Ideales Ziel für einen Hackerangriff

 Spricht man mit Wissenschaftlern, die sich mit solchen Technologien auskennen, herrscht - höflich gesagt - kritische Verwunderung. Tibor Jager von der Bergischen Universität Wuppertal, ein angesehener Forscher auf dem Gebiet der Kryptografie, der digitalen Verschlüsselungstechnologien, hat sich auch schon mit dem digitalen Impfpass aus Köln beschäftigt. Da stimmt für ihn so einiges nicht.      

Blockchains seien zwar derzeit in aller Munde, aber für einen Impfpass die genau falsche Technologie. "Blockchains sind sinnvoll, wenn es keine zentrale Instanz gibt, die Daten bestätigen kann, und wenn jeder diese Daten öffentlich überprüfen können soll. Aber bei Impfpässen will man es ja genau umgekehrt. In diesem Fall benötigen wir sogar zentrale Stellen, nämlich die impfenden Ärzte, welche durch digitale Impfpässe bestätigen, dass eine Impfung durchgeführt wurde. Und das Gesundheitslogbuch oder Impfbuch eines Nutzers soll ja gerade nicht für jeden öffentlich sichtbar sein."

Da sei man beim Problem, dass ein privater Anbieter wie Ubirch, der diese Daten verarbeite, zu einem "single point of failure", zum anfälligen Nadelöhr werde. Man könne sich beispielsweise ein Eröffnungsspiel der Bundesliga mit hunderttausend Zuschauern in einem Stadion vorstellen. Das wäre ein ideales Ziel für einen Hackerangriff. Entweder um die Veranstaltung auszubremsen. Oder um die Daten abzugreifen. "Sehr viel einfacher wäre es, wenn man digitale Signaturen als Impfbescheinigung verwenden würde. Zum Beispiel vom impfenden Arzt. Da gäbe es keine Zentralisierung, keinen zentralen Punkt, der überlastet werden kann." Fazit: Blockchain ist die schlechteste Lösung. "Das ist, als wenn sie Käse mit dem Käsehobel schneiden könnten, aber stattdessen fünf Kettensägen nehmen."      

Aber es geht eben auch um Geld. "Blockchain ist ein Hype. Aber mit Zertifikaten aus den Achtzigerjahren kann man kein Geld verdienen." Denn die Technologie für digitale Unterschriften ist zwar zuverlässig, aber sehr einfach. Und aus dem Jahr 1978. Seitdem sind sie so etwas wie das robuste "kryptografische Rückgrat" der Kommunikation im Internet. Er sei da auch nicht alleine mit seiner Einschätzung. "Die Kollegen sind alle fassungslos."

Auch Luca hat er sich angesehen. Auch da gebe es wieder das Problem der singulären Fehlerquelle. Mal davon abgesehen, dass er die App für unausgereift hält. "Da sind verschiedene Verschlüsselungsverfahren zusammengetüftelt worden", sagt er "Das Sicherheitskonzept ist für mich als Experten nicht nachvollziehbar. Und es gibt Amateurfehler, wie dass die Telefonnummer des Nutzers auf dem Gerät geprüft wird."      

Überhaupt, so sagt er, solle man auf keinen Fall eine zentralisierte App wie Luca ins Spiel bringen, denn damit sei das Grundprinzip des ja schon bestehenden Systems ausgehebelt. "Luca hebelt das Prinzip des Privacy by Design aus", sagt Jager. Also den Grundsatz, dass die Privatsphäre in der Technologie selbst garantiert wird, und nicht erst bei der Anwendung als "privacy by default" eingerichtet wird. Die Corona-Warn-App des Bundes wurde nach der Richtlinie entwickelt, dass die Privatsphäre in jedem Fall erhalten bleibt.

