Bewegungsdaten offen im Netz

Programmierer finden weitere gravierende Sicherheitslücke in der Luca-App

  • Daniel Lücking
  • Lesedauer: 5 Min.

»Alle Schlüsselanhänger, die von der Sicherheitslücke betroffen sind, sind fachgerecht zu entsorgen«, lautet das Fazit der Arbeit von Bianca Kastl und Tobias Ravenstein, die am Dienstag eine weitere Sicherheitslücke in der Luca-App bekannt machten. Diese Schlüsselanhänger sollen Menschen nutzen, die keine Smartphones haben. Oft sind dies ältere Menschen. »Ich habe mir die Luca-App genauer angeschaut, als ich darauf gestoßen bin, dass der Einsatz von Schlüsselanhängern auch in Kindergärten stattfinden sollte«, sagte Ravenstein im Gespräch mit »nd«.

Mit der Luca-App soll die Kontakterfassung in Geschäften, Restaurants und bei Kulturveranstaltungen automatisiert erfolgen. Das Konzept verspricht eine massive Entlastung für die Betreiber und Veranstalter, schafft aber auch einen Anreiz, wieder häufiger das Haus zu verlassen. »Gemeinsam das Leben erleben«, verkündet die Internetseite der Luca-App. Gesammelte Daten sollen im Fall einer Covid-19-Erkrankung an die Gesundheitsämter zur Kontaktverfolgung übermittelt werden.

Die Luca-App beschäftigt derzeit zahlreiche IT- und Netzexpert*innen, da immer neue Schwachstellen und Unzulänglichkeiten rund um das Projekt offenkundig werden. Unter Hashtags, wie #Lucafail (von englisch fail für fehlschlagen) und #LucaAppGate sammeln sie bei Twitter derzeit die konzeptionellen und programmierbedingten Schwächen.

Kastl und Ravenstein sind Teil des Teams »LucaTrack«, das sich mit den Schlüsselanhängern befasste. Die neue Sicherheitslücke tat sich am QR-Code auf, den die bisher rund 100 000 in Umlauf gebrachten Schlüsselanhänger tragen. Gelangte man an diesen offen sichtbaren Code, konnten mit nur wenigen Änderungen am darin enthaltenen Link alle gesammelten Daten ausgelesen werden. Auf der Webseite lucatrack.de ist ein Video des Auslesevorgangs zu sehen. Zeitpunkt und Ort eines mit Schlüsselanhänger dokumentierten Besuches sind in nur wenigen Sekunden offen lesbar. Die Gruppe nahm den Rapper Smudo beim Wort, der in einem Interview mit dem rbb vor wenigen Tagen behauptete: »An die Daten kommt nur das Gesundheitsamt. Das heißt, man müsste für die Daten händisch in das Gesundheitsamt einbrechen.« Offenbar nicht, zeigte Lucatrack.

»Das ist für deinen Besuch erforderlich: Covid-19-Test, FFP2-Maske und Luca App«, heißt es nicht nur auf der Webseite eines bekannten skandinavischen Möbelhauses. Auch eine Kette von Optikergeschäften verlangt die Luca-App. Eine bundesweite Fachmarktkette für Babyausstattung hat für ihre Filialen im Stadtgebiet Berlin die Luca-App als Voraussetzung für den Besuch angegeben. Auf telefonische Nachfrage räumte ein Mitarbeiter einer Filiale des Babyausstatters allerdings ein, auch weiterhin Adressen auf Formularen entgegenzunehmen, wenn Kund*innen kein Smartphone besitzen. Luca ist auf dem Vormarsch.

Längst sind in 13 Bundesländern zahlreiche Kommunen dabei, die Luca-App als zentralen Baustein in die Corona-Maßnahmen zu übernehmen. Bislang sollen bereits 20 Millionen Euro in den Ankauf von Lizenzen investiert worden sein. Oftmals ohne Ausschreibung, was beispielsweise für das Land Mecklenburg-Vorpommern nur »ausnahmsweise nicht in Frage« gekommen sei. Dabei wird die Corona-Warn-App, die als datenschutzkonform gilt und mit 27 Millionen Downloads weit verbreitet ist, schon bald eine vergleichbare Funktion erhalten. Auf die Versprechungen der Luca-App setzte Berlins regierender Bürgermeister Michael Müller im März im ARD-Politikmagazin »Bericht aus Berlin«. Müller erklärte, er habe die Verträge zur Beschaffung der Lizenzen unterschrieben, ohne die technischen Details zu kennen.

