Luca-App: Keine Risikoanalyse, aber viele offene Fragen

Das Debakel um die Luca-App zur Kontaktnachverfolgung. Teil 2: Smudo und die Datenhoheit

Vieles erscheint angesichts des technologischen Desasters um die Luca-App zur Kontaktnachverfolgung in der Corona-Pandemie fragwürdig. Gute Werbung für Luca ist das allemal, auch wenn sich mehr und mehr Datenschützer mit kritischen Einschätzungen melden. Das verwundert nicht, denn eine zwingend vorgeschaltete Datenschutz-Folgenabschätzung – "eine in bestimmten Fällen vorgeschriebene, strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen" – fand offensichtlich bis heute nicht statt.

Das bemängelt beispielsweise der Hamburger Datenschützer Johannes Caspar, aber auch der oberste Bundesdatenschützer Ulrich Kelber. Oder ist eine Prüfung schon oder immer noch oder überhaupt im Gange? Nichts genaues weiß man nicht.

Für jedes andere Produkt wäre all das wohl ein PR-Gau. Aber die werden auch nicht von Smudo bei Anne Will, so geschehen am 28. Februar, zur besten Sendezeit gepitcht, während Wissenschaftsjournalist Ranga Yogeshwar die Konkurrenz, die Corona-Warn-App, kritisierte.

Professionell und erfolgreich an Luca scheint vor allem das Marketing mit dem Rapper im Mittelpunkt und seinen guten Kontakten zu Medien und Politik. Die gesteht er auch offen ein.

Der Branchen-Experte, Gründer und Investor Ralf Rottmann dazu im Podcast bei Wochendämmerung:

Da sitzt ein Team, das aus irgendeinem Grund so richtig NICHT Best-Practice-Technologieentwicklung betreibt. Ich will gar nicht mutmaßen ob das wirklich Unwissenheit ist oder irgendeine andere Absicht dahintersteckt, das weiß ich nicht. Aber es ist auch egal [...], das ist bei so einer Lösung nicht akzeptabel. [...] Die hatten den Quellcode unter eine Lizenz gestellt, die wirklich an Dreistigkeit und Frechheit und Widerwillen nicht zu überbieten ist.

Der Hersteller habe eine eigene Lizenz formuliert, "mit viel Aufwand und offensichtlich auch mit Anwälten". Man müsse sich wirklich fragen: "Was sind das dann für Dummköpfe?" Niemand in der Branche glaube an ein Versehen, so wie das ein Pressesprecher behauptete. Oder war das alles nur Verzögerungstaktik? Immerhin hatte man sich ganze vier Wochen Zeit genommen, um die Veröffentlichung vorzubereiten.

Publik gewordene Rechtsverstöße wie das "Umetikettieren" eines Codes des österreichischen Open-Source-Entwicklers Mykola Bubelich sind aber keine Kavaliersdelikte. "Am Ende ist das fast egal", meint Rottmann im Podcast. "Wenn da ein komplett unerfahrenes Team tätig ist, dann sollten die wirklich nicht so eine Lösung an die Länder verkaufen. Wenn die hochkompetent sind, aber ein bisschen fies, wäre das fast besser." Am Ende sei das für Auftragnehmer schließlich kalkulierbarer, weil verbreiteter.

Erfolg ohne Fundament oder doch ein langfristiges Ziel?

Die Lizenzverstöße und das dilettantische Verhalten des Unternehmens, das den Anspruch hat, im Auftrag des Staates Millionen von Bürger zu schützen, stellen aber auch eine Gefahr für die recht pragmatisch erteilten Zuschläge aus den Bundesländern dar. Google wie auch Apple zeigen in der Regel nur wenig Nachsicht bei Apps, die sich nicht an die Spielregeln halten oder auch nur den Anschein von Betrug erwecken.

Eine Ausnahme für Smudo und seine Geschäftspartner wäre aus den USA sicher nicht zu erwarten, jede Hinhaltetaktik dürfte hier an Grenzen stoßen. Eher wahrscheinlich ist, dass die Luca-App schnell aus den App-Stores fliegt. Das ist den Entwicklern sicher bewusst. Nicht zuletzt, um die Expansionspläne – man hat bereits Verträge im EU-Ausland abgeschlossen – nicht zu gefährden, hat man die Probleme mit Updates gefixt.

