Anfrage §24 Wagner | Luca App in Hamburg - Datenschutzalbtraum auf Kosten der Steuerzahler*innen

Luca App in Hamburg - Datenschutzalbtraum auf Kosten der Steuerzahler*innen

[Antworten des Bezirksamtes kursiv und in eckigen Klammern]

Sachverhalt: 

Am 12. April wurde bekannt, dass die Freie und Hansestadt Hamburg eine Lizenz für die Luca App des Entwicklers NeXenio erworben hat [1] – für rund 615.000 € [2]. Grund dafür war vor allem die Fähigkeit der App zur Cluster-Erkennung und der automatischen Übermittlung von Infektionsketten an die Gesundheitsämter.

Die bereits zum damaligen Zeitpunkt deutliche Kritik an der Luca App (z.B. durch den Chaos Computer Club [3]) wurde dabei ignoriert, obwohl bereits zum Zeitpunkt des Kaufs bekannt war, dass die bereits etablierte Corona-Warn-App (CWA) der Bundesregierung zeitnah mit einer ent- sprechenden Funktion zur Clusternachverfolgung nachgerüstet werden würde. Im Gegensatz zur CWA, die kostenlos ist und deren Quellcode öffentlich einsehbar ist und von unabhängigen IT-Experten auditiert wurde, ist die Luca App dabei weder quelloffen noch dezentral, datenspar- sam, anonym oder wenigstens sicher (die nachfolgende Liste ist dabei lediglich ein unvollstän- diger Auszug, weitere Probleme sind den angegebenen Quellen zu entnehmen):

• Die Accountvalidierung per SMS wurde fehlerhaft implementiert, so dass sich massenhaft Fake-Accounts erstellen lassen [3];
• Die als „Lucatrack“ bekannt gewordene Schwachstelle in den Luca-Schlüsselanhängern erlaubt nicht nur das Einchecken unter falschem Namen, sondern auch das Auslesen der gesamten Aufenthaltshistorie des Nutzers [4, 3];
• Trotz versprochener Anonymität sind Benutzer*innen der Luca App über Metadaten wie etwa der übermittelten IP-Adresse identifizierbar [5];
• Sämtliche Nutzerdaten (die unter anderem dazu genutzt werden können, um Bewegungsprofile von Nutzern bzw. Gruppen zu erstellen) werden zentral gespeichert, was sowohl kriminelle als auch wirtschaftliche Interessen wecken dürfte [5];
• Am 04. Mai wurde eine Sicherheitslücke bekannt, über die sich eine sogenannte Code Injection z.B. bei der Namenseingabe durchführen lässt [6]. Obwohl es sich dabei um einen Anfängerfehler der IT-Sicherheit mit schweren Auswirkungen vor allem für die Gesundheitsämter handelt, ist die Schwachstelle nach Aussage der Entwickler erst am 26. Mai behoben worden [7];
• Generell legen die Entwickler keinen gesteigerten Wert auf die Sicherheit der App bzw. der Nutzer*innen: Auf die Gefahr des Datenmissbrauchs angesprochen ließ der Geschäftsführer von NeXenio verlauten „Wir machen das nicht, aber das ist ein valider Punkt.“ [5]. Die Gefahr, die für die Gesundheitsämter durch oben genannte Code Injection ausgeht, wird trotz Demonstration durch Sicherheitsexperten negiert bzw. die Verantwortung auf die Gesundheitsämter abgewälzt [8];
• Selbst in Modellversuchen kommen Kommunen zu dem Ergebnis, dass „die an Luca gestellten Fragen nicht in zufriedenstellender Ausführlichkeit beantwortet [wurden]. Auch das Fehlen eines telefonischen Supports, um eine schnelle Lösungsfindung zu generieren, störte im Modellversuch.“ Zudem würden „In der öffentlichen und direkten Kommunikation [...] von Luca Informationen und Funktionen benannt, welche sich nicht durch die Stadtverwaltung Weimar bestätigen lassen (bspw. Warnfunktion).“ [10].