Am Anfang stand das Nachdenken über eine Infrastruktur      

Die Professorin für Informatik Carmela Troncoso von der EPFL, der technischen Hochschule in Lausanne, stöhnt bei der Frage nach Luca: "Das sind gerade die exakt gleichen Debatten, die wir vor einem Jahr schon einmal geführt haben." Sie arbeitet mit einem Team, zu dem auch Marcel Salathé, Professor für digitale Epidemiologie an der EPFL, gehört. Gemeinsam haben sie ein Protokoll entwickelt, das unter dem Kürzel DPT3 bekannt wurde. Das steht für "dezentrale, datenschutzkonforme Näherungsermittlung" und ist die Grundlage für zum Beispiel die deutsche Corona-Warn-App. "Wir haben damals nicht über eine App nachgedacht, sondern über eine Infrastruktur", sagt sie. Das sei der entscheidende Unterschied im Ansatz.

Luca hat das Team auch untersucht, nachdem Nexenio den zuvor geheimen Quellcode der App auf Drängen der Wissenschaftler und Programmierer freigab. Prompt stießen sie und andere Teams auf eine ganze Kaskade von Problemen, von der Registratur heikler Versammlungen bis hin zu geklauten Open-Source-Codes. Aber es gibt einen ganz grundsätzlichen Denkfehler. Apps sind klassisches Silicon-Valley-Denken, demnach gibt es für jedes Problem eine App. Und umgekehrt, wie im Fall Luca-App, die viele Daten erhebt, die beispielsweise das RKI gar nicht abgefragt hat.

Eine App schaffe aber eben auch eine Infrastruktur. Troncoso erinnert sich: "Wir haben für die Corona-App eine minimale Infrastruktur geschaffen. Der Server hinter der App ist beispielsweise nur ein Kanal, der ist nach dem Ende der Pandemie nutzlos." Die Daten, die durch ihn strömten, sind auf den Telefonen der Nutzer geblieben.

Luca dagegen schaffe Verzeichnisse für jedes Treffen, das Nutzer damit registrieren. Für Konzerte, Abendessen, aber damit es wirklich funktioniert auch für private Treffen, private Feiern, politische Versammlungen, für Schutzräume wie Frauenhäuser. Das seien alle Daten, die Epidemiologen gar nicht bräuchten. "Die brauchen keine Namen, die müssen nur wissen, wo jemand infiziert oder nicht infiziert ist, um die Ansteckungsketten zu brechen."      

Mit dem DPT3-Protokoll haben sie auch eine dezentrale App für Kontaktverfolgung konstruiert, die in der Schweiz auch schon unter dem Namen Crowdnotifier im Einsatz ist. Eine zentralisierte App wie Luca sei immer ein Problem. "Man könnte die für Wahlbehinderung einsetzen. Oder für die Verfolgung von Minderheiten", warnt Carmela Troncoso. Und wenn es eine Infrastruktur erst einmal gebe, sei es schwierig, die wieder abzuschaffen.

"Wir haben gerade echt andere Probleme."      

Die Digitalisierung ist - und da sind sich Wissenschaftler, Programmierer und Datenschützer gerade sehr einig - auch wirklich nicht das Problem der Stunde. Tibor Jager sagt: "Ich habe Virologen gesprochen, die sagen, wir haben gerade echt andere Probleme. Die Diskussion um digitale Technologien lenkt nur von den eigentlichen Themen ab." Vom Personalmangel der Gesundheitsämter, Kliniken und auch des RKI. Von der Hilfe, die Unternehmer brauchen, um zu überleben. Die Einführung neuer Systeme würde das überlastete Gesundheitswesen zusätzlich überfordern Die Corona-Warn-App hat ja auch den Vorteil, dass es schon 26 Millionen Nutzer gibt, die sie zumindest heruntergeladen haben.

Die Fixierung auf digitale Debatten habe bei der Seuchenbekämpfung oft etwas von Aberglaube. Das erinnert an die Probleme in der Debatte um künstliche Intelligenz (KI). Der werden wahre Wunderdinge zugetraut. Auch in der Seuchenbekämpfung. In Wahrheit ist KI eine hoffnungslos überschätzte Form von Automatisierung, die enorm aufwendig ist. KI-Systeme müssen nicht nur installiert, das Personal nicht nur damit geschult werden.      

