Löst Luca die Coronakrise?

440.000 Euro hatte Mecklenburg-Vorpommern Anfang März für Lizenz und Betrieb der Luca-App aus der Steuerkasse gezahlt, ohne Ausschreibungsverfahren. Berlins Regierender Bürgermeister Michael Müller (SPD) wollte auf eine nationale Entscheidung nicht mehr warten und hat zwei Wochen später sein Bundesland als zweites an die Software angeschlossen. Auch die meisten anderen Bundesländer sind mittlerweile in Verhandlungen über den Einsatz der App. Für die Lizenz zum einjährigen Betrieb in Berlin, wo es mehr Endgeräte für potenzielle Luca-Installationen als in Mecklenburg-Vorpommern gibt, werden 1.168.000 Euro bezahlt. Michael Müller verspricht sich von dem Tool eine Unterstützung gegen die Coronapandemie, daher hat er die Verträge unterschrieben, ohne die genaue Funktionsweise der Software zu verstehen. Bislang hat ihm dieses Wissen auch kaum jemand voraus.

Luca ist ein Programm zum Contact Tracing (Kontaktpersonennachverfolgung) in der Pandemie, wie die Corona-Warn-App. Die technischen Prinzipien der beiden sind aber verschieden. Die Corona-Warn-App erkennt über Bluetooth andere Endgeräte in der Nähe, auf denen sie ebenfalls läuft. Je nach Entfernung und Dauer werden diese Kontakte auf den beteiligten Endgeräten gespeichert und geordnet. Wird ein solcher Kontakt später dem Server als infiziert gemeldet, kann man daher eine Benachrichtigung über das Risiko erhalten. Verfolgt wird der Kontakt einzelner Personen mit anderen Einzelpersonen. Luca basiert dagegen auf Orten. Man kann über den Scan eines QR-Codes in einer Einrichtung, die Luca unterstützt, einchecken. Dieser Checkin wird registriert und an das zuständige Gesundheitsamt übermittelt. Wird dem Amt eine Infektion gemeldet, kann die betreffende Person ihm den Zugriff auf alle Orte gestatten, in die sie sich seit ihrer Infektion eingecheckt hat. Dadurch kann es nachvollziehen, welche anderen Personen zu derselben Zeit in denselben Orten eingecheckt waren, und diese kontaktieren. Statt um einzelne Begegnungen geht es Luca also um Clustererkennung. Geöffnete Geschäfte, Hotels, Restaurants, Kneipen und Kinos könnten so schneller und zuverlässiger melden, wer sie besucht hat. Auch private Treffen, Versammlungen oder Konzerte könnten später damit arbeiten.

Public money? Public code!

Die Unterschiede gehen jedoch tiefer: Die Corona-Warn-App war eine Auftragsarbeit, die nach vorher festgelegten Anforderungen betrieben wurde. Eine dieser Anforderungen war eine Freie Lizenz: Wer Zugang zur Software hat, kann auch ihren Quellcode bearbeiten. Das heißt, dass sich niemand darauf verlassen muss, dass die Corona-Warn-App tut, was sie soll, und nichts anderes. Wir können die Funktionsweise selbst überprüfen. 14 verschiedene Verzeichnisse sind für die verschiedenen Teile der Anwendung eingerichtet. Wer den Quellcode hat, darf ihn auch weiterverbreiten und für die Herstellung eigener Software verwenden. Alternative Corona-Warn-Apps, die mit anderen Versionen kooperieren, sind so bereits entstanden. Wenn man problematische Stellen im Programm erkennt, kann man sie selbst ausbessern und diese Verbesserungen werden in das nächste Update übernommen. Damit folgt die Corona-Warn-App dem Prinzip „Public money, public code“. Nachdem hunderte Augen die Funktionsweise unabhängig überprüft haben, liegt es nahe, die Software als sicher zu erachten.