Aus diesen Gründen haben bereits die Datenschutzbeauftragten mehrerer Bundesländer (z.B. Thüringen, Hessen) einen Stopp der Nutzung der App gefordert [9]. Darüber hinaus ist die App technisch nicht in der Lage, sämtliche Check-ins eindeutig zuzuordnen, nutzt fremde Software- Komponenten unter dreister Missachtung der Lizenzbedingungen des ursprünglichen Entwick- lers [11] und erfüllt nicht einmal die Mindeststandards an die Barrierefreiheit [3]. Weiterhin torpediert die Luca App die Akzeptanz der bereits weit verbreiteten CWA, da die Luca QR-Codes (noch) nicht von der CWA genutzt werden können.

Auch die automatisierte Übermittlung der Nutzerdaten an die Gesundheitsämter funktioniert so gut wie gar nicht: Nur drei von 137 Gesundheitsämtern nutzten Ende April das System zur Kon- taktnachverfolgung. Spitzenreiter war damals Bielefeld mit insgesamt 17 Kontaktnachverfolgun- gen [12]. Darüber hinaus zeigt die Auswertung des Modellversuchs in Thüringen, dass die App weder dabei hilft, die Inzidenzwerte zu senken, noch von den Gesundheitsämtern gebraucht wird – so wurden im Modellzeitraum lediglich drei Abfragen durch das Gesundheitsamt getätigt [10].

So verwundert es nicht, dass sich mehr als 70 führende IT-Sicherheitsexperten in einem offenen Brief gegen den „De-facto-Zwang zur Nutzung einer Lösung“ ausgesprochen haben, die „grundlegende  Entwicklungsprinzipien eklatant verletzt“,  „völlig unverhältnismäßige“ Risiken enthält und „in großem Umfang" Bewegungs- und Kontaktdaten erhebt [13].

Quellen:

[1] https://www.hamburg.de/pressearchiv-fhh/15012634/hamburg-erwirbt-lizenz-fuer-lu- ca-app/
[2] https://www.ndr.de/nachrichten/hamburg/Kontaktverfolgung-Auch-Hamburg-setzt- auf-die-Luca-App,lucaapp104.html
[3] https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse
[4] https://lucatrack.de/LucaTrack%20Pressebeschreibung.pdf
[5] https://netzpolitik.org/2021/digitale-gaestelisten-das-zentrale-problem-von-luca/
[6] https://www.zeit.de/digital/datenschutz/2021-04/luca-app-gesundheitsaemter-corona- kontaktverfolgung-hackerangriff-risiko/komplettansicht
[7] https://netzpolitik.org/2021/it-sicherheit-schon-wieder-desastroese-sicherheitsluecke- in-luca-app/
[8] https://www.heise.de/news/Gefahr-fuer-Gesundheitsaemter-Luca-App-ermoeglicht- Code-Injection-6054744.html
[9] https://www.thueringer-allgemeine.de/leben/computer-internet/warnung-vor-sicher- heitsluecken-thueringer-datenschutzbeauftragter-will-app-luca-vorerst-stoppen- id231839705.html
[10] https://stadt.weimar.de/fileadmin/redaktion/Dokumente/corona/Evaluati- on_des_Weimarer_Modells_final_Stand20210412_1523.pdf
[11] https://futurezone.at/netzpolitik/corona-tracing-app-luca-verletzt-urheberrecht-von- wiener/401338920
[12] https://netzpolitik.org/2021/digitale-kontaktnachverfolgung-gesundheitsaemter-nut- zen-luca-kaum/
[13] https://www.zeit.de/digital/datenschutz/2021-04/luca-app-sicherheitsluecken-daten- schutz-kritik-corona

Vor diesem Hintergrund fragen wir das Bezirksamt Hamburg-Nord:

1. Sind dem Bezirksamt Hamburg-Nord die aufgeführten Mängel bekannt? Wenn ja: wurden die Entwickler der App zu diesen Themen kontaktiert? Welche Schritte hat das Bezirksamt unternommen, um die Mängel zu beseitigen und Nutzer und Gesundheitsämter zu schüt- zen?

