Kontaktnachverfolgung Luca-App: IT-Experten decken Sicherheitslücke auf

In 13 Bundesländern nutzen Gesundheitsämter derzeit das Luca-System.
Berlin, Hamburg Die Luca-App gerät durch eine Sicherheitslücke weiter in die Kritik. Sie soll es ermöglicht haben, das Bewegungsprofil von Nutzern auszulesen. Davor warnen die IT-Sicherheitsexperten Bianca Kastl und Tobias Ravenstein in einem Schreiben, das dem Handelsblatt vorliegt.
Die Luca-App soll Gesundheitsämter dabei unterstützen, Kontakte von Corona-Infizierten nachzuverfolgen. Sie gilt als Ersatz von Kontaktzetteln: Durch die App kann man sich mit einer Art virtueller Visitenkarte beispielsweise in Restaurants oder Kinos anmelden.
Für Nutzer ohne Smartphone ist dies mithilfe eines sogenannten Schlüsselanhängers möglich. Diese ausgedruckten QR-Codes waren von der Sicherheitslücke „Luca Track“ betroffen. Wer den Code einscannt, konnte offenbar recht einfach auf eine Site gelangen, die die letzten Orte aufführt, bei denen sich ein Nutzer registriert hat.
Das Problem soll laut dem Berliner Luca-Entwickler Nexenio mittlerweile zunächst dadurch behoben worden sein, dass die entsprechende Funktion ausgeschaltet worden ist.
Ohne besondere Kenntnisse sei es den IT-Experten möglich gewesen, über ein Foto des Schlüsselanhängers die Ortsinformationen aus den vergangenen 30 Tagen auszulesen. „Die Konsequenzen der Sicherheitslücke sind gravierend“, schreiben sie. Dementsprechend seien alle Schlüsselanhänger zu entsorgen. Es seien rund 100.000 davon im Umlauf, der Entwickler spricht hingegen von 14.000.
In einer ersten Stellungnahme bestätigte Nexenio, Daten zu Orten seien abrufbar gewesen, jedoch nicht die hinterlegten Kontaktdaten wie Adresse oder Telefonnummer. „Wir empfehlen Nutzern, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen.“
Nexenio-Chef Patrick Hennig ergänzte auf Anfrage, es sei denkbar, die Historie geschützt den Nutzern künftig zugänglich zu machen. Dann könnten Nutzer zudem Orte nachträglich löschen. „Wer im Besitz des Schlüsselanhängers ist, der hat damit auch Zugang zu seiner eigenen Kontakthistorie – das ist wie beim Haustürschlüssel – der sollte vertraulich behandelt werden“, sagte er dem Handelsblatt.
CCC fordert Stopp der App
Der Chaos Computer Club (CCC) stützt hingegen die Analyse der IT-Experten. Die Aktivisten fassen in einer Stellungnahme die Kritik zusammen, die seit einigen Wochen über die Luca-App hereinbricht, und fordern einen Stopp der App.
Im Kern entzündet diese Kritik sich daran, dass ein Privatanbieter die staatliche Corona-Warn-App mit einem eigenen Angebot, das weniger Datenschutz bietet, ergänzen will – bezahlt von den Bundesländern und Gemeinden. Die App kommt bereits in 13 Bundesländern zum Einsatz, darunter Berlin, Mecklenburg-Vorpommern, Niedersachsen und Sachsen-Anhalt.
Dabei haben die Kritiker zwei Stoßrichtungen: Zum einen bemängeln sie, die Luca-App verdanke ihre Popularität bei der Politik vor allem der Tatsache, dass die Pop-Gruppe Fantastische Vier zu den Investoren gehört. Über die PR-Kraft habe die App nach Talkshow-Auftritten des Frontmanns Smudo ohne breite Ausschreibung den Zuschlag vieler Bundesländer bekommen. Das koste den Steuerzahler bis zu 20 Millionen Euro.
