Datenschutzmängel - Chaos Computer Club sieht Sicherheitsprobleme bei Luca-App

Mi 14.04.21 | 12:22 Uhr
  19
Archivbild: esucher gehen am 27.12.2018 in der Glashalle an Logos des 35. Chaos Communication Congress (35c3) in der Messe Lepzig vorbei. (Quelle: dpa/Peter Endig)
Bild: dpa/Peter Endig

Die Gesundheitsämter in Berlin und Brandenburg wollen mit der Luca-App leichter die Kontakte von Corona-Infizierten ermitteln. Der Chaos Computer Club fordert hingegen, keine Steuermittel mehr für die App auszugeben. Zu groß seien die IT-Schwachstellen.

Die Hackervereinigung Chaos Computer Club (CCC) hat gefordert, für die neue Luca-App zur Kontaktnachverfolgung keine Steuermittel mehr auszugeben. Bei der App gebe es eine nicht abreißende Serie von Sicherheitsproblemen, sagte CCC-Sprecher Linus Neumann am Mittwoch laut Mitteilung.

Auf die IT-Sicherheitslücken hatten zuvor Datenschutz-Aktivisten hingewiesen. Vor allem der sogenannte Luca-Schlüsselanhänger sei ein Problem. Dieser Schlüsselanhänger soll Menschen ohne Smartphone helfen. Allerdings könnte den Aktivisten zufolge damit die Identität jedes Nutzers schnell kopiert und missbraucht werden. "Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher waren", kritisierte Neumann.

Luca-Entwickler bestätigen IT-Sicherheitslücke

Die Schwachstellen sind bei Recherchen zutage getreten, die im Netz unter dem Namen "Lucatrack" veröffentlicht wurden. Dem CCC zufolge ist die Schwachstelle offensichtlich und unnötig. Sie zeuge von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit, so Neumann.

Die Luca-Kritiker bekamen unterdessen öffentlichkeitswirksam Unterstützung durch den TV-Star Jan Böhmermann. Der ZDF-Moderator forderte in der Nacht zu Mittwoch seine Fans auf Twitter auf, sich per QR-Code im Zoo Osnabrück einzuchecken. Er wollte mit seiner Störaktion beweisen, wie manipulationsanfällig die Luca-App ist, weil die Anwendung nicht überprüft, ob die Nutzer beim Einchecken tatsächlich vor Ort sind.

Der Entwickler der App, das Berliner Start-up Nexenio, räumte ein, "dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten." Das Unternehmen habe aber auf die Kritik reagiert und die IT-Sicherheitslücke geschlossen. Zu keiner Zeit sei es möglich gewesen, die hinterlegten Kontaktdaten wie Adresse oder Telefonnummer abzurufen.

Luca-App ist bereits in einigen Gesundheitsämtern eingerichtet

Die Macher der Luca-App empfahlen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen "böswilligen Missbrauch zu vermeiden".

Trotz der großen Sicherheitsbedenken wird die Luca-App bereits in einigen Gesundheitsämtern der Region eingerichtet. So können ab sofort in Brandenburg die Landkreise Barnim, Ostprignitz-Ruppin, Prignitz, Brandenburg an der Havel, Cottbus und Potsdam damit arbeiten. Ende April sollen alle Brandenburger Landkreise und kreisfreie Städte die App zur Kontaktnachverfolgung bei bereits bestätigten Corona-Fällen nutzen können.

Die Brandenburger Gesundheitsministerin Ursula Nonnemacher (Grüne) betonte, dass die Nutzung der App freiwillig sei. "Niemand wird gezwungen, dass seine Daten digital erfasst und gespeichert werden." Für die App hat das Land rund 990.000 Euro ausgegeben, berichtet das Onlinemagazin "Netzpolitik.org" [netzpolitik.org].

Weg für flächendeckenden Einsatz der Luca-App in Berlin geebnet

Auch in Berlin kann die Luca-App bald flächendeckend eingesetzt werden. Die Mitarbeitenden werden demnach bereits seit Ende März geschult. Ein genaues Start-Datum nannte die Berliner Gesundheitsverwaltung auf Nachfrage von rbb|24 nicht. Die Kosten für die Nutzung belaufen sich nach Angaben des Senats auf rund 1,2 Millionen Euro.

