Das Ende des Luca-Skandals

Verhaltensanalysen, Mustererkennung und warum eine offensichtlich dysfunktionale App Deutschland monatelang beschäftigen konnte

Die Luca-App hat geholfen, wenn auch nur ein wenig. Nach einer Umfrage des Spiegels berichteten die befragten Gesundheitsämter von genau 60 Fällen, in denen die Kontaktnachverfolgung mit Luca erfolgreich war. Dafür haben deutsche Bundesländer über 20 Millionen Euro Steuergelder ausgegeben. Wie konnte es so weit kommen?

Trotz Afghanistan-Krise und Bundestagswahlkampf finden sich zunehmend auch Meldungen über Probleme mit der Luca-App in den Massenmedien. (Hier eine ausführliche Timeline mit Karte.) Das Misstrauen gegenüber der Luca-App wächst: Berliner Datenschützer und Gesundheitsämter üben harsche Kritik, die ehemalige Modellregion Weimar steigt aus, Nordrheinwestfalen überarbeitet seine Coronaschutzverordnung und macht Luca faktisch unnötig, streng genommen sogar verboten, in Rostock beschäftigt sich ein Gericht erneut mit der Ausschreibung, Gesundheitsämter tippen lieber Daten ein, als sich auf Lucas automatische Datenübermittlung zu verlassen. Mehrarbeit ist programmiert. Anzeige

Experten wie der Chaos Computer Club Freiburg zeigen in Live-Statistiken, dass die Einsatzzahlen, die vom Hersteller und via dpa über Luca verbreitet werden, massivst nach unten korrigiert werden müssen. Von 20 Millionen Usern könne bei Weitem nicht die Rede sein und kaum ein Gesundheitsamt nutzt das Luca-System.

Hessen und das Bundesinnenministerium streiten sich darüber, ob der Steuerzahler auch noch ein Security-Audit für Luca beim Bundesamt für Sicherheit in der Informationstechnik bezahlen soll – über ein halbes Jahr nach der Anschaffung der Software.

Was Experten und Wissenschaftler seit Monaten vorhersagten, ist jetzt messbar geworden: Die Luca-App ist nicht geeignet, eine hilfreiche Rolle in der Kontaktnachverfolgung bei der Pandemiebekämpfung zu spielen, die Anschaffung war maximal überstürzt und unüberlegt.

Merkels Fehler

Aber wie konnte es überhaupt so weit kommen? Dass die Luca-App und ihr Hersteller, das Berliner Startup Nexenio immer wieder auf unglaubliche Weise von Fehlern, Lücken, Missverständnissen, Lügen und Falschaussagen profitieren konnten, liegt sicher an der Kernkompetenz, die viele Analysten Nexenio zugestehen: PR und Marketing. Sicherheitsforscher sind sich sicher: Die „Autobahn ins Gesundheitsamt“ (Nexenio-PR) funktionierte leider nie, entgegen allen Versprechen.

Berlins Regierender Bürgermeister Michael Müller, der SPD-Kanzlerkandidat Olaf Scholz, der CDU-Kanzlerkandidat Armin Laschet, diverse Landesfürsten: Zahlreiche Politiker stellten sich hinter die Luca-App.

Erst recht seit Bundeskanzlerin Merkel erklärt hatte, der Bund würde die Kosten übernehmen, wenn sich die Länder auf eine App zur Kontaktnachverfolgung einigten. Beobachter halten es für überaus unglücklich, dass Merkel wenige Tage später ausdrücklich die Luca-App lobend erwähnte.

Auch Malu Dreyer, Ministerpräsidentin von Rheinland-Pfalz, bestätigte: „Bürger, Geschäfte, Betriebe und Kultureinrichtungen könnten die App kostenfrei nutzen, der Bund übernehme für die ersten eineinhalb Jahre die Kosten.“

Diese Ansagen trugen dazu bei, dass sich 13 Länder, teils ohne Ausschreibungen für die Anschaffung von Luca entschieden.

