Berlin - Es ist eine Deutschlandreise von Berlin aus, ohne das Haus zu verlassen, in wenigen Minuten. Man öffnet einfach auf dem Handy die Luca-App, die in der Pandemie Kontakte nachverfolgen soll, und gibt an, wo man sich angeblich gerade aufhält: etwa im Therapiezentrum „Vier-Tore-Reha“ in Neubrandenburg, im Wäschefachgeschäft „Hautnah“ in Nordhorn oder beim Frisör „Varbenblind“ in Unterfranken. Selbst bei der Partei Die Linke in Dithmarschen kann man einchecken oder im Theater Ravensburg, mal wieder etwas Kultur tanken. Es kommt sogar Urlaubsfeeling auf, wenn man sich im Strandcamp Wallnau auf der Insel Fehmarn anmeldet oder im Schlosshotel Bad Wilhelmshöhe in Kassel.

Natürlich, ohne je dagewesen zu sein: All diese Orte waren nur unvorsichtig genug, im Internet ihre QR-Codes zu zeigen, die eigentlich nur Gäste vor Ort einscannen sollen, um ihren Besuch zu dokumentieren. Man kann das schwarz-weiße Viereck aber auch woanders von einem Foto aus ins Handy einlesen. Diese Daten dürften Gesundheitsämter dann verwirren.

Böhmermann deckt Sicherheitslücke auf

Es ist eine Sicherheitslücke, die der Satiriker Jan Böhmermann aufgedeckt hat: Der ZDF-Moderator loggte sich in der Luca-App mit 100 Personen nachts im Zoo in Osnabrück ein. Natürlich war er nicht dort. Der QR-Code kursierte nur abfotografiert im Internet herum.

Die Luca- App gilt schon seit Wochen als großer Hoffnungsträger in der Krise. Sie soll eine sichere Öffnung der Gastronomie und der Geschäfte ermöglichen. Gesundheitsämter hoffen zudem, mit den Standortdaten der App Infektionsketten besser nachverfolgen zu können. Doch die Aktion von Jan Böhmermann stellt die Wirksamkeit der App deutlich infrage. „Systeme lassen sich immer missbrauchen“, entgegnet Patrick Hennig, Mitgründer der Luca-App, auf die Kritik. „Wenn Jan Böhmermann auf Twitter zwei Millionen Leute dazu aufruft, bei der 110 anzurufen, bricht das System der Rettungsdienste auch zusammen.“ 

Luca setze auf Eigenverantwortlichkeit, wie auch beim Notruf und ähnlichen Systemen. Die Twitter-Aktion hätte nur durch eine Überprüfung des Personalausweises oder das Tracking mittels GPS verhindert werden können. Doch das entspreche nicht den Grundsätzen der Datensparsamkeit, so Hennig. 

Die App wird bereits seit Längerem stark kritisiert, unter anderem die zentrale Speicherung der persönlichen Kontaktdaten der Nutzer. Wer die App kontrolliere, könne die Daten der Nutzer missbrauchen, haben IT-Forscher in einer Analyse der Datensicherheit von Luca ermittelt. Auch der Quellcode wurde bisher nur unvollständig veröffentlicht und macht IT-Sicherheitsexperten skeptisch. Dieser solle in den kommenden Tagen veröffentlicht werden, versichert Hennig. 

Auch die Corona-Warn-App nutzt bald QR-Codes

Trotz der Kritik und der Sicherheitslücken haben neben Berlin und Brandenburg bereits zehn weitere Bundesländer Verträge mit der privatwirtschaftlich entwickelten Luca-App abgeschlossen und Millionen für die einjährige Lizenz bezahlt. Allein Berlin soll 1,2 Millionen Euro bezahlt haben. Auf eine schriftliche Anfrage der Berliner Zeitung antwortete ein Sprecher des Berliner Senats, dass das Luca-System bereits für alle Berliner Bezirke zur erweiterten digitalen Kontaktnachverfolgung festgelegt wurde. Eine Pflicht zur Verwendung der App soll es hingegen nicht geben.

Einer der größten Kritikpunkte ist der Sinn und Zweck der Luca-App. Das Ziel der App ist, dass die Kontaktdaten der Nutzer im Infektionsfall direkt mit den Gesundheitsämtern ausgetauscht werden. Die Macher behaupten, dass dies direkt in der Software Sormas erfolge, die in den Gesundheitsämtern installiert werde. „Die Gesundheitsämter sind bereits überlastet. Sie mit noch mehr Daten über die Luca-App zu überfordern, bringt nichts“, kritisierte hingegen Netz-Expertin Anke Domscheit-Berg (Linke).

Zudem wird die staatlich finanzierte Corona-Warn-App in einer Woche selbst eine Check-In-Funktion mit QR-Codes einführen. Die App wurde bereits für mehrere Millionen Euro von der Regierung bezahlt und wurde von mehr als 25 Millionen Menschen heruntergeladen. Viele Netzexperten, wie etwa die Hackervereinigung Chaos Computer Club oder der Bundesdatenschutzbeauftragte Ulrich Kelber, sind im Gegensatz zu der Luca-App von der Corona-Warn-App überzeugt, da sie datensparsam und anonym arbeite und gleichzeitig effektiv sei.

Die Corona-Warn-App funktioniert per Bluetooth, dem sogenannten Contact-Tracing. Persönliche Kontaktdaten müssen nicht eingegeben werden, auch ein Einchecken aus einem anderen Bundesland, etwa in einen Zoo, sollte dank des Tracing nicht möglich sein.

Diese anonyme und völlig dezentrale Funktion der Corona-Warn-App werde den Gesundheitsämtern nicht helfen, meint hingegen Luca-App-Gründer Hennig. Denn bei der Corona-Warn-App gibt es bei einem Infektionsfall nicht den Umweg über die Gesundheitsämter, die Nutzer werden direkt informiert – was viele Netzexperten wiederum als Vorteil der App ansehen.