2575146

Hinter den Kulissen des Luca-Systems: Entwickler erklären ihr Konzept

24.03.2021 | 17:00 Uhr | Halyna Kubiv

Kaum eine App hat derart prominente Unterstützung beim Start bekommen: Für die Luca-App hat der Rapper Smudo geworben. Wir haben die Entwickler zum Sicherheitskonzept der App befragt.

Corona-Apps stehen seit einem Jahr im Fokus: Kein Wunder, sollen doch die digitalen Konzepte die Pandemie verlangsamen oder zumindest nennenswert bremsen. Nach der Corona-Warn-App kommt nun der nächste Publikumsliebling – Luca-App. Die Entwickler dahinter haben bewusst auf „Corona“, „Virus“ etc. im Namen verzichtet, soll doch die App bzw. das System dahinten auch nach der Pandemie als Check-In-System genutzt werden.

Die erste Idee entstand im Herbst vergangenen Jahres, als im persönlichen Umfeld der Macher Berichte auftauchten, Gesundheitsämter würden Kontakte von Infizierten erst nach zwei bis drei Tagen nach dem positiven Test warnen – eigentlich viel zu spät, um die mögliche Verbreitung zu verhindern. Die App an sich war schnell entwickelt, im Dezember startete das erste Pilotprojekt mit dem Gesundheitsamt Jena, gleichzeitig wurde das System in ein paar Altersheimen in Jena erprobt, etwas später wurde Luca auf Sylt eingesetzt. Auf eine große Vermarktungstour mit Smudo gingen die Entwickler im Februar dieses Jahres. In den Pilotprojekten hat das Luca-System in der Nachverfolgungsarbeit beim Gesundheitsamt zwei bis drei Stunden Arbeit pro Positivfall erspart.

Auch interessant: FAQ mit allen Antworten zur Luca-App

Patrick Hennig, Geschäftsführer von Nexenio, der Entwicklerfirma hinter Luca, betont im Gespräch, dass Luca nicht nur eine App ist, die App an sich betrage nur rund fünf Prozent des Gesamtprojekts. Tatsächlich wird aus dem Sicherheitskonzept von Luca sichtbar, dass das System aus den Lösungen für Gesundheitsämter, für Betreiber wie Restaurants, Einzelhandel oder Altersheime sowie unterschiedlicher Lösungen für Nutzer besteht: Neben der App gibt es noch eine Möglichkeit, sich per einer Webseite anzumelden, auch eigene QR-Codes als Schlüssel-Anhänger sind möglich. Die Daten werden auf einem zentralen Server von Luca verwaltet, dieser ist laut der Betreiber bei der Deutschen Telekom gemietet.

 

Das Luca-System ist zentral
Vergrößern Das Luca-System ist zentral
© Nexenio

 

Allerlei Schlüssel

Der Betreiber versichert jedoch, keinerlei Zugriff auf die persönlichen Daten der Nutzer zu haben. Diese werden im Idealfall bei der Anmeldung über die App mit drei Schlüsselpaaren verschlüsselt. Damit man aus dem verschlüsselten Zeichensalat lesbare Angaben erhält, sind mindestens zwei Schlüsselpaare notwendig: Die vom Gesundheitsamt respektive des Betreibers, wenn das Gesundheitsamt nach allen Gäste-Check-Ins fragt, die zur Aufenthaltszeit eines positiv Getesteten stattfanden, oder von dem Nutzer selbst, wenn das Gesundheitsamt bei einem positiv Getesteten nach seiner Liste der besuchten Einrichtungen nachfragt.

Besonders geschützt sind die Schlüssel von den partizipierenden Gesundheitsämtern: Neben einem üblichen Schlüsselpaar erhält jedes Amt eigene Autorisierungsschlüssel. Das Zertifikat dazu wird von D-Trust GmbH, einer Tochterfirma der Bundesdruckerei ausgestellt. Zur Entschlüsselung der Nutzerdaten wird jedoch das täglich änderbare Produkt davon verwendet, das sogenannte Daily Keypair. Auf unsere Frage, warum man eigentlich nicht noch die Betreiber mit den Authentizitätszertifikaten der Bundesdruckerei ausstatten will, antwortete der Entwickler, dass der Aufwand dafür das potenzielle Risiko deutlich überwiege .

 

Frühwarnsystem

Luca verspricht, die betroffenen Nutzer vor einer möglichen Infektion noch vor dem Gesundheitsamt zu warnen. Dies geschieht in dem Fall, wenn das Gesundheitsamt bei dem Lokalbesitzer alle Check-In-Daten für eine bestimmte Zeit anfragt, (währenddessen sich ein bestätigter Covid-19-Fall dort aufgehalten hat). Das System erstellt dafür aus den Check-In-Daten und einer eindeutigen Nutzerkennung eine abstrakte Trace-ID, der Server des Luca-Systems schickt alle von den Ämtern angefragten Trace-IDs mit dem Abstand von zwölf Stunden an die Geräte der Nutzer. Das Smartphone kann dann abgleichen, ob eine der aufgelisteten Trace-IDs mit den auf dem Smartphone gespeicherten Trace-IDs identisch sind und den Nutzer entsprechend vorwarnen, dass womöglich ein Ansteckungsrisiko besteht. Hier deckt sich das Prozedere mit dem der Corona-Warn-App.