Eine andere App zu kaufen, hätte womöglich bedeutet, auf den Kosten sitzenzubleiben, bei Luca gab es immerhin die Chance, dass der Bund noch dafür aufkommt – jeder gute Politiker würde das für seine Wähler und Steuerzahler so entscheiden.

Nur Gesundheitsminister Spahn war da noch skeptisch, vermutlich weil unter seiner Verantwortung ja die 60 Millionen Steuer-Euro teure Corona-Warnapp entwickelt wurde. Die aber ließ bis Ostern genau das Feature vermissen, das von vielen Seiten schon lange angefragt war: Kontaktnachverfolgung in Restaurants, Kneipen, bei Events. Spahns Nichtstun eröffnete den Markt für die fehlerhafte Luca-App.

Ausschreibungskriterien

Doch damit die Luca-App (abseits von, aber auch in Ausschreibungen) erfolgreich sein konnte, musste sie noch mehrere Hürden nehmen, die die Konkurrenz nicht genommen hatte. Beispielsweise sollten die Gesundheitsämter automatisiert über die E-Health-Software Sormas angebunden sein, sicher verschlüsselt und für die Bürger mussten Apps in Googles und Apples App-Stores bereitstehen.

All dies erfüllte die Luca-App, nach eigener Aussage und ungeprüft, und laut Hersteller gab es auch keine Konkurrenten, die das konnten.

Eine Marktanalyse, wie sie in solchen Fällen üblich war, fand nicht statt, auch auf das vorgeschriebene Sicherheitsaudit und die Datenschutzfolgenabschätzung wurde großzügig verzichtet. Gegen die Entscheidung klagt in Rostock seit Monaten die österreichische Cube GmbH, die selbst eine vergleichbare App am Start hatte, aber „weil Eile geboten war“ nicht berücksichtigt wurde.

Gleich mehrere Konkurrenten legten offiziell bei Apple und Google Beschwerde ein, weil sie das Wettbewerbsrecht verletzt sahen angesichts der Formulierungen und Beschreibungen, die der Hersteller in den Appstores verwendet hatte.

Mehrere solcher Schreiben liegen der Telepolis-Redaktion vor, Google und Apple reagierten nicht. Mittlerweile haben nicht nur Berliner Datenschützer und Gesundheitsämter nachgewiesen, dass die Verschlüsselung der Luca-App nicht funktioniert. Auch Äußerungen der Entwickler sorgten für Zweifel an der Krypto-Kompetenz des Herstellers (z.B. „doppelt verschlüsselte Keys“).

Und Sormas? Konkurrenten wie Recover von der Firma Railslove konnten ihre Apps schon früh im Januar in die API integriereren Heute spielt das keine Rolle mehr: Nach einer gravierenden, vom Luca-App-Hersteller nicht oder nur erneut mangelhaft behobenen Sicherheitslücke ruht die Anbindung an die API.

Seit Ende Mai schon ist die Sormas-API zur automatischen Datenübermittlung für die Kontaktnachverfolgung ausgeschalten, vermutlich weil sich die Gesundheitsämter keine Malware oder DOS-Angriffe über manipulierte CSV-Daten von der Luca-App ins Haus holen wollen. Laut Tagesspiegel betrachten sie die manuelle Dateneingabe der Luca-Daten als deutlich sicherer.

Freundliche Verhandlungen

Aber auch ein genauer Blick auf die Ausschreibungen wirft mehr Fragen auf als er beantwortet. Schon im April berichtet Netzpolitik.org detailliert darüber, wie sich die 20 Millionen für Luca verteilen und wer die Verhandlungen führte: „Ende März folgten zehn weitere Bundesländer, für die der IT-Dienstleister Dataport die Verhandlungen mit Luca geführt hat.“

Dataport ist „der Informations- und Kommunikations-Dienstleister der öffentlichen Verwaltung für die vier Bundesländer Hamburg, Schleswig-Holstein, Bremen und Sachsen-Anhalt sowie für die Steuerverwaltungen in Mecklenburg-Vorpommern und Niedersachsen, es gehört zu seinem Aufgabenbereich, solche Abschlüsse zu ermöglichen.