Die Berliner Gesundheitsverwaltung teilt die Bedenken hinsichtlich des Datenschutzes nicht. Es gebe "keine datenschutzrechtlichen Bedenken", die dem Einsatz der Luca-App entgegenstünden, so die Gesundheitsverwaltung auf rbb|24-Nachfrage. Grundsätzlich werde die Digitalisierung der Kontaktnachverfolgung begrüßt, denn sie gestalte die Arbeit der Gesundheitsämter effizienter und erleichtere es Veranstaltern ihren Dokumentationspflichten nachzukommen. Eine Stellungnahme der Datenschutzaufsichtsbehörde von Bund und Ländern werde derzeit durch die Gesundheitsverwaltung und die Bezirke bewertet.

Sendung: Radioeins, 14.04.2021, 10 Uhr

Was Sie jetzt wissen müssen

19 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 19.

    CCC
    https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse

    Mehr als 20 Millionen Euro für Luca
    https://netzpolitik.org/2021/digitale-kontaktverfolgung-fast-20-millionen-euro-fuer-luca/

    Luca-Kosten für die einzelnen Bundesländer:
    Mecklenburg-Vorpommern: 440.000 €
    Berlin: 1.200.000 €
    ==============
    Brandenburg 990.000 €
    Niedersachsen: 3.000.000 €
    Hessen: über 2.000.000 €
    Rheinland-Pfalz: 1.726.000 €
    Bremen: rund 260.000 €
    Baden-Württemberg: 3.700.000 €
    Schleswig-Holstein: rund 1.000.000 €
    Saarland: ? €
    Bayern: 5.500.000 €
    Sachsen-Anhalt: rund 1.000.000 €
    Hamburg: 615.000 €

    Die fantastische Lizenz der Luca-App
    https://netzpolitik.org/2021/mfg-gpl-die-fantastische-lizenz-der-luca-app/

    Update der Corona-Warn-App Anonym einchecken per QR-Code
    https://www.tagesschau.de/inland/corona-warn-app-check-in-101.html
    .

  2. 18.

    "... und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, ..."
    Ja, der Paragraf ist aus der "Lex-Schäuble-Zeit". Hier genauso wirksam, wie der "technisch wirksame Kopierschutz." bei CD/DVD ;-).

  3. 17.

    Tja das nicht 100% sicher betrifft aber auch das mit der Telefonnummer.
    Man kann auf die Verifizierung sogar komplett verzichten und den entsprechenden Code einfach auskommentieren. Dann wird weder eine SMS verschickt noch eine TAN benötigt und es kann eine beliebige Telefonnummer angegeben werden.

    https://www.rostock-heute.de/luca-app-datenschutz-luecke-falsche-telefonnummer/115938

    Diejenigen, die bisher falsche Angaben gemacht hatten machen das auch mit der Luca App. Nur jetzt kann es z.B. das Ordnungsamt bei einer Kontrolle nicht mehr erkennen. Naja zumindest kann man nun nicht mehr den Wirt bestrafen wenn Gäste falsche Angaben machen ... die sieht er nicht.

  4. 16.

    das StGB berücksichtigt kein "gutes" Hacken. Ohne Hacken, keine Schwachstelle, keine Kosten. Oder wurde wie bei M$ oder Apple oder Google ein Preisgeld ausgelobt? Oder ist der CCC etwa doch eine Bundesbehörde?

    § 202a StGB Ausspähen von Daten
    Ausspähen von Daten. (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

  5. 15.

    Schon cool, über was sich hier aufgeregt wird. Es dreht sich um den QR-Code des Schlüsselanhängers - und ja - wäre ich eine "Sicherheits-Äpp" würde ich auch maulen, wenn mir einer einen Schlüsselanhänger ins Display drückt.
    Die Empfehlung kein Foto von dem Code ins Netz zu stellen, ist doch in etwa so, als wenn man darauf hingewiesen wird, seinen Perso nicht im www zu veröffentlichen. Wer sowas macht, geht auch mit dem Vogelkäfig zum Milchholen oder glaubt, das es im digitalen Sektor 100% Sicherheit gibt - is' im richtigen Leben übrigens auch nicht drin.