Lesen Sie auch den Kommentar »Mit Kommerz in die vierte Welle« von Daniel Lücking

Der Chaos Computer Club, in dessen Umfeld im vergangenen Jahr eine Liste von zehn Prüfsteinen für Apps erarbeitet wurde, die Kontakte nachverfolgen sollen, äußerte sich nun zum immer abstruser werdenden Komplex und fordert die »Bundesnotbremse« bei der Luca-App anzusetzen. Teil dieser Notbremse soll ein Moratorium sein, in dem dann der Bundesrechnungshof eine Überprüfung der Vergabepraktiken vornehmen soll. »Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind«, stellte Linus Neumann, Sprecher des Chaos Computer Clubs, fest. Warnungen liegen auch von Sicherheitsforscher*innen vor, die über die Missbrauchspotenziale bei der Kontaktdatensammlung mit der Luca-App berichten. In Echtzeit kann verfolgt werden, wer, wann und wo genau die Luca-App nutzt. Eingriffe in diese Daten räumte der Geschäftsführer Patrick Hennig kürzlich ein. Die Betreiber löschen Events. »Natürlich geht das technisch, aber aufgrund eines offensichtlichen Missbrauchs wurde das Treffen systemseitig beendet.« Mit anderen Worten: Die Datensammlung wird nie verlässlich und überprüfbar sein, da das System auch bei der Erfassung von Daten eingreift.

Auf die Meldung der Sicherheitslücke, die das Team von Lucatrack auch der Berliner Datenschutzbeauftragten mitteilten, reagierten die Macher der App innerhalb der vorgegeben Frist. »Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung«, heißt es in einer Presseerklärung. Das Luca-System werde bis Anfang Mai in circa 300 von 375 Gesundheitsämtern eingeführt und sei ein wichtiger Schritt zu Digitalisierung der Gesundheitsämter, schreiben die Macher sichtlich entschlossen, die Luca-App weiterhin anzubieten und geben an, ihr System verbessern zu wollen.

Wir-schenken-uns-nichts
Unsere Weihnachtsaktion bringt nicht nur Lesefreude, sondern auch Wärme und Festlichkeit ins Haus. Zum dreimonatigen Probeabo gibt es ein Paar linke Socken von Socken mit Haltung und eine Flasche prickelnden Sekko Soziale – perfekt für eine entspannte Winterzeit. Ein Geschenk, das informiert, wärmt und das Aussteiger-Programm von EXIT-Deutschland unterstützt. Jetzt ein Wir-schenken-uns-nichts-Geschenk bestellen.
- Anzeige -

Das »nd« bleibt. Dank Ihnen.

Die nd.Genossenschaft gehört unseren Leser*innen und Autor*innen. Mit der Genossenschaft garantieren wir die Unabhängigkeit unserer Redaktion und versuchen, allen unsere Texte zugänglich zu machen – auch wenn sie kein Geld haben, unsere Arbeit mitzufinanzieren.

Wir haben aus Überzeugung keine harte Paywall auf der Website. Das heißt aber auch, dass wir alle, die einen Beitrag leisten können, immer wieder darum bitten müssen, unseren Journalismus von links mitzufinanzieren. Das kostet Nerven, und zwar nicht nur unseren Leser*innen, auch unseren Autor*innen wird das ab und zu zu viel.

Dennoch: Nur zusammen können wir linke Standpunkte verteidigen!

Mit Ihrer Unterstützung können wir weiterhin:


→ Unabhängige und kritische Berichterstattung bieten.
→ Themen abdecken, die anderswo übersehen werden.
→ Eine Plattform für vielfältige und marginalisierte Stimmen schaffen.
→ Gegen Falschinformationen und Hassrede anschreiben.
→ Gesellschaftliche Debatten von links begleiten und vertiefen.

Seien Sie ein Teil der solidarischen Finanzierung und unterstützen Sie das »nd« mit einem Beitrag Ihrer Wahl. Gemeinsam können wir eine Medienlandschaft schaffen, die unabhängig, kritisch und zugänglich für alle ist.