Berlin - Luca ist seit Monaten ein kleiner Lichtblick im Pandemie-Chaos: Die App, die vom Berliner Start-up Nexenio entwickelt wurde, soll dabei helfen, sich bei Restaurant- und Veranstaltungsbesuchen über einen Scancode registrieren zu können. Die App ist mit deutschen Gesundheitsämtern verbunden, teilt Namen und Telefonnummern der App-Nutzer und soll den Behörden helfen, Infektionsketten zu verfolgen und zeitnah Schutzmaßnahmen durchzusetzen. 

Menschen ohne Smartphone können einen Schlüsselanhänger bestellen und sich damit über einen QR-Code an den teilnehmenden Orten registrieren. Die Software von Nexenio könnte – insbesondere nach Öffnung der Gastronomie und der Veranstaltungsbranche bei einem Inzidenzwert unter 100 – dazu beitragen, dass Deutschland ein Stück seiner Normalität zurückbekommt.

Die Bundesregierung hat Ähnliches versucht und vergangenes Jahr die Corona-Warn-App entwickelt. Doch wegen des Datenschutzes – die Corona-Warn-App arbeitet datenarm und erfasst keine persönlichen Informationen wie Namen –, kann die staatliche Corona-Warn-App keine Informationen an die Gesundheitsämter melden. Insgesamt hat die Bundesregierung bislang etwa 69 Millionen Euro für Entwicklung, Wartung und Betreuung der Corona-Warn-App ausgegeben. Vor allem das Unternehmen Telekom verdient daran, außerdem das Unternehmen SAP.

Und das Ergebnis? Es ist ernüchternd. Warnungen kommen stark zeitversetzt, die Gesundheitsämter müssen die Daten zum Teil händisch an die Corona-Warn-App übermitteln. Die meisten Bürgerinnen und Bürger haben die Corona-Warn-App aus ihrem Bewusstsein gestrichen, bei vielen funktioniert sie erst gar nicht (erst recht nicht nach den vergangenen Updates). Nach Insider- und Experteneinschätzungen spielt die Corona-App kaum oder keine Rolle in der Erhebung und Verfolgung der Inzidenzzahlen in den Gesundheitsämtern, dem zentralen Wert in der Steuerung der Pandemie.

Bislang waren Modellversuche für weitere App-Projekte zur Eindämmung der Pandemie gescheitert, obwohl Länder wie Taiwan oder Australien mithilfe von digitalen Strategien das Infektionsgeschehen gut in den Griff bekommen haben. Einen Schritt in diese Richtung will jetzt auch Deutschland – bzw. die Kommunen und Bundesländer – mit der Luca-App gehen. Nach Testläufen konnten einzelne Kommunen bereits erste Erfolge verzeichnen. In den vergangenen Wochen haben die App-Entwickler 4,1 Millionen Downloads in Deutschland registriert. 84.000 Standorte wie Friseure und Restaurants machen bei dem Projekt bereits mit. Zahlreiche Kommunen und Bundesländer kooperieren mit dem Unternehmen, auch die Stadt Berlin. Deutschlandweit nutzen bereits 203 Gesundheitsämter die App, 45 weitere sind laut Firmenangaben in der Umsetzung und 60 in Vorbereitung. Ende April dürften 308 Gesundheitsämter an das System angeschlossen sein. Luca soll in 13 Bundesländern Verbreitung finden.

Das Feedback der Nutzer ist positiv. Doch auch zahlreiche Kritiker melden sich zu Wort. Insbesondere Datenschutzexperten vom Chaos Computer Club kritisieren, dass die Daten der Luca-Nutzer zentral gespeichert oder nicht ausreichend geschützt werden. In den vergangenen Tagen haben die Geschäftsführer von Nexenio einen regelrechten Shitstorm erlebt. Auch Jan Böhmermann gehört zu den Kritikern und weist auf Sicherheits- und Anwendungslücken bei der Luca-App hin. Im Interview nehmen die beiden Gründer von Nexenio, Philipp Berger und Patrick Hennig, zu den Vorwürfen Stellung.

Herr Hennig, Herr Berger, Jan Böhmermann hat kritisiert, dass man sich mit der Luca-App wahllos an Orte wie den Osnabrücker Zoo einwählen und sich unter falschem Namen registrieren kann, auch wenn man gar nicht dort anwesend war. Das würde die Ergebnisse, die die Gesundheitsämter bekommen, ad absurdum führen. Wie reagieren Sie auf die Kritik?

