlich nicht. Wir stellen uns jeglicher Kritik – zu Beginn der Vorwürfe im Frühjahr 2021 sicherlich weniger souverän als jetzt, einige Monate später und um Erfahrungen reicher. Aber ausgewichen sind wir nie. Daher ist es uns auch ein Anliegen, grundlegend falsche Behauptungen über luca aus der Welt zu schaffen. Indem wir den Spekulationen mit Fakten begegnen. 

Vorweg: Wir werden im Folgenden nicht auf jeden diskussionswürdigen Punkt im Artikel „Google, Apple und die Luca-App“ eingehen, den Telepolis am 29. Juli 2021 veröffentlicht hat. Dies bedeutet jedoch nicht, dass die nicht angesprochenen Punkte in diesem oder anderen Telepolis-Texten, die sich an luca abarbeiten, korrekt sind.  

Die zitierten Textpassagen, auf die wir uns im Folgenden beziehen, sind bei Bedarf aus Gründen der Lesbarkeit gekürzt, ohne dabei den Sinn zu entstellen. 

Zitat 1: „Doch gerade die vielen aktuellen Meldungen über Fehler und Versagen des Luca-App-Systems zeigen mehr und mehr die Überlegenheit der CWA, die direkt Kontakte warnt, ohne zentrale Datenspeicherung und ohne die schon vor Luca überlasteten Gesundheitsämter zu benötigen.“ 
Unsere Position: 

Zum Zeitpunkt der Erstellung dieses Textes (10. August 2021) gibt es keinen einzigen Fall, in dem das luca-System „versagt“ hat.  

Korrekt ist, dass die Corona Warn App (CWA) Betroffene direkt warnt. Beide Systeme ergänzen sich jedoch. Ob eine erhaltene Warnung sinnvoll war, erfahren die Nutzer:innen der CWA nicht, dafür ist sie natürlich schneller, wenn das Ergebnis auch aktiv geteilt wird. Die Warnung wird dabei ausgespielt, ohne dass Infektionsschutzfachleute in Gesundheitsämtern die Qualität der Ausgangsmeldung bewertet haben. So können falsch-positive Schnelltests zu unnützen Warnungen führen. Im luca-System entscheidet stets die Kompetenz in den Gesundheitsämtern, ob eine Kontaktnachverfolgung und damit eine Warnung von Betroffenen nötig und sinnvoll ist.  

Die CWA entlastet Gesundheitsämter nicht und wurde hierfür auch nicht konzipiert. Dadurch, dass von der CWA keine Kontaktdaten erhoben werden, können Gesundheitsämter ihrer Aufgabe, der Kontaktnachverfolgung im Fall einer positiv getesteten Person, nicht nachkommen.  Luca hingegen liefert den Mitarbeitenden in den Gesundheitsämtern nach Freigabe durch Nutzer:innen deren Historie, samt Ort des Check-ins. Anhand von Ort (indoor/outdoor), Kontaktdauer oder Art des Betriebs (Zoo, Pub, Großraumdisko) entscheiden die Mitarbeitenden, welche Kontakte des Infizierten relevant sind und kontaktiert diese. Dieses Verengen auf relevante Kontakte macht die Ämter schneller und beugt der Überlastung vor. Zumal die medienbruchfreie Übertragung der Kontaktdaten im luca-System anderen Lösungen beim Tempo weit überlegen ist – vom Auswerten von Papierlisten ganz zu Schweigen.  

Zitat 2: „Nicht wirklich zufällig um die gleiche Zeit machten sich zwei Apps auf, der Corona-Epidemie eine weitere Alternative entgegenzustellen: Sie hießen „Kontakt-Tagebuch“ und „Luca-App“. Ihre Chancen standen schlecht, hatten Google und Apple sich doch schon im Mai 2020 geeinigt, pro Land nur eine Kontakt-Tracing-App zuzulassen, wegen der Schwere der Situation, und zwar nur eine solche, die quasi mit offiziellem Stempel daherkam.“ 
Unsere Position: 

Apple und Google beschränken lediglich den Zugriff auf die in den Betriebssystemen integrierte Google/Apple Exposure Notification (GAEN) auf eine App pro Land. Uns wäre nicht bekannt, dass die Unternehmen sämtliche anderen Corona Apps ablehnen würden. Luca nutzt GAEN nicht und ist daher auch nicht in Konkurrenz zur CWA, die auf GAEN aufsetzt. 

