[Ennepe-Ruhr] PM: Luca-Schlüsselanhänger verstoßen gegen Corona-Schutzverordnung

[Stefan Borggraefe <stefan.borggraefe AT piratenpartei-nrw.de>]

Eine weitere Pressemitteilung zum Thema Luca als Reaktion auf

https://www.wr.de/staedte/ennepetal-gevelsberg-schwelm/luca-app-im-en-suedkreis-schluesselanhaenger-jetzt-erhaeltlich-id232476811.html

in der Hoffnung, dass unsere Kritik auch im Südkreis endlich mal ankommt. 
Bisher gab es nur in Witten und Hattingen Berichterstattung dazu.

--- PM Start ---

Piraten: Luca-Schlüsselanhänger verstoßen gegen Corona-Schutzverordnung

Kreisverwaltung hat Zweifel an Zulässigkeit des gesamten Systems

Die Piratenpartei Ennepe-Ruhr ist entsetzt über die fortschreitende Bewerbung 
des Luca-Systems durch einige Stadtmarketing-Organisationen im Kreis. Die 
Anschaffung so genannter Luca-Schlüsselanhänger veranlasst sie erneut zu 
deutlicher Kritik.

„Das Luca-System erfüllt die Werbeversprechen nicht, gefährdet die Daten der 
Menschen im Ennepe-Ruhr-Kreis und hat das Potential durch ihre 
Sicherheitsprobleme das Gesundheitsamt während einer Pandemie lahmzulegen. 
Die Anschaffung von Luca-Schlüsselanhängern macht fassungslos, denn mit ihnen 
kann die Coronaschutzverordnung gar nicht eingehalten werden.“, so Stefan 
Borggraefe, Vorsitzender der Piratenpartei Ennepe-Ruhr.

Aber der Reihe nach: Bereits Mitte April warnten der Chaos Computer Club und 
einen Tag später führende IT-Sicherheitsforscher eindringlich vor dem Einsatz 
des Luca-Systems: „Die mit dem LUCA System verbundenen Risiken erscheinen 
völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.“, 
so die Wissenschaftler damals in ihrer Stellungnahme. Trotz alledem 
unterschrieb Landrat Olaf Schade Ende April dennoch einen Vertrag mit der 
Luca-Firma culture4life, der den Kreis dazu verpflichtet, den 
flächendeckenden Einsatz des Luca-Systems im Kreis zu befördern und die App 
zu bewerben.

Täglich werden neue gravierende Mängel im Luca-System bekannt. Besonders 
spektakulär war zuletzt eine Lücke, mit der Gesundheitsämter angegriffen und 
lahmgelegt werden können.[1]

„Die Ursache liegt in der mangelhaften Plausibilitätsprüfung der eingegebenen 
Kontaktdaten innerhalb der Luca-App. So ist es möglich, statt einer 
Wohnadresse Schadcode einzugeben. Diese Daten werden direkt in die IT der 
Gesundheitsämter übernommen. Die gleichen Mängel sorgen auch dafür, dass Luca 
ein zentrales Werbeversprechen nicht einhält: auch mit der App können mit 
Hilfe kostenloser SMS-Services sehr leicht Fake-Profile erstellt werden. Auch 
bei Einsatz des Luca-Systems kann man sich also nach wie vor als Mickey Mouse 
 in die Kontaktlisten eintragen. Schlimmer noch: im Gegensatz zur Erfassung 
auf Papier gibt es bei Einsatz des Luca-Systems keine Möglichkeit mehr, dies 
zu bemerken.“, erklärt Jörg Müller, Kreistagsmitglied der Piratenpartei.

Weitere Probleme des Luca-Systems tragen zusätzlich dazu bei, dass in den 
elektronische Kontaktlisten für die Gesundheitsämter unbrauchbarer Datenmüll 
gesammelt wird. Mit Luca kann man sich leicht mit beliebigen Identitäten an 
beliebigen Orten einchecken, an denen man sich gar nicht befindet – gemeinsam 
mit vielen anderen tausend Menschen, die sich dort genauso wenig befinden.[2] 
Die automatischen Check-Outs mit der App funktionieren nicht richtig. Daher 
verwundert es nicht, dass es beispielsweise bei einer Evaluation der Stadt 
Weimar in einem Saturn-Markt innerhalb von drei Tagen über 300 Datensätze von 
Personen gab, die offensichtlich nicht mehr im leeren Laden waren und die zu 
Geschäftsschluss manuell ausgecheckt werden mussten.[3]

Und was ist nun mit den Luca-Schlüsselanhängern?

„Die Coronaschutzverordnung NRW schreibt vor, dass der Abreisezeitpunkt aus 
einem Geschäft, einer Gastronomie usw. erfasst werden muss.[4] Laut 
Herstellerangaben des Luca-Systems unterstützten die Luca-Schlüsselanhänger 
dies aber nicht.[5] Ihr Einsatz in NRW kann daher nicht zulässig sein.“, 
erläutert Stefan Borggraefe.

Darüber hinaus prüft der Ennepe-Ruhr-Kreis derzeit ohnehin, ob auch der Rest 
des Luca-Systems unzulässig für die Abdeckung der Coronaschutzverordnung 
ist.[6] Denn in der seit 5. Juni gültigen Fassung der Verordnung wird 
gefordert, dass die Datenerfassung so gestaltet werden muss, dass die 
zuständigen Behörden bei Kontrollen vor Ort die erfassten Daten mit den 
tatsächlich anwesenden Personen abgleichen können. Dies ist mit dem 
Luca-System technisch nicht machbar.

„Es ist traurig, dass sich eine für die Pandemiebekämpfung nicht nur 
nutzlose, sondern gefährliche App derart verbreitet. Die einzigen, die von 
diesem politischen Placebo profitieren, sind die Hersteller des Systems, die 
sich über reichen Steuergeldsegen freuen dürfen. Die tatsächlich für die 
Pandemiebekämpfung sinnvolle Check-In-Funktion der Corona-Warn-App wird 
verdrängt, denn wer hat schon Lust, ständig zwei QR-Codes einzuscannen?“, so 
Jörg Müller.

Unabhängig von der Prüfung der Kreisverwaltung, ob der Einsatz des 
Luca-Systems zulässig ist, stimmt der Kreistag am 28. Juni darüber ab, ob der 
Vertrag für die Luca-App wegen der vielen Mängel fristlos gekündigt werden 
soll.[7]

[1] 
https://www.zeit.de/digital/2021-05/luca-app-gesundheitsaemter-hackerangriff-risiko-kontaktverfolgung-coronavirus
[2] https://luci-app.de/
[3] 
https://stadt.weimar.de/fileadmin/redaktion/Dokumente/corona/Evaluation_des_Weimarer_Modells_final_Stand20210412_1523.pdf
[4] 
https://www.land.nrw/sites/default/files/asset/document/210602_coronaschvo_ab_05.06.2021_lesefassung.pdf
 §8, Abs. 1
[5] https://www.luca-app.de/schluesselanhaenger/
[6] https://sessionnet.krz.de/en-kreis/bi/getfile.asp?id=14562&type=do Seite 3
[7] https://sessionnet.krz.de/en-kreis/bi/getfile.asp?id=14580&type=do

--- PM Ende ---

Viele Grüße,

Stefan

Attachment: signature.asc
Description: This is a digitally signed message part.