Die Luca-App muss sich seit Erscheinen in den App Stores viel Kritik gefallen lassen. Im Gespräch mit dem stern erklärt Luca-Chef Patrick Hennig, warum die Funktionalität und Sicherheit seiner Software oftmals missverstanden werden.

Fehlersammlungen wie Luca.fail oder ein Twitter-Thread des Chaos-Computer-Club-Mitglieds Manuel Atug werfen kein gutes Licht auf die Luca-App. Eigentlich soll die Software Ämtern rechtskonform dabei helfen, Kontakte zu verfolgen und die Verbreitung des Coronavirus einzudämmen. Doch kritisieren IT- und Security-Experten oftmals die Sicherheit, die Programmierung oder einfach nur die aus ihrer Sicht horrenden Kosten für die App, die längst überforderten Ämtern im Zweifel kaum helfe. Die noble Absicht, Gesundheitsämtern die Arbeit zu erleichtern und Infektionsketten sicher und schnell zu unterbrechen, rückt bei Betrachtung der Software oft in den Hintergrund.

Aber liegt das nur an der App? Oder eher an deren Nutzung? Vielleicht sitzt der Fehler und damit die Quelle aller Missverständnisse ja wirklich vor dem Bildschirm. Luca-Chef Patrick Hennig schätzt im stern-Interview die Lage ein und reagiert damit auch auf die jüngste Kritik von Bianca Kastl, die aus Sicht der Luca-Macher aus der Position eines konkurrierenden Unternehmens argumentiert. Als Projektmanagerin für den Innovationsverbund "Öffentliche Gesundheit" arbeitet Kastl an Iris Connect, laut Hersteller einem "Gateway-System, das die Potentiale der digitalen Kontaktnachverfolgung für Gesundheitsämter bestmöglich nutzbar macht".

Bianca Kastl bezeichnete Luca jüngst als wirkungslos. Parallel zu diesem Interview mit Luca-Chef Patrick Hennig erschien auf Netzpolitik der nächste kritische Bericht über die App, der über mögliche Absichten der Macher und Pläne, was künftig mit den 40 Millionen Installationen auf den Smartphones deutscher Nutzer passieren könnte, berichtet. Die Vorwürfe reißen also nicht ab.

Herr Hennig, was stört Sie an den Aussagen des Clubs und wie schätzen Sie die Situation ein?

Teile des Chaos Computer Clubs kritisieren die Luca-App kategorisch, weil sie sich am Prinzip der zentralen Datenspeicherung stören. Dabei hat sich unser System der verteilten Verschlüsselung bewährt: Bis heute ist kein einziger Kontakt in unserem System in die Hände unberechtigter Personen gefallen. Bianca Kastl, die Luca vor Kurzem öffentlich kritisiert hat, ist auch keine unabhängige Expertin, sondern an der Entwicklung des Konkurrenzprodukts "Iris connect" beteiligt.

Welchen Nutzen hat die Luca-App konkret für Ämter? Und wo funktioniert es?

Die erste Anforderung der Gesundheitsämter an Luca – und das, wofür uns die Länder bezahlt haben – war eine Digitalisierung und sichere Übertragung der Kontaktdaten samt eines gemeinsam mit dem Fraunhofer AISEC entwickelten Kryptosystems. Nur im Infektionsfall fragt ein Gesundheitsamt die Daten an. Erst nachdem drei Parteien ihre Schlüssel freigegeben haben – Nutzer, Betrieb und Gesundheitsamt – kann das zuständige Gesundheitsamt auf die Kontaktdaten zugreifen und warnen.

Dass das System genutzt wird, belegen unsere Zahlen: In den 28 Tagen vor Weihnachten haben wir deutschlandweit fast 28 Millionen Check-ins und innerhalb von 14 Tagen mehr als 33.000 ausgespielte Warnungen von Gesundheitsämtern verzeichnet.

Wie viele Anfragen erhalten Sie als Betreiber von Ämtern?

In den 28 Tagen vor Weihnachten haben Gesundheitsämter 354 Kontaktnachverfolgungsprozesse gestartet, also Daten bei Locations abgefragt, die Luca nutzen. Seit Mai letzten Jahres haben Gesundheitsämter mehr als 3.500 Mal Restaurants um die Herausgabe von Kontaktdaten gebeten. Aktuell sind 323 von 375 deutschen Gesundheitsämtern an Luca angeschlossen.