Darüber hinaus haben die Apple und Google die luca App im November 2020 als Applikation zur Covid-Bekämpfung eingestuft – nachdem die App zuvor aus dem Google App-Store entfernt wurde. Das zur Wiederaufnahme nötige Bestätigungsschreiben stammte von einem Gesundheitsamt, musste auch im Beschreibungstext bei Google erwähnt werden. Später reichten wir dann entsprechende Schreiben von weiteren Behörden und dann den Landesregierungen nach.  

Zitat 3: „Warum haben Google und Apple also das Kontakt-Tagebuch gelöscht, die Luca-App aber geduldet? Sollten die Konzerne das schlicht „übersehen“ haben, wirft das Fragen auf bezüglich der Kontrollmechanismen. Jede andere Erklärung aber dürfte schwierig zu verargumentieren sein. Haben die Luca-App-Macher es vielleicht geschafft, die Konzerne hinters Licht zu führen?“ 
Unsere Position: 

Die Aussage, dass Apple und Google luca übersehen hätten, ist angesichts der Tatsache, dass beispielsweise Google zu Beginn die luca App kurzzeitig entfernten, in Gänze absurd. 

Wie oben ausgeführt, haben wir niemanden hinters Licht geführt oder den Versuch hierzu unternommen. Der Einsatzzweck der luca App lag von Beginn an offen, war für alle Beteiligten jederzeit erkennbar und wurde im Lauf der Zeit auch nie angepasst. Warum die erwähnte Kontakt-Tagebuch-App gelöscht wurde, wissen wir natürlich nicht. Es gibt neben luca aber dutzende weitere Apps in den beiden App-Stores, die nicht von staatlichen Stellen stammen, aber dennoch Covid-relevante Dienste leisten (Kontakttagebuch, Impfzertifikatsverwaltung, Ermittlung des individuellen Infektionsrisikos, Infektionsstatistiken und so weiter). 

Zitat 4: „In der Tat: Wer den Werdegang der Luca-App in App- und Play-Store verfolgt und mit der Webseite der Anbieter vergleicht, der stellt schnell fest, dass Nexenio es tunlichst vermieden hat, Begriffe wie „Corona“ oder „Covid“, in der Beschreibung zu verwenden. Wenig überraschend ist die App in „Dienstprogramme“ gelistet.“ 
Unsere Position: 

Beim Konzipieren von luca haben wir entschieden, so wenig Bezug zu Gesundheit beziehungsweise Krankheit wie möglich herzustellen. Daher auch der neutrale Name „luca“, der nicht automatisch mit etwas Bedrohlichem wie einer Pandemie verknüpft wird. Verschleiert werden sollte hiermit aber nichts.  

Das Listing unter „Dienstprogramme“ wurde gewählt, da die App für Betreiber:innen und Nutzer:innen konzipiert ist. 

Zitat 5: „Die Absicht, eine App ausdrücklich fürs Contact Tracing zu entwickeln, kommerziell und gewinnorientiert, als Konkurrenz zur offiziellen Corona-Warn-App des Bundes und ohne Connections zu staatlichen Institutionen war in den App-Stores lange nicht zu erkennen, vielleicht wurde es geschickt kaschiert.“ 
Unsere Position: 

Luca stand nie in Konkurrenz zur CWA. Die Apps ergänzen sich. Das sagen nicht nur wir, das sehen beispielsweise auch SAP, das Bundesgesundheitsministerium und die Ministerpräsidentenkonferenz so. Die CWA läuft im Hintergrund und erfordert keine Interaktion, lässt Nutzer:innen anonym bleiben und speichert keine Kontaktdaten. Luca speichert diese zur Kontaktnachverfolgung nötigen Daten und überlässt Nutzer:innen bzw. Betreibern die bewusste Entscheidung, diese Daten nach Anfrage von einem Gesundheitsamt zu entschlüsseln. Die Apps bedienen also unterschiedliche Einsatzzwecke. 

