Corona-Kontaktverfolgung Chaos Computer Club kritisiert Quasi-Zwang zur Luca-App

Während die Entwickler mehr als 20 Millionen Nutzer feiern, hält der Chaos Computer Club das Erfolgskonzept der App für »zweifelhaft«.

Wer in bayerischen Biergärten, hessischen Gasthöfen und Berliner Kaffeehäusern einchecken will, der hat meist keine Wahl: Wer rein will, der muss einen QR-Code mit der Luca-App scannen – oder einen Zettel mit seiner Adresse ausfüllen. Weil es mit dem Smartphone viel flotter geht, haben sich in den vergangenen Wochen viele Nutzerinnen und Nutzer entschieden, die Luca-App herunterzuladen.

Von den rund 20 Millionen Nutzern haben sich im Zuge der Corona-Lockerungen der Länder allein in den vergangenen vier Wochen etwa neun Millionen Menschen registriert. Jede Woche kommen 1,5 Millionen Nutzer und 10.000 Check-in-Standorte hinzu. 13 Bundesländer haben sich Lizenzen der App gesichert , von den 400 Gesundheitsämtern in Deutschland sind 318 per Software-Schnittstelle mit den Luca-Servern verbunden. Damit ist Luca fast so erfolgreich wie die offizielle Corona-Warn-App, die bisher auf 30 Millionen Downloads kommt. Die zahlreichen vergleichbaren Angebote, die sich in der Initiative »Wir für Digitalisierung« zusammengeschlossen haben, liegen weit abgeschlagen dahinter.

Doch dieser Erfolg kommt nicht bei allen gut an. Linus Neumann vom Chaos Computer Club (CCC) kritisiert, dass die Restaurantbesucher eigentlich keine Wahl haben. »Wenn eine privatwirtschaftliche App über 20 Millionen Euro staatlicher Alimentierung erhält, in Corona-Schutzverordnungen vorgeschrieben wird und so zum De-facto-Zwang wird, ist das ein sehr zweifelhaftes Konzept von Erfolg«, sagt der Hacker dem SPIEGEL. »Die Menschen installieren die App, weil es keine Alternative für sie gibt.«

Luca-Chef Patrick Hennig sieht das anders. Seiner Meinung nach müssen Lokalbesucher nicht zwingend die App verwenden. »Ich habe schon oft gesehen, dass in Restaurants auch Zettel angeboten werden«, sagt Hennig dem SPIEGEL. »Ich kann verstehen, dass es komfortabler ist, sich mit dem Smartphone einzuchecken, wenn überall Luca-Codes sind.« Aber er kenne keinen Fall, bei dem jemand wieder habe gehen müssen, weil er keine Luca-App hatte. Allerdings gibt es Händler, die die Lage anders darstellen. »An einigen Standorten ist nun auch die Registrierung und Nutzung der Luca App verpflichtend«, schreibt etwa Ikea auf der eigenen Website. Dass auch Formularblätter ausgefüllt werden können, bleibt auf der Website unerwähnt.

Kritik an der Software reißt nicht ab

Die Luca-App war in den vergangenen Monaten immer wieder in die Kritik geraten, weil zahlreiche Pannen und Schwachstellen aufgedeckt wurden. So haben sich unter anderem Spaßvögel aus der Ferne in Zoos eingecheckt und erstellten imaginäre Veranstaltungen mit Hunderttausenden Gästen. Hacker zeigten sogar, dass man mit der App Schadcode in Gesundheitsämter einschleusen konnte. Das BSI schaltete sich ein und der CCC forderte den Stopp der App.

Laut CCC-Sprecher Linus Neumann haben die Entwickler die Schwachstellen immer wieder geleugnet und »zum Teil ehrverletzende Behauptungen« über die Sicherheitsforscher verbreitet. »Diese Kombination aus Inkompetenz und Unverschämtheit ist mir bisher nicht untergekommen.« Neumann sagt: »Die Qualität der App, die Unaufrichtigkeit der Betreiber im Umgang damit und die fragwürdige Vergabepraxis sind nichts anderes als ein handfester Skandal.«

Neumann könne nicht nachvollziehen, warum die staatlich finanzierte Corona-Warn-App nicht ebenso berücksichtigt werde. Denn: Check-ins kann die App seit April auch und kritische Schwachstellen hat es bisher keine gegeben. Laut dem IT-Experten hat die Regierung getrödelt und Luca zu früh das Feld überlassen. Das Gesundheitsministerium habe die Check-in-Funktion der Corona-Warn-App »nicht nur zu spät beauftragt, sondern dann auch die Länder nicht ausreichend darauf hingewiesen«. So habe das privatwirtschaftliche Unternehmen »für eine minderwertigere und riskantere Implementierung erneut Millionen einheimsen« können, sagt Neumann.

Die Bundesregierung hält sich unterdessen raus bei der App-Entscheidung für die Corona-Kontaktverfolgung. Eine Sprecherin des Gesundheitsministeriums teilte am Freitag mit: »Ob die Luca-App genutzt wird, entscheiden die Bundesländer.«

Luca-Chef hält Corona-Warn-App für keine Check-in-Alternative

Zur Kritik an Software und Krisenkommunikation sagt Patrick Hennig, dass man zunächst als kleines Team in das Projekt gestartet sei und »sicher nicht alles richtig gemacht« habe. Die Daten seien aber »sehr sicher und waren noch nie annähernd gefährdet«. Schade finde er, »dass nicht immer sachlich diskutiert wurde«.

Die Corona-Warn-App hält Hennig für ungeeignet für den Check-in im Lokal, da Namen und Telefonnummern hier nicht an die Gesundheitsämter übermittelt werden. »Die Corona-Warn-App ergänzt und ist ein sinnvoller zusätzlicher Schutz, keine Alternative.« Trotz weiter sinkender Corona-Inzidenzen wollen die Entwickler der Luca-App weitermachen. »Das Risiko ist noch immer da«, sagt Hennig, auch wenn die App im Sommer eher ein Airbag für die Gesundheitsämter sei. Impfungen, Tests und Kontaktverfolgung werden »besonders im anstehenden Herbst und Winter noch aktuell bleiben«.

Die Wiedergabe wurde unterbrochen.