Luca ist dagegen von einem privaten Unternehmen entwickelt worden und wird seit Februar 2021 vor allem von Smudo von den Fantastischen Vier offensiv beworben. Das Modell der Investoren sieht vor, dass die Gesundheitsämter Geld für eine Nutzungslizenz bezahlen und so die Entwicklung mit Steuergeldern finanzieren. Die Forderung, dafür auch Einblick in den öffentlich finanzierten Programmcode zu geben, bügelte Smudo am 07. März auf Twitter noch ab:

Den Tweet löschte der Popstar bald ebenso wie einen weiteren, mit dem er Luca als „echtes Schnäppchen“ bezeichnete. Mittlerweile haben die Entwickler versprochen, dass der Programmcode vollständig veröffentlicht werden soll. Aber gewonnen ist damit wenig: Die App wird als „Intellectual Property“, intellektuelles Eigentum betrachtet, die verantwortliche GmbH behält sich Marken und Patente vor. Mit öffentlichem Geld wird demnach kein öffentlicher Code finanziert, sondern nur privater Profit.
Als Michael Müller also die Verträge für Luca unterschrieben hat, kannte nicht nur er sich mit deren technischen Details nicht aus. Vor der gesamten Öffentlichkeit, deren Steuern er dafür ausgegeben hat, werden diese Details geheim gehalten.

Wohin gehen unsere Kontaktlisten?

Grundsätzlich ist jede Kontaktpersonennachverfolgung bei wenigen Teilnehmenden nutzlos und funktioniert umso besser, je mehr dabei mitmachen. Daher geht es um Bewegungsdaten von Millionen, also äußerst sensible Informationen. Das Sicherheitskonzept von Luca verspricht Anonymität und eine doppelte Verschlüsselung der Checkins: Einmal gegenüber der Location durch das Endgerät und noch einmal gegenüber dem Gesundheitsamt durch die Location. Doch um die von Männern über Monate entwickelte App überhaupt benutzen zu können, muss man sich mit seiner Telefonnummer registrieren. Die Zuordnung ist damit in Wirklichkeit für den Luca-Server, über den alle Daten laufen, nicht schwer. Gegenüber dem Gesundheitsamt darf eine Anonymität anders als bei der Corona-Warn-App gar nicht gesichert werden, weil die Gästelisten der Gastronomie dann nicht durch die Software ersetzt werden könnten. Ob die sehr wertvollen Datensätze, die Luca herstellt, tatsächlich missbraucht werden können, hängt demnach ganz am Verschlüsselungsverfahren, das ohne offengelegte Quellcodes nicht nachvollzogen werden kann.

Eine wissenschaftliche Analyse des Sicherheitskonzepts spricht allerdings eher gegen blindes Vertrauen:

Die ständige Erhebung von Millionen von Checkin-Datensätzen stellt ein hohes Risiko dar, für das es bislang kaum Vorbilder gibt. Anders als bei der Corona-Warn-App werden von Luca alle relevanten Daten zentral gespeichert. Das bedeutet im Missbrauchsfall ein riesiges Schadenspotenzial. Diese Überlegung braucht keine fiktiven Szenarien: Das Landeskriminalamt Sachsen-Anhalt hat schon im März 2020 alle im Land quarantänisierten Personen in eine Fahndungsliste eingetragen und danach diesen Vorgang abgestritten. Ebenfalls seit März 2020 müssen Gastronomien Gästelisten führen, in die man sich meistens handschriftlich einträgt, um im Infektionsfall später eine Warnung an andere Gäste zu ermöglichen. Innerhalb von Wochen nutzte die Polizei diese Listen zur Strafverfolgung. Anlässe waren unter anderem Ermittlungen wegen Drogendelikten, Fahrerflucht, Beleidigung und Diebstahl. Da ist es nicht überraschend, dass auf manche Gästelisten unvollständige oder falsche Angaben geschrieben werden, die der Pandemiebekämpfung nicht helfen. Die Behörden reagieren darauf, wie Behörden nun einmal reagieren, und bedrohen Gäste seit September 2020 für solchen Ungehorsam mit Geldbußen bis zu 500 Euro. Für die Sorge, dass man begründet oder unbegründet vielleicht polizeiliche Aufmerksamkeit bekommen könnte, muss man nicht mit Drogen dealen: Die Berliner Polizei ging im Februar gegen Leute vor, die an einem sonnigen Sonntagnachmittag im Park verweilten. Eine Woche zuvor setzte sie Hubschrauber ein, um Spaziergänge auf zugefrorenen Wasserflächen zu beenden. Gästelisten muss die Polizei bislang aber einzeln beschlagnahmen oder von einer unbekümmerten Gatronomie herausgegeben bekommen, um die Adressen verwenden zu können. Eine zentrale Datenbank, für die nur noch die digitalen Schlüssel eingezogen werden müssen, bedeutet viel einfachere Zugriffe auf viel besser verwendbare Daten.