Auch die KI selbst muss für eine so komplexe Aufgabe wie die Kontaktverfolgung oder auch die Impfstoffverteilung bei mehreren Millionen Zielpersonen erst einmal trainiert werden. Das kann Monate und länger dauern. In Deutschland und Europa noch länger, denn hier sind die Datensätze qualitativ und quantitativ vergleichbaren Erhebungen in den USA oder China weit unterlegen. Aber das sind auch andere Gesellschaften mit anderen Werten.

Es gibt einen historischen Rahmen, der hilft, das Ausmaß der digitalen Corona-Maßnahmen zu erfassen. Seuchen verändern Gesellschaften auf lange Sicht. Die Impfkampagnen gegen Pocken im frühen 19. Jahrhundert waren der Beginn des modernen Gesundheitswesens. Die Cholera-Epidemien des späten 19. Jahrhunderts waren in London und Hamburg die Geburtsstunde des modernen Städtebaus, zu dem vor allem ein hygienisches Kanalisationssystem gehörte.      

Die Ebola-Ausbrüche in Westafrika in den vergangenen 25 Jahren brachten internationale Frühwarnsysteme und ein verschärftes Bewusstsein für die Gefahren einer Pandemie. Was Deutschland jetzt aufbaut, ist eine digitale Infrastruktur, die der Gesellschaft sehr viel länger bleiben wird als die Pandemie.

Der Däne kam als Möbelhändler nach Deutschland, baute an der Ostsee Möbelhäuser namens Wikinger auf und ist seit 2019 der erste ausländische Bürgermeister einer deutschen Großstadt. Er trägt einen Rauschebart und gibt den unkonventionellen Macher. In der Pandemie wurde der 48 Jahre alte Madsen zum Talkshow-Star, weil Rostock mit vergleichsweise niedrigen Infektionszahlen auffiel, der Manager mit dem dänischen Fähnchen auf dem Schreibtisch sein Revier in einen Modellversuch verwandelte und das mit blumigen Worten beschreibt. Der Löwe wurde sein Symbol - und Luca soll helfen, den Löwen zu bändigen.

Seit mehr als einem Jahr sei die Welt im Stillstand, schrieb Madsen vor der letzten Ministerpräsidentenkonferenz in einem offenen Brief an Bundeskanzlerin Angela Merkel. Jetzt gelte es, "Erfahrungen zusammenzubringen und pragmatische Ansätze zu ermöglichen". Und: "Wir sollten als Staat auf allen Ebenen moderner und digitaler werden." Ein Unternehmer aus Skandinavien als Entwicklungshelfer im zuweilen etwas sperrigen Deutschland?      

Drittliga-Fußball vor 777 Zuschauern

Madsen nennt es den Rostocker Weg, es ist eines der ersten Projekte dieser Art, weitere Städte machen es mittlerweile ähnlich oder wollen es versuchen. Grob gesagt wurde in Rostock erst schnell geschlossen und von Anfang an viel getestet, obwohl der Taktgeber Madsen immer wieder erzählt, dass ihn das Robert-Koch-Institut zu Beginn sogar gebremst hatte. Jetzt wird in Rostock geimpft und noch mehr getestet - und geöffnet, unterstützt von dieser App namens Luca, die ein Berliner Start-up und die Hip-Hop-Gruppe Die Fantastischen Vier auf den Weg gebracht haben.      

In diesem Rahmen spielte der Fußball-Drittligist Hansa Rostock einmal vor Zuschauern, 777 Sportfreunde erlebten im Stadion einen 1:0-Sieg gegen Halle. Und im Volkstheater Rostock ereignete sich dank entzerrtem Sitzplan, Schnelltests und Luca-App vor Publikum die Premiere von "Jugend ohne Gott" von Ödön von Horváth, ein Stück über Charakter und Gehorsam, Wahrheit und Lüge.

Mit dem Instrument namens Luca auf dem Handy und an Geschäften oder Veranstaltungslokalen werden Kontakte nachverfolgt, Gäste checken sich über einen QR-Code ein. Auf diese Weise soll der Löwe auf Distanz gehalten werden und trotzdem ein halbwegs normales Leben in freier Wildbahn stattfinden.      