Zum anderen stört die Netz-Szene sich am Prinzip der App. Anders als die Corona-Warn-App funktioniert sie nicht ohne persönliche Daten, da der Sinn ist, den Gesundheitsämtern die vorgeschriebene Nachverfolgung von Kontakten etwa in der Gastronomie, in Parks und Veranstaltungsräumen zu ermöglichen. Die Kritiker verweisen darauf, zentral gespeicherte sensible Daten seien anfällig für Missbrauch. Zudem sei die App „schlampig“ programmiert.
Die Gründer der Luca-App halten dagegen. Bislang sei im Kern der Technik kein Fehler oder Datenleck nachgewiesen worden, betonte Hennig. Seine App ermögliche es, auf ausliegende Listen zu verzichten. Zudem biete keine konkurrierende App denselben Funktionsumfang – insbesondere die Möglichkeit, das System ohne Smartphone per Schlüsselanhänger zu nutzen. Er kündigte mehrfach an, das Unternehmen wolle den Code komplett offenlegen. Bislang ist es dazu offenbar noch nicht gekommen.
Auch die Länder wiesen die Kritik zurück. „Die Kontaktdaten werden bereits im Smartphone mit einem Schlüssel des jeweiligen Gesundheitsamts und einem Schlüssel des Gastgebers zweifach gesichert“, erklärte etwa der Hamburger Senat. Die Vergabe sei „gemäß den Regelungen des Bundeswirtschaftsministeriums“ erfolgt.
Die Kritik motiviert zudem zu Störaktionen. Unter anderem der ZDF-Moderator Jan Böhmermann forderte per Twitter Luca-Nutzer dazu auf, sich an Orten einzuchecken, die sie gar nicht besuchen. Das soll demonstrieren, dass die App den Gesundheitsämtern auch falsche oder überflüssige Daten übermitteln kann.
Mehr: Händler drängen auf Öffnung mit digitaler Einlasskontrolle über Luca-App.
Das Kommentieren dieses Artikels wurde deaktiviert.
Manche haben es leider immer noch nicht verstanden, „Heute ein guter Plan ist besser als morgen ein perfekter Plan.“ (George S. Patton)
Das Prinzip der Luca App ist richtig, und wenn sie noch nicht vollkommen ist, dann muss sie eben nachgebessert werden. Der CCC sollte besser seine Unterstützung anbieten die App zu optimieren. Sie stoppen zu wollen ist der falsche Weg!
Was für ein Theater. Egal ob es jetzt diese App ist, eine andere App oder welches Verfahren auch immer, so ist doch ganz klar, dass der aktuelle Umgang mit dem Virus nicht dauerhaft für das gesellschaftliche Leben geeignet ist. Wieso klappt das in anderen Ländern? Israel oder Südkorea, meinetwegen auch China, haben es geschafft. Wieso gelingt das einmal mehr in Deutschland nicht? Diese QR-Code-Karte als Alternative zum Smartphone wird doch schön mit einem Schlüssel verglichen. Den Haustürschlüssel zeige ich ja auch nicht herum. Also wenn das die einzige Lücke war, dann verstehe ich es nicht. Was die zentrale Speicherung von Daten betrifft macht sich seltsamerweise niemand mehr Gedanken darüber, dass bei Facebook mehr als 500 Millionen Accounts gestohlen wurden. Zentral gespeicherte Daten müssen gegen Missbrauch maximal gesichert werden, ist doch klar. Niemand macht sich Gedanken welche Daten google über einen speichert.
Das dann im Fernsehen dazu aufgerufen wird Falschdaten einzuspeisen ist der Oberknaller. Vielleicht einfach mal drüber nachdenken, dass Corona eine gesellschaftlich politische Situation ist und wir alle unseren Beitrag leisten müssen. Denn eines ist sicher: Ein zurück zu einem Leben vor Corona wird es nicht mehr geben. Das ist letztlich ein Grippevirus der mutiert und eben nicht wie Pocken oder Kinderlähmung dauerhaft zurückgedrängt werden kann. Wir werden uns wieder und wieder impfen lassen müssen und auf Dauer damit leben. Es braucht jetzt Lösungen!