Ähnlich wie die Corona-Warn-App versucht Luca, die Zeitspanne zwischen einer möglichen Infektion und einer Warnung vom Gesundheitsamt, das sogenannte Tracing Delay, zu verkürzen. In Deutschland sollte diese Verzögerung vier bsi fünf Tage betragen. Laut Hennig gibt es bereits Studien, die zeigen, dass eine Verkürzung von Tracing Delay auf null, also Warnung noch am selben Tag nach dem Positivtest einen Einfluss auf den R-Wert bis zu 50 Prozent haben kann .

 

Wie sicher ist Luca?

Da Luca anders als Corona-Warn-App auf ein zentralisiertes Speichersystem setzt, haben wir gefragt, wie sicher die Nutzerdaten auf den Servern der Deutschen Telekom lagern. Patrick Hennig versichert, dass der Betreiber keine Möglichkeit hat, die Daten zentral auszuwerten, die Schlüssel dafür befinden sich entweder beim Nutzer selbst, beim Betreiber und bei einem der Gesundheitsämter und erst mit der Beteiligung von zwei dieser drei Parteien kann ein Datensatz entschlüsselt werden. Die gespeicherten verschlüsselten Daten, hier sind wohl Check-Ins gemeint, werden nach vier Wochen vom Server komplett gelöscht. Es gibt auch nach Angaben der Entwickler keine Möglichkeit, von außen einzelne Check-In-Daten mit einem bestimmten Nutzer zu verknüpfen, die Trace-ID ändert sich jede Minute.

Laut Hennig kann ein Angreifer selbst in schlimmsten Fall des Server-Hacks nur wenige Datensätze entschlüsseln: Denn dafür ist ein Schlüssel eines Restaurants oder anderen Betriebes notwendig. Zusätzlich dazu muss der Angreifer physisch in das Gesundheitsamt einbrechen, dort den Schlüssel stehlen und es noch dazu schaffen, ins Netzwerk des Bundes einzubrechen und im Namen des Gesundheitsamtes eine Anfrage über die Entschlüsselung bestimmtes Datensatzes zu stellen. Bei diesem Szenario könnte der Angreifer die Daten von einem Tag in einem Restaurant erbeuten, aber der Aufwand sei nicht vergleichbar mit dem Gewinn.

Die Zuordnung zwischen den Nutzerdaten und einzelnen Check-Ins wird nach Angaben des Entwicklers damit verhindert, dass der Betreiber selbst keine zu den Check-Ins zugehörende Trace-IDs an das Gesundheitsamt herausgibt, sondern die Behörde alle möglichen Kombinationen dieser Trace-IDs generiert und durchprobiert, ob die entsprechende IDs in dem Datensatz des Betreibers existieren.

Vor Kurzem hat das System hinter der Luca-App noch einen Penetration-Test von ERNW bestanden .

Eine Baustelle haben die Entwickler in Sachen Verifizierung der Nutzerdaten per SMS geschlossen. Ursprünglich war vorgesehen, dass der Nutzerseine Telefonnummer eingibt, diese wird per Luca-Server an den externen Betreiber übertragen, dieser generiert eine TAN, die der Nutzer in die App eingeben soll. Nun kann die Verifizierung ausschließlich auf der Client-Seite stattfinden, also in der App, im Browser etc.

 

Damit man die App nutzen kann, muss man seine Telefonnummer verifizieren lassen.
Vergrößern Damit man die App nutzen kann, muss man seine Telefonnummer verifizieren lassen.
© Nexenio

 

Der Landesbeauftragte für Datenschutz in Mecklenburg-Vorpommern schätzt Luca wie folgt ein: „Nach unserer Einschätzung ist Luca eine datensparsame und, nach allem was wir bisher wissen, auch sichere Möglichkeit, der noch praktizierten "Listenwirtschaft" ein Ende zu setzen.“

 

Wer zahlt’s?

Das Geschäftsmodell des Luca-System setzt auf Bezahlung durch öffentliche Hand, am Beispiel von Mecklenburg-Vorpommern rechnet Hennig vor, dass das Gros von bezahlten 440 000 Euro für Server-Kapazitäten und SMS-Bestätigungen draufkommt, 170 000 Euro beispielsweise nur für den Verifikationsprozess via SMS. Die Rechnung werde sich sicherlich anders in einem anderen Bundesland zusammensetzen, je nachdem wie dicht es besiedelt ist und wie viele Gesundheitsämter angeschlossen werden müssen. Denn auch für die Ersteinrichtung des Systems und für den Support im laufenden Betrieb fallen Kosten an. Laut Entwickler kann das System mit unterschiedlicher Tracing-Software funktionieren, die Ämter steigen momentan aus SORMAS um, nach Angaben des Bundesgesundheitsministeriums nutzen 310 von 375 Gesundheitsämter angeschlossen. Direkt mit Luca arbeiten momentan knapp 60 Gesundheitsämter, über 100 Behörden warten auf Anschluss.

 

Der Ansturm an die App ist derweil groß: In der vergangenen Woche hat Luca nach Angaben von Hennig die Registrierung für Betriebe freigeschaltet, nach 30 Stunden haben sich 12 000 Firmen dafür registriert. Mit dem Stand am 18. März haben 33 000 Firmen den Wunsch geäußert, an Luca-System teilzunehmen. In den letzten zwei Wochen wurde die App zwei Mio. Mal heruntergeladen.

Macwelt Marktplatz

2575146