Hunderte Lokale und Einrichtungen machen mit. Das Problem: Die Inzidenz stieg in diesen Wochen auch im experimentellen Rostock erheblich, zuletzt auf ungefähr 70. Weniger als in den meisten Gegenden im deutschen Nordosten, mehr als im Landkreis Vorpommern-Rügen.

"Mit der App auf dem Smartphone sind wir alle Gesundheitsamt!"      

Außerdem herrscht nicht ausschließlich Begeisterung über diese von Madsen und anderen Unterstützern gepriesene Luca-App eines privaten Anbieters. Sie identifiziert Nutzer anhand ihrer Telefonnummer und wird zur digitalen Kontaktverfolgung auch in anderen Teilen von Mecklenburg-Vorpommern eingesetzt. Laut Betreiber können die verschlüsselten Daten zwar nur vom Gesundheitsamt ausgelesen werden. Wer erfährt, dass er sich infiziert hat, bei dem können so die Aufenthaltsorte der vergangenen 14 Tage ermittelt werden.

Bei Kritikern ist allerdings von rechtlichen und technischen Schwachstellen die Rede sowie von möglichen Problemen mit dem Datenschutz. Sie weisen beispielsweise darauf hin, dass man theoretisch auch eine andere Telefonnummer angeben könne, ohne dass dies auffiele. Ein Sprecher der Stadt wird in der Schweriner Volkszeitung mit den Worten zitiert, dass es Mittel und Wege gebe, den Zweck der App zu umgehen, aber "der übergroße Teil der Menschen, die Luca verwenden, das nicht vorhat". Ebenfalls Ärger gibt es um die digitalen Schlüsselanhänger mit aufgedrucktem QR-Code, die Menschen ohne Smartphone nutzen können.      

Mit einem Sieben-Tage-Wert von über 50 ist die Vorzeigestadt wieder Risikogebiet, dennoch bleibt der Einzelhandel vorläufig offen, noch. Schnell- oder Selbsttests sind anders als im übrigen Bundesland hier erst von 10. April an nötig. Claus Ruhe Madsen verteidigt sein Konzept. "Mit der App auf dem Smartphone sind wir alle Gesundheitsamt!", gab er kürzlich bekannt. "Wenn alle mitmachen, können wir langfristig weitere Lockdowns verhindern und ermöglichen eine sichere Kontaktenachverfolgung auch bei höheren Infektionszahlen."

Der Kanzlerin Merkel schickte der Mann mit den Löwen ein paar weitere Vergleiche. Das Leben sei gerade "wie eine prunkvolle Vase, die von einem Tisch herunterfällt", man müsse sie "mit aller Kraft auffangen". Oder: Es sei wie bei Mensch-ärgere-dich-nicht: Wer rausgekegelt werde, brauche eine Perspektive. "Wir dürfen den Menschen nicht die Möglichkeit nehmen, wieder aufs Spielfeld zu kommen." Deutschland sei doch eigentlich das Land der Denker und Lenker und nun auf einmal der Schließer und Henker, klagte Madsen im Fernsehen, ein eventuell etwas unglücklicher Reim. "Rostock bewegen" war sein Wahlspruch. Unterdessen hat er ein neues Motto für Rostock erfunden: "Smile city."

Wo die Person wann eingecheckt war, ließ sich dem "Team LucaTrack" zufolge ohne spezielle Software und mit IT-Kenntnissen sichtbar machen, die dem "ersten Jahr Ausbildung als Anwendungsentwickler" entsprechen. Um herauszufinden, wo sich der Besitzer des Schlüsselanhängers in der Vergangenheit über die App als Besucher registriert hat, sei lediglich ein Bild vom QR-Code seines Anhängers nötig. Die Sicherheitsexperten empfehlen: "Alle Schlüsselanhänger, die von der Sicherheitslücke betroffen sind, sind fachgerecht zu entsorgen."