Solange der Gebrauch einer Checkin-App nicht nur rechtlich freiwillig ist, kann man sich wenigstens individuell dagegen entscheiden. Falls die Praxis aber gut funktioniert, kann sie von Restaurants und Geschäften zu Arbeitsplätzen, Schulen und Versammlungen übergehen. Sozialer Druck kann dazu führen, dass man bald auch ohne Rechtsvorschrift einen digitalen Checkin vornimmt, wenn man private Partys oder politische Treffen aufsucht. Damals während der Pandemie hat das gut geklappt, was soll jetzt schlimm daran sein? Eine umfassende Aufzeichnung, wer wann wo mit wem zusammen war, wäre ein Hauptgewinn für politische Verfolgungen in der Zukunft.

Wofür ist Luca gut?

Wer aber ist für Luca verantwortlich? Den Promibonus bezieht die Unternehmung von den Fantastischen Vier, einer stuttgarter Hip-Hop-Gruppe, die 1991 ihr erstes Album veröffentlicht hat. Sie haben eigens wegen Luca im November 2020 die Fantastic Capital Beteiligungsgesellschaft UG mit Sitz in Stuttgart gegründet. Die Entwicklung der Software betreiben die neXenio GmbH, die 2015 in Berlin gegründet wurde und mehrere Softwarepatente hält, und die Culture4Life GmbH, die in derselben berliner Adresse sitzt und im August 2020 angemeldet wurde. Ebenfalls beteiligt ist die Contineo Admin GmbH, die im Oktober 2020 zu diesem Zweck gegründet wurde. Eine Adresse mit dieser teilen sich die Contineo Investments GmbH & Co. KG (gegründet im November 2020) und die FDW Beteiligungen UG (gegründet im Januar 2019). Geschäftsführer all dieser ist Franz de Waal, welcher seit 2018 auch die Luciano GmbH leitet, deren Bevollmächtigter wiederum der Immobilienunternehmer Jan Kuschnik ist.
Klingt kompliziert? Ist aber erst der Anfang. Wer verstehen möchte, wo die Lizenzgebühren für Luca genau hinfließen und wofür sie verwendet werden, steht vor einem hastig zusammengebauten Komplex aus undurchsichtigen Firmenkonstrukten.

Dabei stellt sich die Frage, wozu es diese private Neuentwicklung überhaupt braucht. Seit Oktober 2020 gibt es ein Protokoll zur ortsbasierten Clustererkennung, das unter einer freien Lizenz steht und alle relevanten Daten nur auf den Endgeräten speichert, also das Problem der zentralen Datenspeicherung vermeidet: CrowdNotifier, entwickelt von einigen der Leute, die auch das dezentrale Modell der Corona-Warn-App entwickelt haben. Seit Februar gibt es für die Schweiz eine quelloffene App auf dieser Grundlage: NotifyMe. Mit ihrer Datensparsamkeit hat die Corona-Warn-App in den ersten neun Monaten seit ihrem Launch genug Vertrauen hergestellt, um 26 Millionen mal heruntergeladen zu werden. Die schon vorhandene Basis ist also breit. An einer ortsbasierten Registrierung damit wird sogar schon gearbeitet, das Feature soll in Version 2.0 kommen und dieselben QR-Codes wie Luca auslesen können.

