Kontaktnachverfolgung mit Luca: Mal wieder eine Corona-App, die es richten soll

Es ist deprimierend, wenn ein Jahr nach Beginn der Corona-Pandemie immer noch über eine digitale Kontaktnachverfolgung diskutiert werden muss. Die meisten Menschen sind genervt, weiterhin an vielen Orten auf Zetteln und Listen ihre Daten hinterlassen zu müssen. Doch warum sich die Politik nun plötzlich auf die Luca-App versteift hat, ist für andere Anbieter und manche Datenschützer nicht ganz nachvollziehbar. In einem Webinar der Europäischen Akademie für Datenschutz (EAID) wurde am Montagabend zwei Stunden lang über Vor- und Nachteile der Konzepte diskutiert.

Die Popularität der Luca-App beruht auf zwei Faktoren: Zum einen hat der Rapper Smudo von den Fantastischen Vier, die an der Entwicklung der App beteiligt waren, vor kurzem sogar den nordrhein-westfälischen Ministerpräsidenten und CDU-Vorsitzenden Armin Laschet als Fürsprecher gewinnen können. Zum anderen ist der Druck aus dem Gaststättengewerbe und der Veranstaltungsbranche groß, mit einer besseren Kontaktnachverfolgung Lockerungen zu ermöglichen.

Erstes Bundesland kauft Luca-App

Mecklenburg-Vorpommern hat dem Druck bereits nachgegeben und in der vergangenen Woche für 440.000 Euro eine Lizenz bei der Berliner Entwicklungsfirma Nexenio, einer Ausgründung des Hasso-Plattner-Instituts, gekauft. "Die App ersetzt die handschriftliche Eintragung von Kundennamen und -adressen in Listen, die bislang zum Beispiel in Restaurants oder Kinos auslagen", teilte die Landesregierung in Schwerin mit.

Nexenio-Chef Patrick Hennig verteidigte am Montag das Konzept als Versuch, "Gesundheitsamt und Bürger näher zusammenzubringen". Es gehe vor allem darum, die manuelle Kontaktnachverfolgung zu beschleunigen und dabei zwei bis drei Tage Zeit zu gewinnen. Zu diesem Zweck soll es möglich sein, die Daten von Luca direkt in das Datenverarbeitungssystem Sormas zu übertragen.

Kontaktdaten werden doppelt verschlüsselt

Um dieses Ziel zu erreichen, melden sich Nutzer bei der App mit ihren persönlichen Daten an. Nehmen sie an einer Veranstaltung teil, scannen sie einen QR-Code ein, den der Betreiber erstellt hat. Dabei übermitteln sie ihre Kontaktdaten, die mit einem Tagesschlüssel der deutschen Gesundheitsämter verschlüsselt werden. Der Betreiber sendet die Kontaktdaten, die er mit seinem eigenen Schlüssel zusätzlich schützt, zusammen mit einer Betreiber-ID, einer Trace-ID und einem Zeitstempel an Luca.

Die Besuchshistorie wird in der App gespeichert und kann im Falle einer Infektion dem Gesundheitsamt zur Verfügung gestellt werden. Um die Daten zu entschlüsseln, stellt die Luca-App Nutzern eine TAN zur Verfügung, die diese an das Amt weitergeben. Auf Basis dieser Daten fragt die Behörde dann bei Luca die entsprechenden Veranstaltungen an. Das System erfragt anschließend bei den ermittelten Veranstaltungen zunächst den Betreiberschlüssel.

• 

Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)

Luca sendet die in erster Stufe entschlüsselten Datensätze an das Gesundheitsamt. Nur das Amt kann daraus mit seinem eigenen Schlüssel die Kontaktdaten der Teilnehmer ermitteln. Da es bundesweit nur einen täglich wechselnden Schlüssel für alle Ämter gibt, ist die Entschlüsselung unabhängig davon möglich, wo eine infizierte Person eine Veranstaltung besucht hat. Luca setzt auf die Verschlüsselungsverfahren AES 128 CTR und HMAC mit SHA-256. Die doppelte Verschlüsselung solle sicherstellen, dass weder der Betreiber noch Luca die Kontaktdaten einsehen könnten, erläuterte Marian Margraf von der FU Berlin, der das Kryptokonzept mitentwickelt hat.

Trotz dieser Vorkehrungen stört sich Jan Kus von der Initiative Wir für Digitalisierung an dem Konzept.