Die Firma Nexenio, die Luca entwickelt, hat die Sicherheitslücke bestätigt. "Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung", schreibt das Unternehmen in einer Stellungnahme. Ein Sprecher rät im Gegensatz zum Team von Kastl und Ravenstein dringend davon ab, die Anhänger wegzuwerfen. Die Nutzer sollten vielmehr gut auf ihre QR-Codes aufpassen. Nexenio rät, sie "nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen".      

Ist also doch noch nicht alles in Ordnung mit den Schlüsselanhängern? Wer den Code einer fremden Person besitze, könne sich damit nach wie vor unter falschem Namen bei Veranstaltungen als Gast registrieren, erläutert ein Sprecher des Unternehmens. Man solle den Code daher "in der gegenwärtigen Euphorie über Luca" nicht etwa auf Instagram posten, wie es nun verschiedentlich geschehe. "Ich würde ja auch nicht meine Telefonnummer posten und ein anderer trägt sich in der Kneipe damit in der Kontaktliste ein."

Zwölf Bundesländer haben wohl mindestens 20 Millionen Euro ausgegeben, um Luca zu nutzen. Die Zahlen hat netzpolitik.org zusammengetragen. Und das, obwohl bereits an einer ähnlichen Funktion für die Corona-Warn-App des Bundes gearbeitet wird, die schon auf 25 Millionen Handys installiert ist. Diese Funktion wird allerdings nicht an die Gesundheitsämter angeschlossen werden. Luca wird vor allem vom Rapper Smudo von den Fantastischen Vier beworben.      

Nach Bekanntwerden der Lücke meldete sich der Chaos Computer Club zu Wort. Er fordert "das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab 'Luca-App'". Es gebe eine "nichtabreißende Serie von Sicherheitsproblemen und unbeholfene Reaktionen des Herstellers". So eine App dürfe nicht, wie etwa in Mecklenburg-Vorpommern, "Voraussetzung der Teilhabe am öffentlichen Leben" sein. Es brauche "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs". In einer Stellungnahme am Mittwoch bezeichnete Nexenio die Vorwürfe als "überzogen". Luca sei "auf keinen Fall der alleinige Heilsbringer", sondern lediglich eines der Hilfsmittel zur Eindämmung der Pandemie. Nexenio gab aber zu, die App könne "ausgetrickst" werden.

Die App speichert die ermittelten Daten zentral      

Fachleute kritisieren die Sicherheit von Luca seit Längerem, vor allem, weil die App Daten zentral speichert. Das ermögliche es demjenigen, der Zugang auf das System habe, Einzelne zu überwachen: Wohin sie gingen, wer noch auf diesen Veranstaltungen sei. Das betreffe unter Umständen auch sensible Bereiche wie politische Versammlungen.

Dabei gibt es technische Möglichkeiten, alle Informationen über Nutzer nur auf deren Handys zu erfassen. Solche dezentralen Lösungen zerstäuben das Risiko praktisch in alle Richtungen, so dass es überhaupt keinen Punkt mehr gibt, an dem eine Person oder Organisation alle Daten auf einmal abgreifen kann.      

Am Wochenende irritierte Luca zudem die Mitarbeiter von mindestens zwei Bundestagsabgeordneten. Mitten in der Nacht wurden sie mehrfach vom System hinter der App automatisiert angerufen, eine Roboterstimme gab ihnen die Tan-Nummer durch, die Nutzer zur Registrierung in der App brauchen. Nur hatten die Angerufenen sich gar nicht in der App registriert. Irgendwer hatte den unerwünschten Nebeneffekt der App genutzt, von dem zuvor schon der Chaos Computer Club gewarnt hatte: Das Tan-Feature lässt sich missbrauchen, indem man Listen mit fremden Nummern in das System lädt, um die Anschlussinhaber zu nerven.

Nexenio hat mittlerweile nach eigenen Angaben das Limit für die automatisierten Anrufe heruntergesetzt. So sollen die massenhaften "Robo-Calls" verhindert werden.