Über die Luca-App, ihre Sicherheitslücken – und den Umgang des Herstellers mit Kritik

Viele Sicherheitsforscher:innen kritisieren die App bereits seit ihrer ersten Veröffentlichung im Frühjahr 2021 scharf. Unter anderem bemängelt der Chaos Computer Club (CCC) die Finanzierung durch Steuergelder, fehlende Transparenz und erhebliche Sicherheitsmängel. So konnten anfangs Bewegungsprofile der Nutzenden erstellt werden und die Validierung der eingegebenen Daten des Nutzers via SMS war fehlerhaft. So war es möglich, eine falsche Handynummer einzutragen, was es dem Gesundheitsamt in Folge erschwerte, die Person zeitnah zu erreichen.

Für den Einsatz der Luca-App bezahlte der Bund stand April 2020 rund 20 Millionen Euro – für 1-Jahres-Lizenzen. Daten, Programmcode und die Infrastruktur blieben jedoch in den Händen des privatwirtschaftlich geführten Herstellers neXenio. Wünschenswert wäre, dass durch Steuergelder finanzierter Programmcode freizugänglich gemacht, also als Open Source zur Verfügung gestellt würde. Dies verweigerte neXenio anfangs völlig. Nachdem das Unternehmen aufgrund des Drucks der Öffentlichkeit erste Teile des Quellcodes veröffentlichte, fanden Sicherheitsforscher nicht nur erhebliche Sicherheitsmängel, sondern auch, dass Teile des Quellcodes widerrechtlich kopiert und genutzt worden waren. Die Entwickler hatten sich eines Programmcode bedient, der als Open Source deklariert war und ihn dann unter einer eigenen Lizenz genutzt, welche ihrerseits jedoch Kopien, Veränderungen und Nutzung verbot. So argumentierte unter anderem auch heise.de, dass sich die Entwickler mittels kostenloser Programmcode-Teile selbst bereicherten.

Im Laufe der Zeit fand die Sicherheits-Community weitere Schwachstellen. So war es Dritten nicht nur möglich Daten abzugreifen, sondern auch Schadcode in die Systeme der Gesundheitsämter einzuschleusen. Dadurch wäre es beispielsweise möglich gewesen, einen Verschlüsselungstrojaner einzuschleusen. Damit können nicht nur Unternehmen angegriffen werden, sondern auch Behörden, wie Ende 2019 der Trojaner Emotet beim Kammergericht Berlin zeigte. Ein erhebliches Problem, wenn man bedenkt, welche hochsensiblen Daten bei den Gesundheitsämtern gespeichert werden. Ein weiteres Beispiel für fehlende Überprüfungen in der App zeigte sich, als sich im April hundert Menschen in einer Nacht im Osnabrücker Zoo mittels Luca-App anmeldeten, indem sie lediglich ein Bild des QR-Codes scannten, aber selbst nicht vor Ort waren. Noch gravierender war, dass ein Sicherheitsforscher die Luca-App zudem modifizieren konnte, sodass anonyme Daten an die App und Gesundheitsämter gesendet werden konnten, wenn er sich über den QR-Code bei einem Ort anmeldete. Solche falschen Daten könnten Gesundheitsämter überlasten und die ganze Kontaktverfolgung ad absurdum führen.

Grundsätzlich kritisieren Expert:innen auch die zentrale Datenspeicherung. Sie bietet einen direkten Angriffspunkt für Hacker, aber auch Sicherheitsbehörden, die Interesse an Bewegungsprofilen haben. Dies kann dazu genutzt werden, dass beispielsweise überwacht wird, wer auf einer bestimmten politischen oder religiösen Veranstaltung war.

Bei aller Kritik darf man natürlich nicht vergessen, dass Sicherheitslücken in Computersystemen keine Ausnahme, sondern eher die Regel sind. Der Umgang damit sollte jedoch offen und transparent stattfinden. Unternehmen sollten auf die Fähigkeiten einer großen open community (Gemeinschaft aus interessierten Menschen, die kostenlos Hilfe anbieten) setzen und Fehler nicht verleugnen. Leider hat das Unternehmen hinter der Luca-App anders reagiert. Der Entwickler kommentierte die Ergebnisse mit recht abstrusen Antworten und verbreitete laut CCC-Sprecher Linus Neumann „zum Teil ehrverletzende Behauptungen“ über die Sicherheitsforscher.