Das Luca-Debakel

Logo der Luca-App auf einem Smartphone

Die Luca-App. Kaum jemand hat mittlerweile noch nicht von dieser App gehört, die zuerst von zahlreichen Politikern als großer Heilsbringer und Retter in der Pandemie gepriesen wurde. So wurde sie auch bereits zu Beginn massiv von Steuergeldern finanziert, bisher rund 20 Millionen Euro. [1]

Wenn der Staat soviel Geld seiner Bürger ausgibt, dann will das wohlüberlegt sein – oder sollte eigentlich. Tatsächlich aber wurden dabei Ausschreibungen umgangen, Datenschutzbedenken der Landesdatenschutzbeauftragten ignoriert und teilweise ohne Prüfung der technischen Daten einfach mal eine Million Euro investiert, wie das der regierende Bürgermeister Berlins Michael Müller getan hat. [2]

Aber nicht nur die Finanzierung lief kritikwürdig ab

Bereits kurz nach Bekanntgabe kamen erste Probleme auf. Dafür, dass die App nahezu komplett aus öffentlicher Hand finanziert wurde, weigerten sich die Entwickler anfangs den Quellcode zu veröffentlichen. Erst als der öffentliche Druck immer größer wurde, veröffentlichte man ihn endlich. Dabei entdeckte man schnell, dass dieser Teile von anderen Entwicklern ohne Quellenangaben enthielt. Doch das ist nur der Anfang des ganzen Dramas. Als nächstes versprachen das Entwicklerteam, die Validierung des Kontos in der App mittels SMS sei sicher, aber leider lässt sich diese leicht austricksen, so dass es sehr einfach ist, mehrere Fake-Accounts zu erstellen. Mit seinem Account kann man sich dann aber auch beliebig in alle möglichen Veranstaltungen einloggen, deren QR-Code man besitzt. Es reicht also wenn jemand den QR-Code im Netz teilt und plötzlich ist Jan Böhmermann um 0:40 Uhr als Michi Beck aus Berlin im Osnabrücker Zoo. [3] Das stellt den kompletten Nutzen der Luca-App für die Kontaktnachverfolgung ad absurdum, da man sich ja nie sicher sein kann, welche Personen tatsächlich in der entsprechenden Location waren und welche nicht.

Die größte Sicherheitslücke sind aber die Luca-Schlüsselanhänger mit QR-Code, welche die Nutzung des Luca-Systems auch ohne Smartphone ermöglichen soll. Jedoch ist es hier bereits ausreichend, wenn man in einem unaufmerksamen Moment ein Foto des QR-Codes macht und schon hat der- oder diejenige das komplette Bewegungsprofil der betroffenen Person. [4] Man müsse eben gut auf seinen Schlüsselanhänger aufpassen… Datenschutz at its best.

Als wären das nicht schon genug Gründe gegen eine Nutzung der App, ist sie auch noch nicht im mindesten barrierefrei und eine verpflichtende Nutzung wäre somit auch diskriminierend.

In einer Stellungnahme auf die Kritik des CCC wird diese als überzogen bezeichnet. Zum Einen sei die App ja kein “Heilsbringer” und zum Anderen habe man Probleme wie die SMS-Verifizierung und die Schlüsselanhänger nun behoben. Bei der Datenverarbeitung ist es aber weiterhin möglich die Geräte eindeutig zu identifizieren und die Check-Ins den Personen zuzuweisen. [5]

Alles in allem weist die Luca-App gravierende Datenschutzmängel auf und ist in ihrer Anwendung keinerlei Verbesserung gegenüber der bereits vorhandenen Corona-Warn-App. Hier wurden in einem Anflug von Übermotivation ohne vorherige Prüfung Steuergelder für einen angeblichen hochgepriesenen “Heilsbringer” verpulvert, die man andernorts sicherlich besser hätte einsetzen können. Das zeigt eindeutig, dass man in Zukunft unbedingt vermehrt auf Open-Source setzen muss, um solche Mängel schnell finden und beheben zu können.


[1]: https://netzpolitik.org/2021/digitale-kontaktverfolgung-fast-20-millionen-euro-fuer-luca/

[2]: https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse

[3]: https://www.golem.de/news/coronapandemie-luca-app-ermoeglicht-check-ins-von-beliebigen-orten-aus-2104-155530.html

[4]: https://netzpolitik.org/2021/sicherheitsluecke-bei-luca-schluesselanhaenger-mit-folgen/

[5]: https://www.golem.de/news/stellungnahme-entwickler-der-luca-app-bezeichnen-ccc-kritik-als-ueberzogen-2104-155763.html  https://www.luca-app.de/stellungnahme-zum-schreiben-des-ccc-vom-13-april-2021/


Kommentare

3 Kommentare zu Das Luca-Debakel

  1. CDU Wähler schrieb am

    Es will sich mir nicht erschließen warum denn die Piraten immer auf dieses sogenannte “OpenSource” setzen. Ja wenn das Programm für alle offenliegt, also nicht mehr durch das Urheberrecht geschützt ist dann kann doch jeder den Code verändern und Hacken. Wenn das so offen ist dann sieht doch der Hacker die Sicherheitslücke viel schneller. Das müsste doch eher nachteilig für den Datenschutz sein.

    Oder sehe ich das etwa falsch ?

    • LordJulius schrieb am

      Das kann durchaus sein, aber bei Open-Source findet man solche Sicherheitslücken auch schneller und kann sie schneller schließen. 100 Augen sehen eben mehr als 2 Augen. Grundsätzlich schafft man also eher mehr Sicherheit.

      • TDG schrieb am

        Dem 100 Augen Prinzip muss ich zustimmen, und wenn Hacker etws erreichen wollen erreichen sie es, da macht das OpenSource Prinzip wenig Unterschied. Relevant ist lediglich das diese Lücken gesichtet werden und bald geschlossen werden. Und Zeitgleich lässt sich durch dieses Prinzip das Vertrauen der Bürger gewinnen wenn alle die in der Lage sind den Code des Programms zu lesen, keine Ausnutzung oder keine korriosen sockets zu irgendwelchen unerklärbaren Servern vorliegen. Alles in allem ist es aus aller Sicht korrekt. Die Daten der bürger werden angeblich nur gespeichert und solange man sie nicht freigibt hat sie niemand sonst. Nur ob das auch so ist, oder im Hinergrund durch evntl. Backdoors die Daten doch verschickt werden, ob n ur Statistiken oder gar Standort, Anmeldedaten und etc lässt sich nur duch OpenSource “WEG”-zwingen.. TDG

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht öffentlich angezeigt. Verbindlich einzugebende Felder werden mit diesem Zeichen kenntlich gemacht: *

Weitere Informationen

Archiv aller Artikel