Versagen der gehypten Corona-App: Luca-Nepp
Die Luca-App zur Corona-Kontaktnachverfolgung ist fehleranfällig – und hat Sicherheitslücken, wie ein Trick von Jan Böhmermann gezeigt hat.
Sie sollte der Hoffnungsträger in der Bekämpfung der Coronapandemie sein: die Luca-App. Scheinbar wie aus dem Nichts tauchte das Allheilmittel für die Rückkehr in ein halbwegs normales Leben auf, kräftig promotet von Fanta-4-Rapper Smudo. Denkwürdig war sein Auftritt in der Talkshow „Anne Will“. Dort erzählte er gestandenen Politiker:innen, wie einfach der Weg aus der Coronakrise sei.
Nämlich so: Im Club, im Shopping-Center, im Café einfach einen QR-Code von der Einrichtung mit dem Smartphone einscannen und speichern. Wenn sich dann später herausstellen sollte, dass eine mit Covid-19 infizierte Person auch zur selben Zeit am selben Ort war, läuft eine Warnung über die App ein. Der Clou: Die Gesundheitsämter können direkt auf die Daten zugreifen, um potenziell Betroffene zurückzuverfolgen.
Dass man da nicht schon früher drauf gekommen war. Die Geschäftsidee klang so simpel, einleuchtend und hätte der sprichwörtliche Strohhalm in einer Zeit sein können, in der es keinen Ausweg aus dem tristen Corona-Alltag zu geben schien, der bis heute oft ohne Sozialleben, ohne spaßige Zusammentreffen mit anderen Menschen stattfindet.
Kurze Zeit später sprangen etliche Bundesländer auf den digitalen Rettungszug auf. Allen voran Mecklenburg-Vorpommern, dann Berlin, Thüringen, Baden-Württemberg, Niedersachsen. Mittlerweile haben 11 Bundesländer Interesse an der App. Bisher sind Schätzungen zufolge bereits rund 10 Millionen Euro an das Unternehmen zugesagt.
Eine Nacht mit dem Elefantenbaby
Bedenken von Datenschützer:innen wurden von vornherein weggefegt. Da gebe es endlich ein Mittel, Öffnungen zu ermöglichen, und nun würde wieder nur gejammert, hieß es. Ungehört blieben die Hinweise auf Sicherheitslücken bei der Verschlüsselung, die Kritik an dem nur teilweise veröffentlichten Quellcode, an falsch verwendeten Lizenzen.
Der Hype war da, maßgeblich angetrieben von Smudo, dem Deutsch-Rap-Star aus längst vergangenen Tagen. Kein Wunder, dass die App nun auch darauf geprüft wurde, was sie versprach. Wie anfällig die Anwendung ist, zeigte kürzlich Jan Böhmermann. Nachts checkte er als „Michi Beck“ per QR-Code in den Osnabrücker Zoo ein.
Er verbringe jetzt eine Nacht virtuell in Gedanken bei Elefantenbaby Yaro, spöttelte der Comedian auf Twitter. Über 100 Personen folgten seinem Aufruf. Keine davon befand sich tatsächlich in dem Zoo.
Auch der Journalist Enno Lenze hatte zu Testzwecken über Twitter zu einer Party eingeladen. Über den QR-Code via Luca loggten sich innerhalb kurzer Zeit rund 100.000 Nutzer:innen ein, später wurden es mehr als 600.000. Wie Lenze auf Twitter mitteilte, konnte er alle Teilnehmer:innen sehen. Auch „Polizei“ und „Penis“ gesellten sich zur Versammlung. Irgendwann hängte sich die App auf. Es waren schlichtweg zu viele Check-ins.
Keine schlüssige Kontaktverfolgung
Was die einfachen Tests zeigen: Der Zugang ist über einen abfotografierten QR-Code möglich. Die Personen befanden sich weder im Zoo noch auf der Party. Falschangaben sind möglich. Ähnliche Fälle gab es, als die Kneipen noch offen waren und Kontaktlisten hinterlegt werden mussten. Namen wie Winnetou und Mickey Mouse tauchten erstaunlich oft auf. Hinzu kommt, dass der Zoo in Osnabrück rund 20 Hektar groß ist. Für das gesamte Gelände gibt es nur einen QR-Code.
Eine schlüssige Kontaktverfolgung bei einer solchen Größe scheint aussichtslos. Dabei gibt es doch bereits eine vom Bund mit großem Trara geförderte App, die digital helfen soll, die Pandemie einzudämmen. Rund 60 Millionen Euro hat die Corona-Warn-App gekostet. Immerhin rund 20 Millionen Menschen nutzen sie bereits. O. k., auf die Kontaktverfolgung per QR-Code wartet man derzeit noch.
Aber der Bund ist eben schwerfällig. Jedenfalls träger als ein privatwirtschaftlich geführtes Unternehmen. Hinter der Luca-App steckt ein Zusammenschluss aus dem Start-up Nexenio, einer Ausgründung des Hasso-Plattner-Instituts, der Culture4life GmbH und der Fantastic Capital Beteiligungsgesellschaft. Dahinter wiederum steckt die Fanta-4-Combo. Die PR-Maschine der Luca-App hat blendend funktioniert. Diese selbst leider nicht.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Nan Goldin in Neuer Nationalgalerie
Claudia Roth entsetzt über Proteste
Politikwissenschaftlerin über Ukraine
„Land gegen Frieden funktioniert nicht“
taz-Recherche zu Gewalt gegen Frauen
Weil sie weiblich sind
Verein „Hand in Hand für unser Land“
Wenig Menschen und Traktoren bei Rechtspopulisten-Demo
Scholz und Pistorius
Journalismus oder Pferdewette?
Internationaler Strafgerichtshof
Ein Haftbefehl und seine Folgen