Bei der Luca-App hatten Unbefugte die Möglichkeit, Bewegungsprofile von Nutzern auszulesen. Die Kritik wird immer härter, der Chaos Computer Club fordert den Stopp der App.
Berlin, Hamburg Die Luca-App gerät durch eine Sicherheitslücke weiter in die Kritik. Sie soll es ermöglicht haben, das Bewegungsprofil von Nutzern auszulesen. Davor warnen die IT-Sicherheitsexperten Bianca Kastl und Tobias Ravenstein in einem Schreiben, das dem Handelsblatt vorliegt.
Die Luca-App soll Gesundheitsämter dabei unterstützen, Kontakte von Corona-Infizierten nachzuverfolgen. Sie gilt als Ersatz von Kontaktzetteln: Durch die App kann man sich mit einer Art virtueller Visitenkarte beispielsweise in Restaurants oder Kinos anmelden.
Für Nutzer ohne Smartphone ist dies mit Hilfe eines sogenannten Schlüsselanhängers möglich. Diese ausgedruckten QR-Codes waren von der Sicherheitslücke „Luca Track“ betroffen. Wer den Code einscannt, konnte offenbar recht einfach auf eine Site gelangen, die die letzten Orte aufführt, bei denen sich ein Nutzer registriert hat.
Das Problem soll laut des Berliner Luca-Entwicklers Nexenio mittlerweile zunächst dadurch behoben worden sein, dass die entsprechende Funktion ausgeschaltet worden ist.
Ohne besondere Kenntnisse sei es den IT-Experten möglich gewesen, über eine Foto des Schlüsselanhängers die Orts-Informationen aus den vergangenen 30 Tagen auszulesen. „Die Konsequenzen der Sicherheitslücke sind gravierend“, schreiben sie. Dementsprechend seien alle Schlüsselanhänger zu entsorgen. Es seien davon rund 100.000 davon im Umlauf, der Entwickler spricht hingegen von 14.000.
In einer ersten Stellungnahme bestätigte Nexenio, Daten zu Orten seien abrufbar gewesen, jedoch nicht die hinterlegten Kontaktdaten wie Adresse oder Telefonnummer. „Wir empfehlen Nutzern, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen.“
Nexenio-Chef Patrick Hennig ergänzte auf Anfrage, es sei denkbar, die Historie geschützt den Nutzen künftig zugänglich zu machen. Dann könnten Nutzer zudem Orte nachträglich löschen. „Wer im Besitz des Schlüsselanhänger ist, der hat damit auch Zugang zu seiner eigenen Kontakthistorie – das ist wie beim Haustürschlüssel – der sollte vertraulich behandelt werden“, sagte er dem Handelsblatt.
CCC fordert Stopp der App
Der Chaos Computer Club (CCC) stützt hingegen die Analyse der IT-Experten. Die Aktivisten fassen in einer Stellungnahme die Kritik zusammen, die seit einigen Wochen über die Luca-App hereinbricht, und fordern einen Stopp der App.
Im Kern entzündet diese Kritik sich daran, dass ein Privatanbieter die staatliche Corona-Warn-App mit einem eigenen Angebot, das weniger Datenschutz bietet, ergänzen will – bezahlt von den Bundesländern und Gemeinden. Die App kommt bereits in 13 Bundesländern zum Einsatz, darunter Berlin, Mecklenburg-Vorpommern, Niedersachsen und Sachsen-Anhalt.
Dabei haben die Kritiker zwei Stoßrichtungen: Zum einen bemängeln sie, die Luca-App verdanke ihre Popularität bei der Politik vor allem der Tatsache, dass die Pop-Gruppe Fantastische Vier zu den Investoren gehört. Über die PR-Kraft habe die App nach Talkshow-Auftritten des Frontmanns Smudo ohne breite Ausschreibung den Zuschlag vieler Bundesländer bekommen. Das koste den Steuerzahler bis zu 20 Millionen Euro.
Zum anderen stört die Netz-Szene sich am Prinzip der App. Anders als die Corona-Warn-App funktioniert sie nicht ohne persönliche Daten, da der Sinn ist, den Gesundheitsämtern die vorgeschriebene Nachverfolgung von Kontakten etwa in der Gastronomie, in Parks und Veranstaltungsräumen zu ermöglichen. Die Kritiker verweisen darauf, zentral gespeicherte sensible Daten seien anfällig für Missbrauch. Zudem sei die App „schlampig“ programmiert.
Die Gründer der Luca-App halten dagegen. Bislang sei im Kern der Technik kein Fehler oder Datenleck nachgewiesen worden, betonte Hennig. Seine App ermögliche es, auf ausliegende Listen zu verzichten. Zudem biete keine konkurrierende App denselben Funktionsumfang – insbesondere die Möglichkeit, das System ohne Smartphone per Schlüsselanhänger zu nutzen. Er kündigte mehrfach an, das Unternehmen wolle den Code komplett offenlegen. Bislang ist es dazu offenbar noch nicht gekommen.
Auch die Länder wiesen die Kritik zurück. „Die Kontaktdaten werden bereits im Smartphone mit einem Schlüssel des jeweiligen Gesundheitsamts und einem Schlüssel des Gastgebers zweifach gesichert“, erklärte etwa der Hamburger Senat. Die Vergabe sei „gemäß den Regelungen des Bundeswirtschaftsministeriums“ erfolgt.
Die Kritik motiviert zudem zu Störaktionen. Unter anderem der ZDF-Moderator Jan Böhmermann forderte per Twitter Luca-Nutzer dazu auf, sich an Orten einzuchecken, die sie gar nicht besuchen. Das soll demonstrieren, dass die App den Gesundheitsämtern auch falsche oder überflüssige Daten übermitteln kann.