Luca will mit dem Vorteil überzeugen, dass die Kontaktdaten schnell den zuständigen Gesundheitsämtern gegeben werden können. Dafür wird eine Schnittstelle für die Verwaltungssoftware SORMAS bedient. Doch nur drei Viertel der deutschen Gesundheitsämter haben SORMAS installiert, nicht einmal ein Viertel arbeitet tatsächlich damit. Insbesondere in Berlin ist mit einem alltäglichen Betrieb in nächster Zeit nicht zu rechnen. Gesundheitsämter, die schon jetzt zu überlastet sind, um Coronakontakten hinterherzutelefonieren, geschweige denn ihre Abläufe auf SORMAS umzustellen, werden wohl kaum Zeit finden, diese Abläufe zu automatisieren. Der Erfolg, per Hand gerade die eine Person einer Ansteckungsreihe zu kontaktieren, mit der die Infektionskette durchbrochen werden kann, kann auch mit dem Fund einer Nadel im Heuhaufen verglichen werden; noch mehr Kontaktlisten zu erheben hieße dann, während der Suche immer weiteres Heu draufzusetzen.

Michael Müller hat Luca für Berlin bestellt, denn „wenn es dieses Instrument gibt, will ich nicht mehr monatelang darüber diskutieren.“
Dabei täte eine Diskussion, auch wenn er keine technischen Details verstehen möchte, einem Überblick gut. Die Coronapandemie ist eine Gesundheitskrise. Menschen infizieren andere Menschen. Apps sind dabei kein Problem, und sie werden keine Lösung sein. Die vielleicht wichtigste Gemeinsamkeit zwischen allen COVID-19-Apps besteht darin, dass sie an einer stattfindenden Ansteckung so wenig beteiligt sind, wie sie sie unterbrechen können: Wer an einem Tisch mit einer coronainfizierten Person isst, wird sich höchstwahrscheinlich anstecken, was auch immer sein Endgerät währenddessen tut. Daher kann eine Person, die gerade einen Ort betritt, ihre Gesundheit dort weder mit der Corona-Warn-App noch mit Luca oder irgendeiner anderen Software schützen. Nützlich ist die Aufzeichnung von Begegnungen für eine Verhinderung späterer Ansteckungen im eigenen Umfeld. Dazu reichen Warnungen über eine dezentrale Verarbeitung wie der Corona-Warn-App aber völlig aus.
Die Privatisierung der Kontaktpersonennachverfolgung, die mit Luca derzeit betrieben wird, bietet sich einerseits zur Rechtfertigung weiterer Öffnungsmaßnahmen an. Wer damit argumentiert, dass rasant häufiger werdende Infektionen an verfügbaren Antigentests liegen, würde auch behaupten, dass unbeschränkter Geschäfts- und Schulbetrieb sicher ist, wenn man denn die richtige App benutzt. Wenn später die verheerenden Auswirkungen erkennbar werden, lässt sich prima auf diesen Rapper zeigen, den damals im Fernsehen alle so sympathisch fanden. Andererseits lenkt die Begeisterung der Regierenden für die neueste Verfolgungssoftware davon ab, dass sie auch im zweiten Coronajahr keinen Ausweg aus der Pandemie verfolgen wollen. Heute werden kaum dreimal soviele PCR-Tests pro Woche eingesetzt wie vor einem Jahr, obwohl für wirksame Seuchenbekämpfung deutlich mehr Testen nötig ist und selbst die Weltgesundheitsorganisation WHO Tests als zentrale Maßnahme ansieht. Die Infektionsherde in Schulen, Großraumbüros, Baustellen und Fabriken werden größtenteils ohne Schutzmaßnahmen weiterbetrieben, obwohl längst klar ist, dass hier ein Lockdown besonders wichtig wäre. Die Produktion und Verteilung von Impfstoffen wird zwischen nationalen Konkurrenzen und Patentmonopolen aufgerieben, statt sie allein auf den Gesundheitsschutz auszurichten. Wir werden von korrupten Ganoven regiert, die sich an der Pandemie bereichern, weil ihnen keine Konsequenzen dafür drohen. Wer die Coronakrise überwinden will, muss diese Probleme lösen. Noch eine weitere Software, die persönliche Daten sammelt, wird dabei nicht helfen.

• Berlin
• Deutschland
• Pandemie und Krise