Luca-App in der Kritik: Korruption, unsichere Verschlüsselung und Urheberrechtsverletzungen

Im Kampf gegen die Corona-Pandemie und mit Aussicht auf mehr Freiheiten, hatte uns Fanta 4 Gesicht Smudo die Rettung in Form der Luca-App schmackhaft gemacht. Erste Bundesländer wie Mecklenburg-Vorpommern sprangen auf den Zug auf. Viel zu früh? Datenschützer und Rechtsexperten schlagen die Hände über den Kopf. Das kassieren von Steuergeldern in Millionenhöhe ohne je an einer Ausschreibung teilgenommen zu haben, fehlende Einsicht in den aktuellen Quell-Code, falsch verwendete GPL-Lizenzen, Urheberrechtsverletzungen, unsichere Verschlüsselung und der haarsträubende Umgang mit unseren Metadaten sind nur einige Kritikpunkte, welche nun immer lauter werden.

Ist die Luca-App die Rettung in der Pandemie?

Im Kampf gegen die COVOD-19-Pandemie sollte die inzwischen rund 60 Mil­lionen Euro teure Corona-Warn-App einen wichtigen Beitrag leisten. Bis heute hat sie jedoch nur viel Geld gekostet, die deutsche Telekom und SAP finanziell gut unterstützt und wenig zum Erfolg beigetragen. Grund sind hier nicht nur die Entwickler, sondern auch die deutschen Datenschutzgesetze, welche an vielen Punkten der App einen Strich durch die Rechnung machen. Nun tauchte der allseits beliebte Frontman des deutschen Rapp-Quartetts Fanta 4 an die Öffentlichkeit und stellte mit der Luca-App die Lösung für mehr Freiheiten vor. Mit der Anwendung soll es wieder möglich werden zu Konzerten (der fantastischen Vier), in Kinos, Bars, Veranstaltungen, Restaurants und Geschäften im Allgemeinen zu gehen. Logisch das hier die Bevölkerung schnell zu begeistern war. Auch Bundesländer wie Berlin, Brandenburg, Baden-Württemberg, Mecklenburg-Vorpommern, Sachsen und viele Weitere sind dabei. Mithilfe eines QR-Codes der mit der Luca-App im jeweiligen Ladengeschäft oder Veranstaltungsort gescannt wird, kann von den teilnehmenden Gesundheitsämtern (mit ein und dem selben Schlüsselcode) der Kontakt nachvollzogen werden.

Soweit so gut. Auch das dafür der persönliche Vor- und Zuname samt Handynummer benötigt wird, geht für viele freiheitsliebende Menschen in Ordnung. Schließlich werden die Daten verschlüsselt und sind nicht vom Betreiber oder anderen Personen einsehbar. Außer dem Gesundheitsamt. Leider zeigt nun Digital-Rights-Experte Dr. Michael Veale auf das auch hier eine persönliche Bereicherung im Fokus steht und die Umsetzung eher dilettantisch und nach deutschem Recht fehlerhaft vollzogen wurde.

Der Kapitalismus macht auch vor einer Pandemie nicht Halt

Smudo wird nicht müde in der Öffentlichkeit gebetsmühlenartig zu erwähnen, das er kein Entwickler der Luca-App sei. Was er dabei vergisst zu erwähnen ist das er gemeinsam mit seinen Fanta 4 Kollegen noch im November 2020 die Fantastic Capital Beteiligungsgesellschaft UG gegründet hat, die gemeinsam mit der Culture4life GmbH, der Nexenio GmbH (einer Ausgründung des Hasso-Plattner-Instituts) und der Marcus Trojan UG Betreiber und Inhaber des Luca-App-Systems sind. Dieses Unternehmen hat bislang schätzungsweise 10 Millionen Steuergelder für Luca-App-Lizenzen erhalten. Ganz ohne eine Teilnahme an einer öffentlichen Ausschreibung in Konkurrenz mit zahlreichen gleichwertigen Anwendungen auf dem Markt. Dieses Unternehmen ist also auch klar gewinnorientiert, wie zahlreiche Kooperationen mit Veranstaltern und Ticketunternehmen aufzeigen.

Quellcode kopiert – Nutzerdaten einsehbar!

Vielleicht noch dramatischer ist jedoch der leichtfertige Umgang mit den Benutzerdaten. Und diese Erkenntnisse stammen nur aus zaghaft freigegeben Quellcode, welcher lediglich von einer zukünftigen und noch nicht veröffentlichten Version stammt. Codezeilen sind im großen Stil von Mitbewerbern kopiert worden und die Sicherheit, Anonymität als auch der Datenschutz sind sträflich vernachlässigt worden. So sind beispielsweise die Standorte und deren Besucher durch nachverfolgen der URL für jedermann unverschlüsselt einzusehen und auch editierbar!

Luca-App ohne Nutzen – außer für Smudo

Fernsehmoderator Jan Böhmermann zeigt kürzlich in einer Sendung, wie er sich aus dem Fernsehstudio aus als „Michi Beck“ in dem Osnabrücker Zoo per QR-Code registrierte und das Publikum zu selben aufforderte. Binnen weniger Minuten folgten hunderte Personen diesem Aufruf ohne jedoch vor Ort zu sein. Namen der Teilnehmer konnten jedoch eingesehen werden. Auch daraus geht eindeutig hervor das Falschangaben möglich sind und ein Datenschutz so gut wie gar nicht gewährleistet ist, wie inzwischen auch der Datenschutzbeauftragte Johannes Caspar moniert. Von dem sogenannten Schlüsselanhänger, welcher alternativ zur Smartphone-App verwendet werden kann, will ich erst gar nicht anfangen. Aktuellen Informationen zufolge kann der von jedermann selbst gebaut werden und zu dessen Registrierung notwendige sechsstellige TAN, wird in Wirklichkeit gar nicht kontrolliert. Nun kommen auch die Länder drauf, dass diese „Notlösung“ wohl nicht wirklich einsetzbar ist.

[Quelle: Dr. Michael Veale | Heise]