Patrick Hennig: Über die Böhmermann-Nummer kann ich nur schmunzeln. Das bringt null Schaden, wenn jemand nachts im Osnabrücker Zoo missbräuchlich und mit falschem Namen mit der Luca-App eincheckt. Das Gesundheitsamt hat ja Böhmermanns Nummer, weiß, dass der Zoo geschlossen ist und kann am Ende seine Angaben identifizieren. Würden wir Geotracking einführen, also nachverfolgen, wo sich unsere Nutzer tatsächlich befinden, würden die gleichen Kritiker wie Böhmermann oder Frau Domscheit-Berg, Bundestagsabgeordnete von der Linken, nur noch lauter schreien. Wir setzen hier auf Eigenverantwortung. Ich möchte nochmals betonen: Die Nutzung der Luca-App ist freiwillig. Sie ist ein Angebot in einer Sammlung von vielen Bausteinen, um das Pandemiegeschehen einzudämmen.

Aber es gab doch Sicherheitslücken, oder? Es hieß, man könnte, wenn man in den Besitz des QR-Codes eines Schlüsselanhängers kommt, sich falsch registrieren und sogar die Daten von dessen Besitzer ablesen könne – also sehen, wo der Eigentümer des Schlüsselanhängers unterwegs war.

Philipp Berger: Es handelt sich dabei um keine Sicherheitslücke, auch wenn der Chaos Computer Club das behauptet. Jeder Schlüsselanhänger ist – wie die eigene Telefonnummer – statisch. Er ist dafür gedacht, dass auch jemand ohne Smartphone am System teilnehmen kann. Der Schlüssel selbst ist auf dem Schlüsselanhänger im QR-Code und der Seriennummer hinterlegt. Daher empfehlen wir, den Schlüsselanhänger vertraulich aufzubewahren. Im vorgeworfenen Beispiel hat ein Dritter sich Besitz über einen Schlüsselanhänger verschafft und dann seine eigenen Daten abgerufen. Wir haben weitere Maßnahmen getroffen, um den Effekt des Verlustes zu minimieren. Generell gilt: Normalerweise informiert man erst den Hersteller, räumt eine angemessene Frist zur Beseitigung ein und geht danach an die Öffentlichkeit. Da sitzen wir nur verwundert da und fragen uns: Warum werden wir medial geschlachtet? Wieso wird die Diskussion nicht sachlich geführt? Die Sicherheitsprobleme, auf die der Chaos Computer Club anspielt, lassen sich technisch leicht erklären und damit ausräumen. Wir haben keine Sicherheitsbedenken. Trotzdem wird getan, als ob alles ganz schlimm sei. Dadurch werden die Öffentlichkeit und die Politik stark verunsichert. Dabei liegt die Vermutung nahe, dass hier eine eigene Agenda verfolgt wird.

Schah Eghbaly
Patrick Hennig

Patrick Hennig ist CEO und Mitgründer Nexenio sowie einer der Geschäftsführer der culture4life GmbH, der Firma hinter Luca. Nach einem Master in IT-Systems Engineering am Hasso-Plattner-Institut (HPI) in Potsdam und mehreren erfolgreichen Forschungsprojekten am HPI gründete er im Jahr 2015 zusammen mit seinem Kollegen und Freund Philipp Berger Nexenio. Seit 2020 ist Nexenio Teil der Luca-Initiative.

Patrick Hennig: Was in den vergangenen beiden Wochen passiert ist, ist schon erstaunlich. Manchmal muss ich mich regelrecht kneifen und fragen: Was wird geschehen, wenn wirklich jemand eine eklatante Sicherheitslücke bei der Luca-App entdeckt? Was wird passieren, wenn es wirklich mal einen Fehler im System gibt? Man kann sich des Eindrucks nicht verwehren, dass wir eine typisch deutsche Debatte erleben: Es kommen ein paar Leute mit einer kreativen Idee, um die Gesundheitsämter und die Bürgerinnen und Bürger zu entlasten, die gebeutelte Kultur- und Gastrobranche mit einer effizienten Kontaktnachverfolgung zu unterstützen – und das Erste, was passiert, ist ein Shitstorm. Das große Meckern beginnt. Dass aber unsere sensiblen Daten etwa bei Telefonkonferenzen an amerikanische Unternehmen heimlich weitergegeben und zeitgleich bei Facebook 500 Millionen Datensätze veröffentlicht werden, das interessiert im Alltag niemanden.

