Chaos Computer Club sieht Sicherheitsprobleme bei Luca-App
Die Gesundheitsämter in Berlin und Brandenburg wollen mit der Luca-App leichter die Kontakte von Corona-Infizierten ermitteln. Der Chaos Computer Club fordert hingegen, keine Steuermittel mehr für die App auszugeben. Zu groß seien die IT-Schwachstellen.
Die Hackervereinigung Chaos Computer Club (CCC) hat gefordert, für die neue Luca-App zur Kontaktnachverfolgung keine Steuermittel mehr auszugeben. Bei der App gebe es eine nicht abreißende Serie von Sicherheitsproblemen, sagte CCC-Sprecher Linus Neumann am Mittwoch laut Mitteilung.
Auf die IT-Sicherheitslücken hatten zuvor Datenschutz-Aktivisten hingewiesen. Vor allem der sogenannte Luca-Schlüsselanhänger sei ein Problem. Dieser Schlüsselanhänger soll Menschen ohne Smartphone helfen. Allerdings könnte den Aktivisten zufolge damit die Identität jedes Nutzers schnell kopiert und missbraucht werden. "Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher waren", kritisierte Neumann.
Die Schwachstellen sind bei Recherchen zutage getreten, die im Netz unter dem Namen "Lucatrack" veröffentlicht wurden. Dem CCC zufolge ist die Schwachstelle offensichtlich und unnötig. Sie zeuge von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit, so Neumann.
Der Entwickler der App, das Berliner Start-up Nexenio, räumte ein, "dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten." Das Unternehmen habe aber auf die Kritik reagiert und die IT-Sicherheitslücke geschlossen. Zu keiner Zeit sei es möglich gewesen, die hinterlegten Kontaktdaten wie Adresse oder Telefonnummer abzurufen.
Luca-App ist bereits in einigen Gesundheitsämtern eingerichtet
Die Macher der Luca-App empfahlen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen "böswilligen Missbrauch zu vermeiden".
Trotz der großen Sicherheitsbedenken wird die Luca-App bereits in einigen Gesundheitsämtern der Region eingerichtet. So können ab sofort in Brandenburg die Landkreise Barnim, Ostprignitz-Ruppin, Prignitz, Brandenburg an der Havel, Cottbus und Potsdam damit arbeiten. Ende April sollen alle Brandenburger Landkreise und kreisfreie Städte die App zur Kontaktnachverfolgung bei bereits bestätigten Corona-Fällen nutzen können.
Die Brandenburger Gesundheitsministerin Ursula Nonnemacher (Grüne) betonte, dass die Nutzung der App freiwillig sei. "Niemand wird gezwungen, dass seine Daten digital erfasst und gespeichert werden." Für die App hat das Land rund 990.000 Euro ausgegeben, berichtet das Onlinemagazin "Netzpolitik.org" [netzpolitik.org].
Weg für flächendeckenden Einsatz der Luca-App in Berlin geebnet
Auch in Berlin kann die Luca-App bald flächendeckend eingesetzt werden. Die Mitarbeitenden werden demnach bereits seit Ende März geschult. Ein genaues Start-Datum nannte die Berliner Gesundheitsverwaltung auf Nachfrage von rbb|24 nicht. Die Kosten für die Nutzung belaufen sich nach Angaben des Senats auf rund 1,2 Millionen Euro.
Die Berliner Gesundheitsverwaltung teilt die Bedenken hinsichtlich des Datenschutzes nicht. Es gebe "keine datenschutzrechtlichen Bedenken", die dem Einsatz der Luca-App entgegenstünden, so die Gesundheitsverwaltung auf rbb|24-Nachfrage. Grundsätzlich werde die Digitalisierung der Kontaktnachverfolgung begrüßt, denn sie gestalte die Arbeit der Gesundheitsämter effizienter und erleichtere es Veranstaltern ihren Dokumentationspflichten nachzukommen. Eine Stellungnahme der Datenschutzaufsichtsbehörde von Bund und Ländern werde derzeit durch die Gesundheitsverwaltung und die Bezirke bewertet.