Ein Zusammenhang zwischen öffentlichen Investments und Entscheidungen, der Verzögerungstaktik des Herstellers und fragwürdigen technologischen Lösungen ist wahrscheinlicher. Das Berliner Start-up Nexenio hat Produktpräsentationen für potenzielle Kunden zufolge das Sicherheitskonzept der Luca-App zum Patent angemeldet. Man beachte: Sechs Patente gehen auf das Konto von Nexenio, keines auf Mitstreiter Culture4life.

Ein patentiertes Sicherheitskonzept, falls so etwas in der EU überhaupt möglich ist, eines Herstellers, der Produkte auf der Basis von "verhaltensbasierter Authentifizierung mit Smartphones" anbietet, könnte diesem sicherlich gut als Hebel und Vendor-Lock-In dienen. Das würde auch das Auf-Zeit-Spielen erklären. Gleichzeitig braucht man Hilfe, weil man nur eine Chance hat, solange die ungeliebte Corona-Warn-App nicht die gleichen Features hat.

Auch die Kompatibilität des geplanten Luca-Systems hört eben bei der Sicherheitsarchitektur auf. Wie bei APIs üblich müssen bzw. können sich Clients da anflanschen. Was auf der anderen Seite, auf den Servern passiert, bleibt so im Dunkeln. Transparenz und digitale Souveränität geht anders.

Nicht nur Kultur und Gastronomie wären da im Fokus, sondern auch Arbeitgeber. Der Staat und jede andere nötige Form von Zugangsbeschränkungen ließen sich so kontrollieren. Nexenio könnte so zu einem Plattformbetreiber werden, einem Gatekeeper, der seinen Code und die erzwungene patentierte Schnittstelle aus dem Sicherheitskonzept nicht veröffentlicht und somit allmächtiger Herr über die Daten ist.

Die Datenmenge wäre groß und entzöge sich jeder Kontrolle. Ein Hersteller ohne technische Kompetenz oder mit böser Absicht, dafür mit mehr als zehn Millionen Euro Steuergeldern und vollem Zugriff auf Metadaten, Schlüssel und Smartphones – das klingt nach einem Horrorszenario.

"Was auf den Servern läuft, lässt sich nicht überprüfen oder absehen", erklärt eine der führenden Expertinnen für die IT in der öffentlichen Verwaltungen Deutschlands, Lilith Wittmann in einem WDR-CosmoPodcast. Und schlimmeres sei angesichts der unveröffentlichten Code-Teile "vielleicht nur ein Update weit weg". Schöne neue Welt.

Messias des Groove oder Corona-Retter?

Warum aber können sich solch dubiose Gespinste und Geschäftsmodelle überhaupt am Markt etablieren? Hier kommen zwei Sachen zusammen.

Erstens hat das unglückliche Krisenmanagement des föderalistischen Deutschlands eine Situation heraufbeschworen, in der Kontaktverfolgung, Zugangsbeschränkungen, Meldungen und Nachverfolgung durch die Gesundheitsämter nur unzureichend geregelt sind. Wie überall im Gesundheitswesen haben neokonservative und neoliberale Ideologen in den letzten Jahren Effizienz und Leistungsfähigkeit kaputt gespart.

Zweitens sehnen sich viele Menschen angesichts der zögerlichen, erschöpfenden und gefühlt wenig erfolgreichen Teil-Lockdowns nach einer "magischen" Lösung, einer Art Talisman, einem Zauberstab, einem Ritual (Testen) oder einem Zaubertrank (Impfung), die das Problem vom Tisch fegt. Oder, wie ein damals noch recht unbekannter schwäbischer Rapper vor über zwanzig Jahren mal sang:

Viel schlimmer ist daß ohne blassen Schimmer, diese Spinner nicht checken daß wir es sind die diese Welt retten (...) denn mein Image wasserfest wie dein Tattoo (...) die kreischenden Horden fragen nach dem Namen des fleischgewordenen MC Messias des Groove, sie fragen Smudodododo.

Die Fantastischen Vier, Le Smou, Album 4:99

Fun Fact: "Magisches Denken" heißt auch die neueste Folge des LNP-Podcasts mit Eva Wolfangel über die Luca-App. Auch hier das Fazit: Luca wird's nicht richten, aber Heilsbringer Smudo wird sich warm anziehen müssen, wenn die Menschen das merken.