Bewegungsdaten offen im Netz

Programmierer finden weitere gravierende Sicherheitslücke in der Luca-App

  • Von Daniel Lücking
  • Lesedauer: 5 Min.
Auf Werbung folgt Warnung: Die Luca-App fällt mit zahlreichen Fehlern auf.
Auf Werbung folgt Warnung: Die Luca-App fällt mit zahlreichen Fehlern auf.

»Alle Schlüsselanhänger, die von der Sicherheitslücke betroffen sind, sind fachgerecht zu entsorgen«, lautet das Fazit der Arbeit von Bianca Kastl und Tobias Ravenstein, die am Dienstag eine weitere Sicherheitslücke in der Luca-App bekannt machten. Diese Schlüsselanhänger sollen Menschen nutzen, die keine Smartphones haben. Oft sind dies ältere Menschen. »Ich habe mir die Luca-App genauer angeschaut, als ich darauf gestoßen bin, dass der Einsatz von Schlüsselanhängern auch in Kindergärten stattfinden sollte«, sagte Ravenstein im Gespräch mit »nd«.

Mit der Luca-App soll die Kontakterfassung in Geschäften, Restaurants und bei Kulturveranstaltungen automatisiert erfolgen. Das Konzept verspricht eine massive Entlastung für die Betreiber und Veranstalter, schafft aber auch einen Anreiz, wieder häufiger das Haus zu verlassen. »Gemeinsam das Leben erleben«, verkündet die Internetseite der Luca-App. Gesammelte Daten sollen im Fall einer Covid-19-Erkrankung an die Gesundheitsämter zur Kontaktverfolgung übermittelt werden.

Die Luca-App beschäftigt derzeit zahlreiche IT- und Netzexpert*innen, da immer neue Schwachstellen und Unzulänglichkeiten rund um das Projekt offenkundig werden. Unter Hashtags, wie #Lucafail (von englisch fail für fehlschlagen) und #LucaAppGate sammeln sie bei Twitter derzeit die konzeptionellen und programmierbedingten Schwächen.

Kastl und Ravenstein sind Teil des Teams »LucaTrack«, das sich mit den Schlüsselanhängern befasste. Die neue Sicherheitslücke tat sich am QR-Code auf, den die bisher rund 100 000 in Umlauf gebrachten Schlüsselanhänger tragen. Gelangte man an diesen offen sichtbaren Code, konnten mit nur wenigen Änderungen am darin enthaltenen Link alle gesammelten Daten ausgelesen werden. Auf der Webseite lucatrack.de ist ein Video des Auslesevorgangs zu sehen. Zeitpunkt und Ort eines mit Schlüsselanhänger dokumentierten Besuches sind in nur wenigen Sekunden offen lesbar. Die Gruppe nahm den Rapper Smudo beim Wort, der in einem Interview mit dem rbb vor wenigen Tagen behauptete: »An die Daten kommt nur das Gesundheitsamt. Das heißt, man müsste für die Daten händisch in das Gesundheitsamt einbrechen.« Offenbar nicht, zeigte Lucatrack.

»Das ist für deinen Besuch erforderlich: Covid-19-Test, FFP2-Maske und Luca App«, heißt es nicht nur auf der Webseite eines bekannten skandinavischen Möbelhauses. Auch eine Kette von Optikergeschäften verlangt die Luca-App. Eine bundesweite Fachmarktkette für Babyausstattung hat für ihre Filialen im Stadtgebiet Berlin die Luca-App als Voraussetzung für den Besuch angegeben. Auf telefonische Nachfrage räumte ein Mitarbeiter einer Filiale des Babyausstatters allerdings ein, auch weiterhin Adressen auf Formularen entgegenzunehmen, wenn Kund*innen kein Smartphone besitzen. Luca ist auf dem Vormarsch.

Längst sind in 13 Bundesländern zahlreiche Kommunen dabei, die Luca-App als zentralen Baustein in die Corona-Maßnahmen zu übernehmen. Bislang sollen bereits 20 Millionen Euro in den Ankauf von Lizenzen investiert worden sein. Oftmals ohne Ausschreibung, was beispielsweise für das Land Mecklenburg-Vorpommern nur »ausnahmsweise nicht in Frage« gekommen sei. Dabei wird die Corona-Warn-App, die als datenschutzkonform gilt und mit 27 Millionen Downloads weit verbreitet ist, schon bald eine vergleichbare Funktion erhalten. Auf die Versprechungen der Luca-App setzte Berlins regierender Bürgermeister Michael Müller im März im ARD-Politikmagazin »Bericht aus Berlin«. Müller erklärte, er habe die Verträge zur Beschaffung der Lizenzen unterschrieben, ohne die technischen Details zu kennen.

Lesen Sie auch den Kommentar »Mit Kommerz in die vierte Welle« von Daniel Lücking

Der Chaos Computer Club, in dessen Umfeld im vergangenen Jahr eine Liste von zehn Prüfsteinen für Apps erarbeitet wurde, die Kontakte nachverfolgen sollen, äußerte sich nun zum immer abstruser werdenden Komplex und fordert die »Bundesnotbremse« bei der Luca-App anzusetzen. Teil dieser Notbremse soll ein Moratorium sein, in dem dann der Bundesrechnungshof eine Überprüfung der Vergabepraktiken vornehmen soll. »Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind«, stellte Linus Neumann, Sprecher des Chaos Computer Clubs, fest. Warnungen liegen auch von Sicherheitsforscher*innen vor, die über die Missbrauchspotenziale bei der Kontaktdatensammlung mit der Luca-App berichten. In Echtzeit kann verfolgt werden, wer, wann und wo genau die Luca-App nutzt. Eingriffe in diese Daten räumte der Geschäftsführer Patrick Hennig kürzlich ein. Die Betreiber löschen Events. »Natürlich geht das technisch, aber aufgrund eines offensichtlichen Missbrauchs wurde das Treffen systemseitig beendet.« Mit anderen Worten: Die Datensammlung wird nie verlässlich und überprüfbar sein, da das System auch bei der Erfassung von Daten eingreift.

Auf die Meldung der Sicherheitslücke, die das Team von Lucatrack auch der Berliner Datenschutzbeauftragten mitteilten, reagierten die Macher der App innerhalb der vorgegeben Frist. »Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung«, heißt es in einer Presseerklärung. Das Luca-System werde bis Anfang Mai in circa 300 von 375 Gesundheitsämtern eingeführt und sei ein wichtiger Schritt zu Digitalisierung der Gesundheitsämter, schreiben die Macher sichtlich entschlossen, die Luca-App weiterhin anzubieten und geben an, ihr System verbessern zu wollen.

nd Journalismus von links lebt vom Engagement seiner Leser*innen

Wir haben uns angesichts der Erfahrungen der Corona-Pandemie entschieden, unseren Journalismus auf unserer Webseite dauerhaft frei zugänglich und damit für jede*n Interessierte*n verfügbar zu machen.

Wie bei unseren Print- und epaper-Ausgaben steckt in jedem veröffentlichten Artikel unsere Arbeit als Autor*in, Redakteur*in, Techniker*in oder Verlagsmitarbeiter*in. Sie macht diesen Journalismus erst möglich.

Jetzt mit wenigen Klicks freiwillig unterstützen!

Unterstützen über:
  • PayPal
  • Sofortüberweisung