Auch wenn es dem Autor des zitierten Artikels schwer begreiflich erscheint (er wiederholt die immer selbe Behauptung einige Male im Text): Kaschiert haben wir, wie bereits erwähnt, nie etwas. Sinn und Zweck von luca lagen mit der Aufnahme der ersten Version in die App-Stores offen. Zudem war dem Beschreibungstext in den App-Stores nach der Wiederaufnahme von Beginn an zu entnehmen, dass luca mit deutschen Gesundheitsämtern zusammenarbeitet.  

Zitat 6: „[…] bei der Luca-App tolerieren die beiden Konzerne unerklärlicherweise noch diverse weitere Regelverletzungen. Im Februar nahm Apple zahlreiche Apps aus dem Store, weil man bereits im März 2020 festgelegt habe, dass Impfzertifikate und Coronatestnachweise nur dann auf das iPhone dürfen, wenn die Apps von Gesundheitsbehörden anerkannt sind – oder gleich von einer Behörde stammen.“ 
Unsere Position: 

Korrekt ist, dass Apps eine offizielle Anerkennung benötigen. Falsch ist, dass hier eine Regelverletzung vorliegt: Die luca App ist von Gesundheitsbehörden anerkannt. Anders ist auch schwer zu erklären, warum gut 320 Gesundheitsämter mit luca arbeiten.  

Zitat 7: „Auch die zigfach nachgewiesene, gefährlich schlechte Qualität der Software, die sogar Angriffe auf angeschlossene Gesundheitsämter ermöglicht […]“ 
Unsere Position: 

Die hier angesprochene Sicherheitslücke wurde wenige Stunden nach dem Hinweis aus der Community geschlossen. Es sind keine Angriffe bekannt, die vor dem Sicherheitsupdate die Lücke missbraucht haben. Was der Autor darüber hinaus mit „gefährlich schlechte Qualität“ meint, ist ohne weitere Ausführungen seinerseits nicht nachvollziehbar. 

Zitat 8: „[…] die Veröffentlichung fragwürdiger Tracing-Daten (dank des zentralen Datenmodells hat der Hersteller die Deutungshoheit)“ 
Unsere Position: 

Uns ist nicht klar, was der Autor mit „Deutungshoheit“ meint. An der Art der Veröffentlichung der Tracing-Daten ist jedenfalls nichts fragwürdig. Es ist dokumentiert, dass die von unserem Tracing-API-Endpunkt ausgelieferten traceIDs sämtliche im luca-System generierten traceIDs beinhalten. Hierzu gehören auch unechte traceIDs: Das luca-System streut diese unechten IDs zufallsgesteuert unter die validen traceIDs, damit sich aus diesen öffentlich zugänglichen Daten keine (falschen) Rückschlüsse auf das mögliche Infektionsgeschehen oder gar einzelne infizierte Personen ziehen lassen.  

Auf die Qualität der Nachverfolgung hat dies keinen Einfluss: Bei jedem Check-in erzeugt die App der Nutzer:innen einen Hashwert, die sogenannte  traceID. Startet ein Gesundheitsamt eine Nachverfolgung und entschlüsselt die Kontaktdaten einer Person, erstellt das System eine Liste der betroffenen Hashes und reichert sie mit den unechten, zufällig generierten Hashes an. Die Apps der Nutzer:innen erzeugen auf Basis ihrer lokal gespeicherten Check-in-Historie ebenfalls Hashes und vergleichen sie mit der übermittelten Liste. Gibt es eine Übereinstimmung, zeigt die App einen Warnhinweis an. Alle übrigen Hashwerte ignoriert die App. 

Zitat 9: „[…] oder das offensichtliche Versagen der App im Juli 2021, in zahlreichen Events und Locations“ 
Unsere Position: 

Nach unseren Erkenntnissen hat das luca-System nicht versagt. Wir können nur mutmaßen, auf welche Ereignisse der Autor anspielt. Keiner der insgesamt drei luca bekannten Fälle, bei denen es im Juli 2021 zu einer verzögerten Übermittlung von Kontaktdaten an Gesundheitsämter kam oder gar keine entschlüsselten Kontaktdaten vorlagen, war auf einen Systemfehler zurück zu führen. Es lag vielmehr an veralteten digitalen Zertifikaten im Gesundheitsamt oder an kryptografischen Schlüsseln von Betreiber:innen, die diese nicht mehr auffinden können. Wir sind uns der Komplexität des Systems bewusst und dass der Verlust von Schlüsseln die Qualität der Nachverfolgung erheblich beeinträchtigt. Daher arbeiten wir aktiv mit allen Beteiligten zusammen, um Probleme beim Umgang mit dem System zu minimieren. 