Wie erklären Sie sich die Attacken?

Philipp Berger: Wir können da nur Vermutungen anstellen. Wir glauben, es sind verschiedene Punkte. Wir alle kennen die Diskussionen um die Corona-Warn-App der Bundesregierung aus dem vergangenen Jahr in Bezug auf Anonymität und Dezentralität der Daten. Das ist sicher ein Grund. Ein anderer mag darin liegen, dass wir ein privates wirtschaftliches Unternehmen sind. In der Auffassung mancher Kritiker wäre der Staat in der Verantwortung. Wir haben früh mit den Gesundheitsämtern gesprochen und einfach losgelegt.

Warum braucht es denn genau die Luca-App?

Patrick Hennig: Die Corona-Warn-App funktioniert eben anonym und tauscht keine Daten aus. Sie kommuniziert nicht mit den Gesundheitsämtern, das kann und soll sie auch nicht leisten. Das ist genau der Baustein, der jedoch bisher gefehlt hat. Einer der effektivsten Wege, Infektionen zu finden, ist nach wie vor die Arbeit der Ärztinnen und Ärzte der Gesundheitsämter. Die Luca-App ist jetzt die verlängerte Werkbank des Gesundheitsamtes. Die Gesundheitsämter benötigen einen gewissen Datensatz der Gäste im Infektionsfall, damit die Ämter auch handeln können. Diesen Datenaustausch muss man erst einmal akzeptieren. Anders geht es nicht. Das ist bei der Luca-App der Fall. Im Falle einer Infektion werden die Handynummern der Menschen, die am Ausbruchsort anwesend waren, weitergegeben, sodass das Gesundheitsamt die betreffenden Personen informieren kann. Nur im Infektionsfall, und nur dann, werden Daten weitergegeben. Wir als Luca-Mitarbeiter haben niemals Zugriff darauf. Ein gewisses Maß an Informationsaustausch muss es also geben, eine Speicherung an Daten auch. Entweder will man die Pandemie bekämpfen oder man will tausendprozentige Sicherheit und gar keine Daten, was völlig unrealistisch ist.

Haben denn die Testläufe mit der Luca-App gut funktioniert?

Philipp Berger: Ja, die Testläufe haben wunderbar funktioniert. Etwa in Jena oder auf Sylt. 80.000 Betriebe haben sich in den letzten Wochen registriert, vier Millionen Nutzer haben die App heruntergeladen. Einige Landesdatenschutzbeauftragte haben uns beruhigt und uns gesagt, dass unser Erfolg eben in gewissen Kreisen aufgrund der Diskussion aus dem vergangenen Jahr für Abwehrreflexe sorgt. Wir wollen aufgrund der Kritik nicht aus der Luca-App ein Placebo machen. Sie soll den Gesundheitsämtern endlich die notwendige digitale Unterstützung bieten. Wir haben es einfach in die Hand genommen. Und wir müssen einen Shitstorm ertragen. Wie kriegt man das zusammen?

Schah Eghbaly
Philipp Berger

Philipp Berger ist CTO und Mitgründer der Nexenio GmbH. Vor der Gründung arbeitete Philipp beim Hasso-Plattner-Institut als wissenschaftlicher Mitarbeiter, unter anderem im Bereich Datenschutz und Datensicherheit. Im Jahr 2015 gründete er gemeinsam mit seinem HPI-Kollegen und Freund Patrick Hennig Nexenio mit dem Ziel, datensichere IT-Lösungen zu entwickeln.

Warum hat der Chaos Computer Club so eine Relevanz bei der Prüfung von neuen Technologien? Und warum polemisiert der CCC gegen Sie?

Patrick Hennig: Der Chaos Computer Club hat sich immer wieder mit staatlichen Strukturen angelegt. Der CCC ist frei von Parteieneinfluss und agiert autonom. Es geht den Leuten wirklich um die Sache. Warum jetzt die Attacken auf uns so brutal sind und warum sogar ein kompletter Boykott der Luca-App gefordert wird, das kann ich mir nicht erklären.