   [Antwort:
   In der FHH obliegt die technische Implementierung einschließlich der Kommunikation mit dem Hersteller Senatskanzlei/ITD und der Finanzbehörde / Kasse.Hamburg.]

2. Wie stuft das Bezirksamt den Nutzen der Luca App in Relation zu den genannten eklatan- ten Sicherheits-, Datenschutz- und Funktionsmängeln ein?

   Antwort:
   Im Gegensatz zu vielen anderen auf dem Markt befindlichen Apps (dazu zählt auch die Corona-Warn-App des Robert-Koch-Instituts) ermöglicht luca die Übermittlung von Kon- taktdaten an die Gesundheitsämter. Dieser Ansatz ist aus Sicht einer effizienten Kontakt- nachverfolgung (KNV) eine zielführende Lösung, da hier die Initiative vom Gesundheits- amt ausgehen kann und nur eine begrenzte Mitwirkung von Dritten notwendig ist.

   Aus der Datenschutzsicht ist relevant, dass verschlüsselte Bewegungsprofile entstehen. Derartige Datensammlungen entstehen z.B. auch durch die Betriebssystembetreiber der Mobilfunkgeräte.

   Sicherheit:

   Das Risiko wurde in der FHH bewertet und als vertretbar eingestuft. Hierfür ist auch ein wesentlicher Punkt, dass der Gesamtbestand der Pandemiedaten im Hamburger Pande- mie Manager (HPM) hinterlegt ist und hier entsprechende Sicherungskonzepte von Data- port und MS-SQL-Server greifen.]

3. Wurde das Bezirksamt Hamburg-Nord in die Entscheidung zum Kauf einer Lizenz einge- bunden? Wenn ja, welche Position wurde durch das Bezirksamt Hamburg-Nord bezüglich des Kaufs vertreten?

   [Antwort: Nein]

4. Noch Mitte Mai war ein Einsatz der Luca App in Hamburg noch nicht möglich, da noch die „Voraussetzungen dafür [geschaffen werden müssen], dass die App auch die Kontakt- nachverfolgung der Hamburger Gesundheitsämter unterstützen kann“. Sind diese Voraus- setzungen in der Zwischenzeit geschaffen und welche Kosten waren damit verbunden bzw. werden voraussichtlich noch verbunden sein?

   Antwort:
   Die Luca-App kann seit der KW 19 in ganz Hamburg genutzt werden. Die Kosten für die Nutzung des Luca Systems betragen für ein Jahr 634 Tsd. Euro.

5.
Falls die unter 4. genannten Voraussetzungen bereits geschaffen wurden: wie viele Kon- taktnachverfolgungen wurden über Luca seit der Einführung bis heute erfolgreich durchgeführt?

[Antwort:
Mit Stand KW 22 waren ca. 20 Infektionsfälle (davon drei mit Wohnsitz in der FHH, die übrigen aus dem Umkreis) und ein umfangreicher Infektionsfall auf Sylt per Luca bearbeitet worden.]

6.
Sieht das Bezirksamt in der Luca App einen über die Kontaktnachverfolgung hinausgehenden Nutzen der Luca App im Vergleich mit der CWA? Bitte insbesondere vor dem Hintergrund beantworten, dass eine Konkurrenz-App die Akzeptanz der bestehenden Lösung (CWA) beschädigen dürfte.

[Antwort:
- s. o. zu Frage 2 und:
- Die CWA funktioniert über automatisch generierte anonyme Warnungen nur innerhalb des eigenen Systems und ersetzt nicht die bisher über Papierformulare betriebene Nachverfolgung. Genau diese Formulare werden durch die Luca-App digitalisiert. Dies ermöglicht eine effektivere Kontaktnachverfolgung.]

Michael Werner-Boelz

Hier erhalten Sie diese Anfrage: "Luca App in Hamburg - Datenschutzalbtraum auf Kosten der Steuerzahler*innen" als Download-PDF.