  6. 14.

    Wenn die Softwareexperten der Berliner Gesundheitsverwaltung sagen, dass sie keine Bedenken hinsichtlich des Datenschutzes haben, dann vertraue ich deren Expertise voll und ganz!
    Und wenn der Schmudo sagt, dass die Äpp toll ist und ich sie mir installieren soll, dann mache ich das auch - da kann der Bömmelmann machen was er will!

  7. 13.

    Bitte nicht von einem Rapper sprechen! Da fehlen Welten! Gibt eindeutig bessere Musiker! Jetzt mal im ernst! Wenn eine Person von einer Talkshow zu nächsten wandert und seine App oder einen anderen Produkt mit höchsten Tönen lobt, dann schrillen bei mir generell sofort alle Alarmglocken!

  8. 12.

    Die entsprechenden Dokumente wurden mittlerweile selbst hier und in den übrigen ÖRs veröffentlicht.
    Denken darf jeder selbst. Und sollte es auch!

  9. 11.

    Es ist sicher richtig, dass die App nicht zu 100 % sicher ist. Was nur Herr Böhmermann bei seiner dussligen Aktion übersehen hat, die eingebenen Namen und Adressen mögen falsch sein. Die hinterlegten Telefonnummern sind jedoch richtig. Diese werden verifiziert. Das Gesundheitsamt erreicht die Nutzer der App also auf jeden Fall. Der Vorteil dieser App gegenüber der Corona-Warn-App ist doch nur der (und der ist entscheidend), das zuständige Gesundheitsamt weiß im Fall eines Infektionsereignisses sofort, wer da war und kann die betreffenden Personen umgehend kontaktieren. Dies ist schneller und erfolgversprechender als die Listen durchzusehen und zu hoffen, dass die angegebenen Daten stimmen. Die Corona-Warn-App ist auch bei der Version mit Anmeldefunktion darauf angewiesen, dass der Nutzer sich selber meldet, da vom Handy keine Info an das Gesundheitsamt erfolgt. Da dies nicht gesichert ist, wird es für diesen Fall wohl bei einer schriftlichen Hinterlegung der Kontaktdaten bleiben.

  10. 10.

    Verantwortung und Achtsamkeit und Wertschätzung gegenüber den Mitmenschen ist angesagt!
    Cool, dass der Chaos-Computer Club sich dieser Luca-App angenommen hat und Sicherheitsprobleme aufdeckt. Eine Bestätigung für mich diese Luca-App zu ignorieren.

  11. 8.

    Ich werde mich dieser App verweigern. Sobald die Checkin-Funktion in der CWA integriert ist, werde ich sie dort nutzen, vorher aber nur Stift und Papier.

  12. 7.

    Jan Böhmermann, TV Star? Das so etwas im TV überhaupt Sendezeit bekommt sollte einem schon zu Denken geben!

  13. 6.

    Und der Räpper lacht über seine Rendite.

  14. 5.

    Wenn schon Herr Müller zugibt, "keine Ahnung zu haben" sollte er zukünftig lieber auf Fachleute hören aals blind Verträge zu unterschreiben und unser Geld Geschäftemachern hinterher zu schmeißen.

  15. 4.

    Langsam muß man sich wirklich fragen, wer der Faktenleugner ist?

    Ob Luca oder Ausgangssperren, komplett wissenschaftsfeindlich und beratungsresistent.

  16. 3.

    Meine Android Sicherheits-App hat schon beim Versuch der Installation "gemeckert" und "gewarnt" und so habe ich eben keine LUCA installiert. Offensichtlich die richtige Entscheidung.

  17. 2.

    Sich immer wieder beim rbb auf einer unerträglichen Herrn Böhmermann zu berufen, zeugt nicht gerade von der notwendigen Seriosität für das Thema. Laßt das einfach!

  18. 1.

    "Die Berliner Gesundheitsverwaltung teilt die Bedenken hinsichtlich des Datenschutzes nicht. Es gebe "keine datenschutzrechtlichen Bedenken", die dem Einsatz der Luca-App entgegenstünden, so die Gesundheitsverwaltung auf rbb|24-Nachfrage."
    Vielleicht hat man bei Smudo angerufen und nachgefragt :D

Nächster Artikel