Der Grund, warum das System keine, eventuell mit PIN oder Passwort geschützten, Kopien der privaten kryptografischen Schlüssel von Betreiber:innen oder Nutzer:innen speichert, liegt auf der Hand: Um den Verdacht, luca hat Zugriff auf Schlüsselmaterial, gar nicht erst aufkommen zu lassen.  

Zitat 10: „Abertausende kritische Tweets ließen sich ja noch als überzogene, private Meinungen abtun, nicht aber die Einwände von Wissenschaftlern oder gar der Parteilichkeit unverdächtige IT-Haftpflichtversicherungen wie Exali.“ 
Unsere Position: 

Abgesehen von den falschen Behauptungen, die die Versicherung im verlinkten Text unterbringt (mehr dazu unten), darf die Unparteilichkeit dieser Versicherung stark bezweifelt werden: Sie nutzt ihren Beitrag über luca dazu, Softwareentwickler:innen eine ihrer Policen schmackhaft zu machen. Wer mit Kritik an anderen ein eigenes wirtschaftliches Interesse verknüpft, ist vieles – aber sicher nicht der „Parteilichkeit unverdächtig“. 

Das Bizarre an der Kritik des Unternehmens ist, dass man einerseits luca wegen ehemals vorhandener und binnen Stunden geschlossener Sicherheitslücken an den Pranger stellen will. Gleichzeitig ist man sich aber nicht zu schade, eine Versicherung anzubieten, die Entwickler:innen schützen soll, wenn diese Sicherheitslücken in ihren jeweiligen Produkten haben.  

Zitat 11: „Hinter der Luca-App steht ein Privatunternehmen, dessen System die Bewegungs- und Kontaktdaten der Nutzer:innen erfasst und zentralisiert und auf Vorrat sammelt und speichert.“ 
Unsere Position: 

Nun zu den faktischen Fehlern im Text der Versicherung: Das luca-System speichert keine Bewegungsdaten. Die App greift nur dann auf die GPS-Module der Smartphones zu, wenn Nutzer:innen den automatischen Check-out nutzen wollen. Weder schickt die App die anfallenden GPS-Daten an unsere Server, noch protokolliert sie sie intern mit.  

Das luca-System erlaubt auch kein Verknüpfen von zwei oder mehr Check-ins durch identische Nutzer:innen. Durch die sich einmal pro Minute ändernde Check-in-ID checkt aus Sicht des Systems jedes Mal eine neue Person bei luca ein. Um die behauptete Korrelation von Aktionen der Nutzer:innen zu bewerkstelligen, müssten bösartige Hacker oder kriminelle Insider die Backend-Systeme von luca um die hierzu nötigen Funktionen erweitern – was dank vorhandener Monitoring-Systeme für sofortigen Alarm sorgen würde. 

Die Kontaktdaten der Nutzer:innen sowie deren Check-ins sind verschlüsselt und können von luca oder sonstigen Dritten auch nicht entschlüsselt werden. Nur Gesundheitsämter bekommen im Rahmen einer Kontaktnachverfolgung Zugang zu den Kontaktdaten einzelner Nutzer:innen. Hierzu sind die Schlüssel von Betreiber, Gesundheitsamt und infizierter Person nötig. Darüber hinaus erfasst luca die Daten nicht „auf Vorrat“, sondern löscht sie nach spätestens 28 Tagen. Kürzere Löschfristen würden eine Nachverfolgung schwer bis unmöglich machen. Die Zweckgebundenheit der Daten ist gesetzlich geregelt: Sie dürfen nur zur Konktaktnachverfolgung nach einem positiven Test auf SARS-CoV2 verwendet werden.  

