Datenleck bei Luca-App
Programmierer finden weitere gravierende Sicherheitslücke in der Luca-App
Wer kein Smartphone besitzt, sollte Schlüsselanhänger nutzen, um Geschäfte zu besuchen. Doch es gibt Sicherheitslücken.
Hastig kauften die Bundesländer Lizenzen der Luca-App. Deren Macher suggerieren, mit der App könnten Geschäfte bedenkenlos wieder öffnen und Gesundheitsämter Kontakte besser nachverfolgen. Sicherheitslücken sprechen dagegen.
»Alle Schlüsselanhänger, die von der Sicherheitslücke betroffen sind, sind fachgerecht zu entsorgen«, lautet das Fazit der Arbeit von Bianca Kastl und Tobias Ravenstein, die am Dienstag eine weitere Sicherheitslücke in der Luca-App bekannt machten. Diese Schlüsselanhänger sollen Menschen nutzen, die keine Smartphones haben. Oft sind dies ältere Menschen. »Ich habe mir die Luca-App genauer angeschaut, als ich darauf gestoßen bin, dass der Einsatz von Schlüsselanhängern auch in Kindergärten stattfinden sollte«, sagte Ravenstein im Gespräch mit »nd«.
»Alle Schlüsselanhänger, die von der Sicherheitslücke betroffen sind, sind fachgerecht zu entsorgen.«
Team LucaTrack
Mit der Luca-App soll die Kontakterfassung in Geschäften, Restaurants und bei Kulturveranstaltungen automatisiert erfolgen. Das Konzept verspricht eine massive Entlastung für die Betreiber und Veranstalter, schafft aber auch einen Anreiz, wieder häufiger das Haus zu verlassen. »Gemeinsam das Leben erleben«, verkündet die Internetseite der Luca-App. Gesammelte Daten sollen im Fall einer Covid-19-Erkrankung an die Gesundheitsämter zur Kontaktverfolgung übermittelt werden.
Die Luca-App beschäftigt derzeit zahlreiche IT- und Netzexpert*innen, da immer neue Schwachstellen und Unzulänglichkeiten rund um das Projekt offenkundig werden. Unter dem Hashtag Lucafails (von englisch fail für fehlschlagen) sammeln sie bei Twitter derzeit die konzeptionellen und programmierbedingten Schwächen.
Kastl und Ravenstein sind Teil des Teams »LucaTrack«, das sich mit den Schlüsselanhängern befasste. Die neue Sicherheitslücke tat sich am QR-Code auf, den die bisher rund 100 000 in Umlauf gebrachten Schlüsselanhänger tragen. Gelangte man an diesen offen sichtbaren Code, konnten mit nur wenigen Änderungen am darin enthaltenen Link alle gesammelten Daten ausgelesen werden. Auf der Webseite lucatrack.de ist ein Video des Auslesevorgangs zu sehen. Zeitpunkt und Ort eines mit Schlüsselanhänger dokumentierten Besuches sind in nur wenigen Sekunden offen lesbar. Die Gruppe nahm den Rapper Smudo beim Wort, der in einem Interview mit dem rbb vor wenigen Tagen behauptete: »An die Daten kommt nur das Gesundheitsamt. Das heißt, man müsste für die Daten händisch in das Gesundheitsamt einbrechen.« Offenbar nicht, zeigte Lucatrack.
»Das ist für deinen Besuch erforderlich: Covid-19-Test, FFP2-Maske und Luca App«, heißt es nicht nur auf der Webseite eines bekannten skandinavischen Möbelhauses.
Auch eine Kette von Optikergeschäften verlangt die Luca-App. Eine bundesweite Fachmarktkette für Babyausstattung hat für ihre Filialen im Stadtgebiet Berlin die Luca-App als Voraussetzung für den Besuch angegeben. Auf telefonische Nachfrage räumte ein Mitarbeiter einer Filiale des Babyausstatters allerdings ein, auch weiterhin Adressen auf Formularen entgegenzunehmen, wenn Kund*innen kein Smartphone besitzen. Luca ist auf dem Vormarsch.
Längst sind in 13 Bundesländern zahlreiche Kommunen dabei, die Luca-App als zentralen Baustein in die Corona-Maßnahmen zu übernehmen. Bislang sollen bereits 20 Millionen Euro in den Ankauf von Lizenzen investiert worden sein. Oftmals ohne Ausschreibung, was beispielsweise für das Land Mecklenburg-Vorpommern nur »ausnahmsweise nicht in Frage« gekommen sei. Dabei wird die Corona-Warn-App, die als datenschutzkonform gilt und mit 27 Millionen Downloads weit verbreitet ist, schon bald eine vergleichbare Funktion erhalten. Auf die Versprechungen der Luca-App setzte Berlins regierender Bürgermeister Michael Müller im März im ARD-Politikmagazin »Bericht aus Berlin«. Müller erklärte, er habe die Verträge zur Beschaffung der Lizenzen unterschrieben, ohne die technischen Details zu kennen.
Der Chaos Computer Club, in dessen Umfeld im vergangenen Jahr eine Liste von zehn Prüfsteinen für Apps erarbeitet wurde, die Kontakte nachverfolgen sollen, äußerte sich nun zum immer abstruser werdenden Komplex und fordert die »Bundesnotbremse« bei der Luca-App anzusetzen. Teil dieser Notbremse soll ein Moratorium sein, in dem dann der Bundesrechnungshof eine Überprüfung der Vergabepraktiken vornehmen soll. »Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind«, stellte Linus Neumann, Sprecher des Chaos Computer Clubs, fest. Warnungen liegen auch von Sicherheitsforscher*innen vor, die über die Missbrauchspotenziale bei der Kontaktdatensammlung mit der Luca-App berichten. In Echtzeit kann verfolgt werden, wer, wann und wo genau die Luca-App nutzt. Eingriffe in diese Daten räumte der Geschäftsführer Patrick Hennig kürzlich ein. Die Betreiber löschen Events. »Natürlich geht das technisch, aber aufgrund eines offensichtlichen Missbrauchs wurde das Treffen systemseitig beendet.« Mit anderen Worten: Die Datensammlung wird nie verlässlich und überprüfbar sein, da das System auch bei der Erfassung von Daten eingreift.
Auf die Meldung der Sicherheitslücke, die das Team von Lucatrack auch der Berliner Datenschutzbeauftragten mitteilten, reagierten die Macher der App innerhalb der vorgegeben Frist. »Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung«, heißt es in einer Presseerklärung. Das Luca-System werde bis Anfang Mai in circa 300 von 375 Gesundheitsämtern eingeführt und sei ein wichtiger Schritt zu Digitalisierung der Gesundheitsämter, schreiben die Macher sichtlich entschlossen, die Luca-App weiterhin anzubieten und geben an, ihr System verbessern zu wollen.