Haben sich nachweisbare Erfolge bei der Verfolgung von Kontakten ergeben, die idealerweise innerhalb einer kurzen Zeit erfolgt sind?

Der große Mehrwert von Luca ist, dass auf Basis der individuellen Besuchshistorien genau nachvollzogen werden kann, wo der Kontakt mit einer infizierten Person stattgefunden hat. Die Angabe des Ortes und die Umstände vor Ort sind die wichtigsten Angaben, ohne die weder eine Privatperson noch ein Gesundheitsamt das Risiko einschätzen können.

Seit Mai letzten Jahres spielten Gesundheitsämter nach einer individuellen Risikoeinschätzung der Umstände vor Ort über 550.000 individuelle Warnungen aus.

Die Stadt Hamburg zahlt jeden Monat 137.119,68 Euro für die Beschäftigung von 18 Mitarbeiterinnen und Mitarbeitern, die eigens für Tausende Datenabfragen beschäftigt werden. Macht das Sinn?

Hamburg ist aus unserer Sicht ein Vorbild bei der Nutzung digitaler Tools in der Pandemiebekämpfung. Die genannten Mitarbeitenden arbeiten angesichts der pandemischen Lage für die Kontaktnachverfolgung und nutzen dabei neben anderen digitalen Tools auch Luca. Zum Vergleich: Die großen Gesundheitsämter der Städte Hamburg, München und Berlin haben allein jeweils hunderte Mitarbeiter in der Kontaktnachverfolgung.

"Ohne Luca wäre die Personalnot der Ämter noch größer"

Was das Team in Hamburg macht, ist eine konsequente Bündelung von Wissen und Ressourcen zu einem bestimmten digitalen Thema. Sie sind aber keine Mitarbeitenden, die wegen Luca angestellt wurden. Im Gegenteil: Ohne Luca hätten noch wesentlich mehr Menschen angestellt werden müssen, um die Kontaktnachverfolgung zu gewährleisten.

Welche konkreten Entwicklungen finden – vielleicht im Hintergrund – statt, die Luca effektiver machen sollen? Wie helfen Sie den Ämtern?

Um die Gesundheitsämter in Zeiten der sehr hohen Inzidenzen zu entlasten, haben wir das Luca-System weiterentwickelt – zunächst zu Luca+ und inzwischen starten wir mit der Umsetzung von Luca connect. Nutzer können damit ihren Impf- und 2G-Status in der App für ihr zuständiges Gesundheitsamt freigeben. Damit können sich die Gesundheitsämter noch gezielter auf die Kontakte mit dem höchsten Infektionsrisiko konzentrieren und diese zudem direkt über die App kontaktieren.

Wie geht es mit der App weiter? Wird es zeitnah weitere Funktionen für beispielsweise Gastronomen geben, die über die Kontaktverfolgung hinausgehen? Wenn ja, welche?

Wir erhalten regelmäßig Bitten von Gastronomen, den Funktionsumfang von Luca zu erweitern und sind diesen Bitten auch schon teilweise nachgekommen: So haben wir beispielsweise die Überprüfung von 2G- und 3G-Status in der Betreiber-App deutlich vereinfacht und weitere Komfort-Funktionen hinzugefügt, wie die Anzeige von Speisekarten in der Luca App. Wir sind uns unserer Verantwortung für die Sicherheit der Daten der Nutzenden aber stets bewusst.

Abschließend: Gibt es seitens der Bundesländer bereits Bestrebungen, die Lizenzen mit Luca zum nächstmöglichen Zeitpunkt zu verlängern? Oder anders: Wer steigt aus?

Das Pandemiegeschehen entwickelt sich sehr dynamisch und spätestens Omikron dürfte uns allen gezeigt haben, dass die Pandemie noch lange nicht vorbei ist. Es kann daher heute noch niemand genau vorhersagen, wie die Situation im April aussehen wird. Bislang haben wir mit noch keinem Bundesland konkrete Gespräche dazu geführt. Unser Fokus liegt darauf, jetzt bedarfsgerecht zu helfen.