Zitat 12: „Mit der Luca-App sind nicht nur falsche oder manipulierte Check-ins der Nutzer:innen möglich, sondern auch Fake-Anmeldungen.“ 
Unsere Position: 

Es stimmt, das System erlaubt manipulierte Check-ins und das Registrieren mit Fantasienamen. Warum? Weil die Mittel, dies zu unterbinden, in keinem Verhältnis zum Nutzen stehen. Wir müssten GPS-Daten auswerten, um den tatsächlichen Aufenthaltsort beim Check-in zu ermitteln. Gegen Fake-Anmeldungen hilft nur das Erfassen von Ausweisdokumenten. Beide Mittel sind übergriffig – und schlicht unnötig. Denn kein Gesundheitsamt wird die Kontaktdaten von 20.000 Nutzer:innen abfragen, die nachts um 02.00 Uhr (von zu Hause aus) im Osnabrücker Zoo eingecheckt haben. 

Uns ist darüber hinaus kein einziger Fall bekannt, bei dem jemand durch Manipulation unseres JavaScript-Codes im Browser eine gefakte Mobiltelefonnummer ins System geschleust hat, die danach bei einer echten Kontaktnachverfolgung auftauchte. Es scheint, als wären Nutzer:innen verantwortungsbewusst genug. Davon abgesehen sind manipulierte Check-ins je nach Bundesland eine Ordnungswidrigkeit. 

Zitat 13: „Die von den Luca-Entwickler:innen beworbene doppelte Verschlüsselung der Kontaktdaten kann gar nicht funktionieren, da sich aufgrund der anfallenden Metadaten Bewegungsprofile der Nutzer:innen erstellen lassen.“ 
Unsere Position: 

Vorweg: Uns erschließt sich nicht, was Metadaten mit einem Versagen von Verschlüsselung zu tun haben. Und dass luca keine Bewegungsprofile erzeugen kann, wurde oben bereits ausgeführt. 

Richtig ist, dass Metadaten wie IP-Adressen oder die Anzahl von Check-ins pro Betrieb anfallen. Informationen wie Typ des Mobiltelefons, verwendete Betriebssystemversion oder User Agents übermitteln die Apps nicht.  

Es gibt die theoretische Möglichkeit, diese Metadaten mitzuschneiden. Der hierfür nötige Aufwand ist so beträchtlich, dass wir einen erfolgreichen Angriff als sehr unwahrscheinlich ansehen: Ein krimineller Hacker beziehungsweise Insider müsste hierzu nicht nur unsere Backend-Systeme infiltrieren, manipulieren und sämtlichen Netzwerkverkehr mitschneiden. Die nötigen Manipulationen sind beträchtlich und die pro Minute anfallenden Datenmengen, die per Machine Learning zu analysieren wären, wären so groß, dass unsere Monitoring-Systeme sofort Alarm schlagen würden. 

Selbst wenn all das gelänge, müssten Nutzer:innen obendrein die luca App in bestimmten Situationen dauerhaft im Vordergrund geöffnet haben, damit unberechtigte Dritte Check-ins den Telefonnummern der Nutzer:innen zuordnen beziehungsweise zwei Interaktionen mit dem luca-System verknüpfen können.  

Zitat 14: „Die Datensammlung an einer zentralen Stelle birgt ein massives Missbrauchspotential, sowie das Risiko von Datenleaks.“ 
Unsere Position: 

Uns ist bewusst, dass große Datenmengen immer Begehrlichkeiten wecken. Im Cyber-Untergrund aber auch bei beliebigen dritten Parteien. Aus genau diesem Grund haben wir unsere Verschlüsselung so komplex gestaltet. Das kryptografische Konzept macht es nahezu unmöglich, dass wir als Betreiber oder (unberechtigte) Dritte Bewegungsprofile der Nutzer:innen erstellen oder gar ihre Kontaktdaten auslesen können. Wir sind uns unserer Verantwortung die Daten der Nutzer:innen betreffend bewusst und überprüfen unsere Systeme regelmäßig. Wir treffen weitreichende Maßnahmen, um Angriffe zu verhindern beziehungsweise rechtzeitig zu erkennen.