Die Anstalt des öffentlichen Rechts hatte es auch schon mehrfach mit Nexenio, der Firma hinter der Luca-App zu tun. Trotzdem ist es natürlich möglich, dass hier alles seine Richtigkeit hatte.

Auf jeden Fall kannten sich die Verhandlungspartner gut, aus heutiger Sicht wirken einige Tatsachen befremdlich, was sich mittlerweile auch auf der Wikipedia-Seite der Luca-App widerspiegelt:

Kritik gibt es auch beim undurchsichtigen Vergabeverfahren und der Einigung zwischen Bund und Ländern, sich bezüglich der Kontaktnachverfolgung auf ein System zu einigen. Die Lizenz der Luca-App für das Land Mecklenburg-Vorpommern wurde ohne Ausschreibungsverfahren für knapp 440.000 Euro erworben. Der Informations- und Kommunikations-Dienstleister Dataport der öffentlichen Verwaltung für die vier Bundesländer Hamburg, Schleswig-Holstein, Bremen und Sachsen-Anhalt hat für zehn Bundesländer, ohne dass es eine Ausschreibung gegeben hätte, weil nach der Markterkundung offenbar durch das Land Mecklenburg-Vorpommern es kein vergleichbares System geben würde. Daran gibt es erheblichen Zweifel.

Das Entwicklerunternehmen hält dem entgegen, kein anderes System am Markt würde aktuell die Anforderung der Gesundheitsämter einer End-zu-Endverschlüsselung der Daten erfüllen. Laut Meldung des Wirtschaftsnachrichtenportals Juve.de vom 6. Mai 2021 hat die Landesvergabekammer Mecklenburg-Vorpommern festgestellt, dass das Vergabeverfahren korrekt verlaufen sei. Die von der Landesregierung formulierten Mindestanforderungen seien sachgerecht und nicht diskriminierend gewesen, zusätzlich seien die Dringlichkeitsanforderungen erfüllt worden.

Unter Freunden

Die Wege von Dataport und Nexenio kreuzten sich schon öfter, die Geschäftsbeziehungen dürften freundschaftlich gewesen sein, was Verhandlungen sicher nicht schwieriger macht. Dataport machte noch im Januar 2021 Werbung in seiner Hauszeitung für die Firma, mit der man kurz danach Verhandlungen über den Einkauf einer Kontakt-Tracing-App führen würde.

Auf Seite 28 des „:data[re]port“ 01/21, einem von Dataport herausgegebenen Quartalsmagazin, findet sich ein Artikel (Ein weiterer lesenswerter Artikel über SEAMLESSme) über die Qualitäten der von Nexenio entwickelten Sicherheitslösung:

Die IT-Security-Experten sind mindestens so kreativ wie ihre kriminellen Gegenspieler. Das zeigt das Berliner Start-up neXenio, eine Ausgründung des Hasso-Plattner-Instituts. Mit SeamlessMe hat das Unternehmen eine innovative Authentifizierung auf Basis des persönlichen Bewegungsprofils entwickelt. (…) Der eigene Gang wird so zum digitalen Schlüssel. Je besser das Smartphone ihn erfasst, desto höher wird der so genannte Trust-Level, der die Sicherheitsstufe markiert. Genutzt werden kann diese Technologie etwa für Zugangskontrollen zu Räumlichkeiten. Das registrierte Handy dient als Eintrittskarte. Der Zugang öffnet sich – vorausgesetzt, das Smartphone bestätigt, dass sein Träger auch der eingetragene Besitzer ist. Den Praxistest hat das innovative System schon bestanden: Ohne sich weiter legitimieren zu müssen, können die neXenio-Mitarbeiter damit ihre Unternehmenszentrale betreten. Ihr Handy bleibt dabei in der Tasche.

Inhaltsverzeichnis

  1. Das Ende des Luca-Skandals
  2. Schulcloud mit Verhaltensanalyseexperten
  3. Auf einer Seite lesen

Quelle

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

%d Bloggern gefällt das: