Blog Digitalisierung

Warum „Bedenken second“ nicht klug ist

Mann hält sich besorgt die Hand vor die Stirn Photo by Sammy Williams on Unsplash

Die neXenio GmbH hat durch gekonnte PR geschafft, zahlreiche deutsche Politiker um den Finger zu wickeln. Normalerweise fallen Politiker beim Thema Digitalisierung durch eine übertriebene Distanz und Zögerlichkeit auf. In Bezug auf die App “Luca” des genannten Unternehmens kam es jedoch zu einer regelrechten “Jubel-Digitalisierung”. So beschlossen Landesregierungen, dass die Smartphone-Anwendung zur Kontaktnachverfolgung in ihrem jeweiligen Bundesland eingesetzt werden solle. Hierbei haben sie scheinbar jeden Verstand und jede Fähigkeit zu einer kritischen Auseinandersetzung mit Beschaffung und Digitalisierung über Bord geworfen. Fast rauschhaft werden häufig auch heute noch kritische Nachfragen kleingeredet.  

Stand Ende April haben 13 Bundesländer diese Luca-App bestellt und insgesamt bereits mehr als 25 Mio Euro aus Steuergeldern der Firma zugesagt. Dies trotz lauter Bedenken, insbesondere im Hinblick auf die Sicherheit der App. Nun ist es soweit – nach vielen Warnungen im Vorfeld konnte jeder auf Twitter beobachten, wie mittels einer Code Injection das System der Gesundheitsämter angegriffen werden kann. Wer besonders böswillig ist, könnte sogar mit einem Verschlüsselungstrojaner die Systeme lahmlegen und Geld erpressen oder weitere sensible Daten absaugen. Auf die Kritik zu hören und die Bedenken ernst zu nehmen, wäre hier so wichtig gewesen, anstatt jubelnd ins Verderben zu rennen. Darum ist “Digitalisierung first, Bedenken second”, wie eine Partei zur letzten Bundestagswahl ausrief, nicht klug.

Wie konnte es dazu kommen?

Schon früh während der Corona-Pandemie – beim Überschreiten der 7-Tage-Inzidenz von 50 Fällen pro 100.000 – zeigte sich, dass die Gesundheitsämter mit der Nachverfolgung heillos überfordert waren. Es dauerte viel zu lange, bis die Corona-Warnapp zur Kontaktnachverfolgung gestartet und umgesetzt wurde. Sie sollte bei der Pandemiebekämpfung helfen, indem sie die Menschen über eine mögliche Ansteckung informiert. Viel Zeit ist verloren gegangen, bis sich für einen dezentralen Ansatz in Bezug auf die Verwahrung der Daten entschieden wurde. Vor allem letzteres, verbunden mit der Veröffentlichung des Codes, führte schließlich zu einer hohen Akzeptanz in der Bevölkerung. Die aus damaliger Sicht hohen Entwicklungskosten schmerzten zunächst. Viel bedauerlicher ist aber, dass anschließend die Entwicklung stehengeblieben schien. Es wurden keine weiteren Features ergänzt, die mit zunehmendem Wissen über die Infektionsursachen hilfreich gewesen wären. Beispielsweise Funktionen zur Unterstützung bei der Verfolgung von Infektions-Clustern. Auch eine Checkin-Funktion kam erst mit dem Release im April 2021.

Seit Ende 2020, bewirbt das Berliner Start-up neXenio mit prominenter Unterstützung seine App. Die Wunderwaffe in der Vertriebsunterstützung ist der wesentliche Anteilseigner Smudo, der als Speerspitze und Türöffner ein Bundesland nach dem anderen auf die Kundenliste setzte. Irritierend daran ist, wie Politiker durch Feenstaub geblendet, andere Anwendungen gar nicht erst in Betracht zogen, um hier einen fairen Wettbewerb um Steuergelder zu ermöglichen. Aber besonders erschreckend ist, wie leichtfertig mit den schon damals bestehenden kritischen Anmerkungen im Bereich Datenschutz umgegangen worden ist.

Des Kaisers neue Kleider oder Hans-guck-in-die-Luft?

Mitte April warnte bereits der CCC. Eine nicht abreißende Serie von Sicherheitsproblemen wurde bekannt. Zu allem Überfluss reagierte der Hersteller der App ungeheuer unbeholfen. Auch inhaltlich machten die Antworten einen grundlegenden Mangel an Kompetenz und Sorgfalt deutlich. Der CCC forderte „das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab “Luca-App””. Klar ist, dass eine papierhafte Lösung in der Gastronomie aus fehlendem Problembewusstsein zu vielen Datenschutzverletzungen führte. Das ist aber kein Grund, sich für eine Alternative zu entscheiden, bei der jegliche Vorsicht im Umgang mit personenbezogenen Daten (insbesondere Gesundheitsdaten!) schon zum Zeitpunkt der Entwicklung eine nachrangige Rolle gespielt haben.

Der Druck auf die politischen Entscheider durch viele Einzelhändler und Gastronomen ist verständlich. Denn diese sind am Ende ihrer Kräfte und Geduld mit den öffentlichen Stellen, nach vielen Monaten ohne Einkommen und die Möglichkeit ihrer Berufung nachzugehen. Dennoch haben auch die politischen Entscheider eine Verpflichtung, an den Anbieter einer Lösung Mindestanforderungen zu stellen. Und gegenüber den Bürgerinnen und Bürgern, den Einsatz einer solchen datenschutztechnischen Sollbruchstelle zu verhindern bzw. zu stoppen.

Die Zeit berichtet über den Dezernenten des Aachener Gesundheitsamtes, der die App wieder abschalten lässt. „Nach all den Sicherheitsproblemen ist mir das schlicht zu gefährlich“, sagt er. Seine Sorge: Wer es schaffe, über Sicherheitslücken in der Luca-Software ins Gesundheitsamt einzudringen, findet dort jede Menge sensible Daten. „Wir haben dort jeden Masernfall, jede Einstellungsuntersuchung von Beamten, jeden Todesfall.“ Und natürlich alle Covid-Fälle. Doch dies blieb leider die Ausnahme und nicht die Regel.

Das Ergebnis von “Bedenken second”

Zwei Wochen später ist es dann soweit. Marcus Mengs zeigt, wie er mit der Luca-App eine Attacken gegen ein Gesundheitsamt ausführen könnte. Nicht plötzlich und ohne Vorwarnung. Nein, auf das Problem wurde bereits zuvor hingewiesen. Und zwar sehr deutlich und explizit. Manuel Atug brachte es bereits damals auf den Punkt: „Luca übermittelt CSV-Dateien. Wenn diese bereits manipulierte Einträge enthalten und diese ungeprüft in Datenbanken des Gesundheitssystems übernommen werden, kann man damit beispielsweise die ganze Datenbank löschen – oder sogar andere Datensätze auslesen“.

Wir sind nun in der Situation, in der viele Bundesländer einem Unternehmen viel Geld geben, um eine schnelle Lösung für ein Problem zu bekommen, das sie durch mehr Aufmerksamkeit, Liebe und Pflege für die bereits entwickelte Corona-Warnapp nicht hätten haben müssen. Und wo nach wie vor unklar ist, wie groß der Nutzen der Luca-App für die Gesundheitsämter wirklich sein wird. Ich würde gerne sagen, dass man wider besseres Wissen auf eine Technikfolgenabschätzung verzichtet hat, dass man angesichts zu vieler Toter eine bewusste Entscheidung nach ausgeprägter Abwägung aller Seiten eingegangen sei. Aber nein. Hier war erneut eine Hurra-Digitalisierung am Start, die so laut sie konnte rief: “Digitalisierung first, Bedenken second!”

Das Desaster und die Lehre daraus

Nun haben wir den Salat. Die Knete ist futsch. Die einen versuchen noch immer ihre Gesundheitsämter an die App anzuschließen, die anderen ignorieren die Pflichtverletzung bei der sicheren Gestaltung der Datenübertragung und hoffen, dass sich das Problem löst, wenn man sich nur fest genug die Augen zu presst. 

Selbstverständlich darf nicht jede Idee, jeder kreative Anflug durch die typisch deutsche Bedenkenträgerei im Keim erstickt werden. Gleichzeitig müssen wir das umfangreiche Wissen um sicheres Software-Design und Best Practices nutzen, und Software insbesondere für den Umgang mit sensiblen Daten mit Gewissenhaftigkeit den richtigen Absichten entwickeln. Nicht nur der Anwender der Software dankt es, oder das Gesundheitsamt. Sondern auch der Steuerzahler, der nicht mangelhafte Produkte, die noch vor Fertigstellung abgeschaltet werden müssen, mit seinem Geld finanzieren muss. Es täte auch den vielen Politikern gut, ihre Eitelkeit abzulegen, und sich in Bezug auf Datensicherheit und Risikofolgenabschätzungen beim Einsatz von Technik den Experten anzuvertrauen, und ihre Stellungnahmen ernst zu nehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.