"Wir haben den Feuerlöscher an der Wand, wir müssen ihn nur runterreißen", sagte der Musiker Smudo im März 2021 der "Bild"-Zeitung. Der Feuerlöscher, den er meinte, war die Luca-App, das Feuer die Corona-Pandemie. Kurz zuvor hatte der Rapper bei "Anne Will" bereits für seine App geworben. Die simple Idee: Statt auf Zetteln hinterlassen Restaurant- und Konzertbesucher ihre Kontaktdaten über eine App.

Der Betreiber kann die Daten im Fall der Fälle dann auch leicht mit dem Gesundheitsamt vor Ort teilen. So zumindest der Plan. Auch, wenn es ähnliche App-Konzepte bereits gab und die Corona-Warn-App eine ähnliche Funktion nachlieferte, entschieden sich viele Bundesländer in der Folge, die Dienste der Luca-App kostenpflichtig in Anspruch zu nehmen. Auch die Bundespolitik, etwa der CDU-Vorsitzende Armin Laschet oder Bundesfinanzminister Olaf Scholz (SPD), zeigten sich angetan.

Bund lehnt große Prüfung ab

Genau hinsehen will man in Berlin bei der Luca-App jedoch offenbar eher weniger. So berichtet der "Spiegel", dass der Bundesinnenministerium eine Prüfung der Luca-App durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) abgelehnt habe. Das Land Hessen hatte darum gebeten, die Server und weitere System-Infrastruktur der App zu checken. Vergeblich.

Das Ministerium verweist demnach darauf, dass die Bundesländer selbst die Vertragspartner von Luca seien. Die Bundeshändler haben jedoch in der Regel keine mit dem BSI vergleichbare Behörde zur Überprüfung der App, wie der "Spiegel" anmerkt. Das Bundesministerium verweist hierzu auf Firmen, die die Länder mit Tests beauftragen könnten sowie Selbst-Überprüfungen der App-Macher, die das Land verlangen könne. Das BSI hat zwar offenbar in der Vergangenheit eine nicht veröffentlichte Analyse zu Luca erstellt, diese hatte jedoch nicht Systeme und Infrastruktur hinter der App im Fokus.

Bayern setzt vor allem auf Selbsttests

Bayern hat ein Landesamt für Sicherheit in der Informationstechnik und ist mit bisher knapp 5 Millionen Euro Lizenzkosten der größte staatliche Luca-App-Kunde unter den Bundesländern. Wurde im Freistaat die Infrastruktur der App genauer unter die Lupe genommen?

Das Bayerische Staatsministerium für Digitales weist hierzu auf BR24-Anfrage daraufhin, dass der Quellcode der App offengelegt sei und der Freistaat umfassende Prüfungs- und Kontrollrechte in Sachen Datenschutz habe. Das Bayerischen Landesamt für Datenschutzaufsicht habe den Code entsprechend getestet.

Darüber hinaus lassen laut Digitalministerium die Luca-Macher selbst ihr System regelmäßig mit sogenannten Whitebox-Penetrationstest durch Drittanbieter auf Sicherheitslücken prüfen. Die Zertifikate werden dem Staatsministerium vorgelegt. Zudem habe die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, das Konzept und die technische Architektur der App goutiert, so das Digitalministerium gegenüber BR24.

Die bayerische Staatsregierung setzt somit weitestgehend auf Angaben der App-Macher sowie Datenschutz-Prüfungen mit Hilfe des offenen Quellcodes. Eine, wie vom Land Hessen beim Bund angeregte, Prüfung des "Gesamtsystems inklusive aller Komponenten der dahinter stehenden IT-Infrastruktur" durch eine staatliche Stelle findet jedoch offenbar auch in Bayern nicht statt.

Zweifel an Sicherheit von Luca

Dabei scheinen Zweifel an der Sicherheit der Luca-App als Gesamt-System keineswegs aus der Luft gegriffen. Immer wieder kamen seit der Einführung des Programms Sicherheitslücken ans Licht. So waren etwa Bewegungsdaten gewisser Nutzer zumindest theoretisch für Fremde abrufbar, ein anderer Sicherheitsforscher zeigte, wie über das Luca-System Schadsoftware auf Gesundheitsamt-Rechner kommen könnte.

Der Chaos Computer Club forderte schon im April eine "Notbremse" für die App, deren Sicherheit zweifelhaft und deren Kosten für den Staat hoch seien. Kurze Zeit später forderten zahlreiche Experten aus dem IT-Bereich in einem Offenen Brief dazu auf, die Luca-App nicht zu nutzen.

Zweifel am Nutzen von Luca

Hinzu kommen Zweifel am Nutzen der App. Etwa sind die Daten laut Gesundheitsamt München nicht ausreichend, um einzuschätzen, wer mit wem an Ort XY Kontakt hatte. Die Luca-App vermerkt teils ja durchaus große Orte als Standort. Ein Beispiel: An sonnigen Tagen dürften teils hunderte Menschen als gleichzeitige Besucher des Ortes "Chinesischer Turm" in München eingecheckt sein, ohne dass im Falle eines Infizierten vor Ort klar ist, welchem der vielen anderen Gäste er jemals nahegekommen ist.

Der Nutzen scheint auch anderswo in Gesundheitsämtern unklar. Laut einer "Spiegel"-Umfrage hat die Hälfte der an Luca angeschlossenen Gesundheitsämter bis heute noch kein einziges Mal dort Daten angefragt. Laut der Umfrage habe Luca in 60 Fällen geholfen, Kontaktdaten nachzuvollziehen, während es im gleichen Zeitraum in den besagten Landkreisen rund 130.000 Neuinfektionen gegeben habe, wie der "Spiegel" schreibt.