Sehen Sie das Projekt durch die Kritik bedroht?

Philipp Berger: Na ja, wir erhalten jetzt alle sehr viele Presseanfragen. Die Länder und Kommunen wollen das Luca-System ja zusammen zum Erfolg bringen, und wir alle wollen nicht in Verruf geraten. Jetzt ist es unsere Rolle, den Bürgerinnen und Bürgern zu zeigen, dass das System funktioniert und die Gesundheitsämter auch entlastet. Wir freuen uns darauf!

Gibt es denn in Europa vergleichbare Apps, die gut funktionieren?

Patrick Hennig: Das ist ein weiterer Punkt: Solche Apps wie Luca gibt es in Europa nicht. Wir haben uns bei der Entwicklung an Ländern wie Australien und wissenschaftlichen Studien aus Dänemark und England orientiert und zugleich europäische Standards beim Datenschutz und maximale Sicherheitskriterien zur Vorlage genommen. Das ist in Europa einmalig. Die Daten sind niemals zentral entschlüsselbar. Man braucht mindestens die Erlaubnis von zwei oder drei Parteien, um an die Daten der Luca-Nutzer heranzukommen. Ich kann wirklich reinen Gewissens sagen: Die Luca-App ist so sicher, wie es nur geht.

Wie ist denn der Stand der Dinge? Berliner Gesundheitsämter und Berliner Unternehmen wollen ja mit Ihnen weiterhin zusammenarbeiten, trotz der Kritik.

Philipp Berger: Ja, man kann die App etwa schon im Dussmann-Kulturkaufhaus nutzen und sich beim Einkauf dort registrieren. Die Berliner Gesundheitsämter werden nächste Woche vollständig angeschlossen sein. Hier muss man der Politik auch mal ein Lob ausstellen, bisher haben wir dieses Projekt sehr gut gemeinsam umgesetzt. 240 Gesundheitsämter machen jetzt mit, bald könnten es 300 sein. Anfangs hieß es noch, dass die Gesundheitsämter ihre Daten per Fax tauschen müssen. Das stimmte lange Zeit ja auch. Die wurden nicht richtig beraten am Anfang der Pandemie. Sormas war ein erster wichtiger Schritt, um die interne Verwaltung zu digitalisieren. Wir haben es innerhalb von vier Wochen geschafft, die Gesundheitsämter weiter digital aufzustellen. Und ganz ehrlich: Die Kritiker sollten mal bei den Gesundheitsämtern nachfragen und es vielleicht erst einmal besser machen. Die Ärzte sind dankbar, dass wir ihnen helfen. Wir haben allen jetzt die Software zur Verfügung gestellt, die ihnen hilft, Infektionsketten mit Bürgerinnen und Bürgern effizient zu verfolgen. Die Erfahrungen zeigen, dass die Luca-App ein weiteres Tool ist, um ein relativ geordnetes Leben in der Pandemie hinzubekommen.

Mit welchen Gesundheitsämtern begann denn die Zusammenarbeit?

Patrick Hennig: Wir haben mit dem Gesundheitsamt in Jena gesprochen. Und die haben gesagt: Endlich hört uns jemand mal zu. Die meisten haben die Probleme der Gesundheitsämter im letzten Jahr nicht wirklich ernst genommen, meistens wurde mit viel Personal ausgeholfen. Das hat uns schon erstaunt, als wir begannen, die Idee zu unserer Luca-App umzusetzen. Wir haben uns angeschaut, wie die Gesundheitsämter arbeiten, wie sie Infektionsketten verfolgen. Man musste ja immer noch krude Listen auf Papier vom RKI ausfüllen. Wir haben gespürt, dass man die Software der Gesundheitsämter effizient machen und digitalisieren muss.

Das Gespräch führte Tomasz Kurianowicz.

Disclaimer: Das Unternehmen Core, das auch den Berliner Verlag in Datenschutzfragen berät und an dem der Eigentümer des Berliner Verlags Geschäftsanteile hält, berät auch das Start-up Nexenio.

Dieser Text ist in der Wochenendausgabe der Berliner Zeitung erschienen – jeden Sonnabend am Kiosk oder hier im Abo.