Luca-App versus Corona-Warn-App

Beide Apps wollen mit QR-Codes die Pandemie bekämpfen. Sinnvoll gelingt das nur einer

  • Von Daniel Lücking
  • Lesedauer: 4 Min.
Luca-App und die Corona-Warn-App der Bundesregierung – nur eine von beiden ist sicher und erfüllt ihren Zweck.
Luca-App und die Corona-Warn-App der Bundesregierung – nur eine von beiden ist sicher und erfüllt ihren Zweck.

Sie stehen für Millionen-Investitionen, die nur durch die Corona-Pandemie überhaupt getätigt wurden: Apps, die die Gesundheitsämter bei der Kontaktnachverfolgung unterstützen.

Die gemeinsam von der Telekom und dem Softwarekonzern SAP entwickelte Corona-Warn-App hatte zunächst einen schlechten Ruf. Erst als nach viel konstruktiver Kritik aus den Kreisen das Chaos-Computer-Clubs ein Katalog von Regeln erarbeitet worden war, wurde die Corona-Warn-App auch für Datenschützer*innen akzeptabel.

Das wichtigste Prinzip: Die Corona-Warn-App funktioniert dezentral und überwiegend auf den Smartphones der Nutzer*innen. Via Bluetooth-Schnittstelle werden stetig Beacons (englisch für Leuchtfeuer) versendet, empfangen und gespeichert. Die Beacons enthalten keine Informationen über die Nutzer*innen, sondern nur den Zeitpunkt der Aussendung und des Empfangs. Wenn ein positiver Coronatest in die Warn-App eingegeben wird, werden die ausgesendeten Beacons auf den Server des Robert-Koch-Instituts geladen. Dort entsteht so eine Liste aller Signale, die von positiv getesteten Personen gesendet wurden. Die Corona-Warn-Apps laden diese Liste täglich auf die Smartphones herunter. Dort findet der Abgleich statt. Erkennt die App ein Beacon, das auf der Liste der Corona-Infizierten vermerkt ist, erhalten Nutzer*innen eine Warnung mit der Empfehlung, sich testen zu lassen.

Bei rund 21 000 Neuinfektionen pro Tag in der vergangenen Woche warnten täglich 3500 Menschen über das Teilen ihres positiven Testergebnisses. Bei den 3,3 Millionen Infektionen, die seit Beginn der Pandemie gezählt wurden, gab es rund 415 000 Warnungen, die an die Nutzer*innen der Corona-Warn-App versendet wurden (Stand: 27. April 2021). Auch wenn ein Alarm nicht automatisch bedeutet, dass eine Infektion vorliegt, so ist doch eine höhere Chance gegeben, dass infizierte Menschen sich frühzeitig testen lassen oder vorsorglich in Quarantäne gehen.

Fragwürdige Luca-App

Mit der Luca-App versuchte die Veranstaltungsbranche die Erfassung von Kontaktdaten zu vereinfachen. Das vorrangige Ziel: Veranstaltungen und die Öffnung von Geschäften zu ermöglichen. Doch der Datenschutz ist bei dieser App ebenso fragwürdig wie das Konzept, das bei den QR-Codes eingesetzt wird. Dennoch wurde die Luca-App zunächst massiv angepriesen. Mehrere Bundesländer bauten die App in ihre Sicherheits- und Öffnungskonzepte ein, ohne dass die Betreiber der App überhaupt die verpflichtende Datenschutzfolgeabschätzung vorweisen konnten.

Im April geriet die Luca-App zum PR-Desaster, als immer mehr Technikinteressierte den Quellcode und die Arbeitsweise der App untersuchen konnten. Neben zahlreichen Schwachstellen sorgten auch die verwendeten QR-Codes für Irritationen.

QR-Code-Verwirrung

Die kleinen Quadrate tauchen in immer mehr Alltagssituationen auf und sollen uns dazu bewegen, die Kamera des Smartphones darauf zu richten. Hinter den schwarz-weißen Flächen verbirgt sich meist der Link zu einer Internetseite oder zu einem anderen Datensatz.

Geschäfte und Veranstalter sollen diese Codes beim Betreten ihrer Räumlichkeiten anbieten, damit ein Check-in durchgeführt werden kann. Die Luca-App sammelt diese Check-ins. Im Fall einer Infektion sollen die Daten dieser Check-ins zur Kontaktnachverfolgung den Gesundheitsämtern zur Verfügung gestellt werden, die dann potenziell infizierte Menschen informieren.

Zunächst erscheint das Konzept sinnvoll. Doch wenn QR-Codes abfotografiert und an anderer Stelle ausgehängt oder - wie im Fall der Luca-App - im Netz geteilt werden, entstehen in kürzester Zeit fehlerhafte Datensätze, die in etwa so sinnfrei sind wie handschriftliche Einträge auf Besucherlisten mit Fantasienamen.

Sinnvoller Einsatz ist möglich

Wenn zwei das Gleiche tun, dann ist es noch lange nicht dasselbe. Diese Binsenweisheit trifft auch für die Corona-Warn-App zu, die in ihrer neuesten Version 2.0 nun ebenfalls den Check-in via QR-Code als »Eventregistrierung« anbietet. Die QR-Codes sollen vor allem jene Situationen erfassen, in denen Menschen in geschlossenen Räumen einer höheren Virenlast ausgesetzt sind. Verteilen sich die Coronaviren über Aerosole im Raum, kann auch bei Einhaltung des Mindestabstands das Infektionsrisiko steigen.

Bislang konnte die Warn-App nur aus dem Abstand zweier Personen zueinander auf ein Infektionsrisiko schließen. Mit der Eventregistrierung werden die übermittelten Beacons um die Information ergänzt, dass ein Ort während eines bestimmten Zeitraums aufgesucht wurde. So können Nutzer*innen gewarnt werden, wenn eine später als infiziert erkannte Person zur selben Zeit am selben Ort war - auch, ohne dass der Mindestabstand für längere Zeit unterschritten wurde. Da die Auswertung der Kontakte hier einzig auf dem Smartphone der Nutzer*innen stattfindet, produzieren falsche Check-ins keinen Datenmüll, der die Gesundheitsämter belastet. So schaden falsche Check-ins einzig denjenigen, die Unfug damit treiben wollen.

nd Journalismus von links lebt vom Engagement seiner Leser*innen

Wir haben uns angesichts der Erfahrungen der Corona-Pandemie entschieden, unseren Journalismus auf unserer Webseite dauerhaft frei zugänglich und damit für jede*n Interessierte*n verfügbar zu machen.

Wie bei unseren Print- und epaper-Ausgaben steckt in jedem veröffentlichten Artikel unsere Arbeit als Autor*in, Redakteur*in, Techniker*in oder Verlagsmitarbeiter*in. Sie macht diesen Journalismus erst möglich.

Jetzt mit wenigen Klicks freiwillig unterstützen!

Unterstützen über:
  • PayPal
  • Sofortüberweisung