Zitat 15: „Anders als bei der CWA steht hinter der Luca-App ein Privatunternehmen […]. Diese (sic!) sind privatwirtschaftliche Unternehmen und verwalten die Daten, die App und die zugehörige Infrastruktur in Eigenregie. Die CWA dagegen ist eine offiziell von der Bundesregierung zur Verfügung gestellte App, hinter der kein Privatunternehmen steht und die zudem auch keinerlei personenbezogene Daten speichert. 
Unsere Position: 

Die CWA wurde von SAP und Deutscher Telekom entwickelt, beides mithin Privatunternehmen. Das Robert-Koch-Institut fungiert lediglich als Herausgeber. Unseres Wissens nach verwaltet die Telekom-Tochter T-Systems die Infrastruktur der CWA. Hier gibt es also keinerlei Unterschied zwischen CWA und luca. Dass die CWA keine personenbezogenen Daten speichert ist korrekt. Der Grund, warum luca dies tun muss, wurde oben ausführlich erläutert. 

Anmerkung: Die folgenden Zitate stammen aus dem zweiten Teil des Artikels, überschrieben mit „Fünf Sterne für die Luca-App: Das Essen war sehr gut“. 

Zitat 16: „Schlagartig schnellt die durchschnittliche Bewertung durch Anwender nach oben, pendelt sich auf 4,5 von 5 Sternen ein. […] Die neueste Version 1.9 der Luca-App hatte eine Funktion bekommen, die es dem Anwender erlaubt, die App direkt während der Benutzung zu bewerten. […] Es scheint, als würde ein sehr großer Anteil der Android-Anwender vielmehr Essen, Service oder generell das Lokal oder den Betreiber einer Location bewerten als die App.“ 
Unsere Position: 

Es stimmt, einige wenige Anwender:innen haben den Zweck der Bewertung offensichtlich missverstanden. Es handelt sich hierbei um Einzelfälle, die zusammen genommen den Anstieg der positiven Bewertungen jedoch nicht erklären.  

Vielmehr ist dies ein hervorragender Beleg dafür, warum Google diese In-App-Bewertungsfunktion eingeführt hat: Zuvor mussten Anwender:innen die jeweilige App verlassen, den Play Store aufrufen, nach der betreffenden App suchen und dann eine Bewertung schreiben. Diese Mühe nehmen in aller Regel nur angefressene Kund:innen auf sich, die ihrem Unmut loswerden wollen. Ganz ähnlich dem Verhalten von Verfasser:innen von Leserbriefen. 

Die in eine App eingebettete Bewertungsfunktion baut all diese Hürden ab und motiviert so mehr Nutzer:innen, eine (gute) Rezension zu verfassen. 

Wir haben die Funktion ursprünglich eingebaut, um mehr Bewertungen zu generieren. Das Verhältnis von Downloads zur Zahl der Bewertungen war sehr unrund. Dass auf diesem Weg auch mehr positive Bewertungen zu verzeichnen sind, freut uns. Es war aber nicht der Grund fürs Aufnehmen der Funktion. Der in der App aufpoppende Text ist leider fest vorgegeben, so dass wir keinen Hinweis einfügen können, dass die Bewertung nicht einem Betrieb, sondern der App gilt.  

Zitat 17: „All diese Vorkommnisse haben eines gemeinsam: Auf nahezu magische Weise nutzen sie dem Hersteller der Luca-App, und Google und Apple tolerieren es, gegen die eigenen Regeln. Warum? Weil Google gar nicht antwortet, Apple erst auch nicht, dann auf verschlungenen Wegen eine inhaltsleere Aussage (siehe Teil I) produziert, ist man hier auf Vermutungen angewiesen.“ 
Unsere Position: 

Wir hoffen, mit dem oben Geschriebenen hinreichend Fakten geliefert zu haben, um Vermutungen künftig überflüssig zu machen. Zudem beantworten wir Presseanfragen in aller Regel umgehend. Hätte sich der Autor mit seinen Fragen rund um App-Store-Regeln, Bewertungen und möglichen Datensammlungen durch luca vor dem Verfassen seines Textes an uns gewandt, hätten wir Missverständnisse mit Freuden im Vorfeld aus dem Weg geräumt. 

Bleib gesund!

Dein luca-Team