Sicherheitsforscher: Risiken der Luca-App "völlig unverhältnismäßig"
70 Sicherheitsforschende haben eine gemeinsame Stellungnahme veröffentlicht, in der sie der Luca-App weder Nutzen noch Sicherheit zusprechen.
Viel Geld für wenig Nutzen und große Risiken – so lässt sich die Stellungnahme zur Luca-App von 70 Sicherheitsforschenden zusammenfassen. Sie fordern eine Rückbesinnung auf die bestehenden, dezentralen Lösungen wie die Corona-Warn-App. Digitale Werkzeuge seien bei der Kontaktverfolgung zu befürworten – jedoch nur unter Einhaltung der bereits seit einem Jahr festgelegten Grundprinzipien: Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung.
Laut der Unterzeichnenden erfülle die Luca-App keine der Kriterien, die eine solche App brauche. Statt einer Zweckbindung seien bereits weitere Geschäftsmodelle diskutiert worden. Die Macher der App sind ein Privatunternehmen mit Gewinnerzielungsabsicht. Die gesammelten Daten seien nicht sicher. Auch andere große Unternehmen könnten die Systeme kaum absichern. "Es ist nicht zu erwarten, dass dies einem Start-Up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendem Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte", heißt es in der Stellungnahme.
Das System sei intransparent entwickelt worden und kam mit leicht zu findenden Sicherheitslücken. "Wird die App Voraussetzung, um am öffentlichen Leben teilnehmen zu können oder gar von Corona-Schutzverordnungen vorgegeben, ist die Freiwilligkeit nicht gegeben, da ein de facto Nutzungszwang entsteht."
Der Nutzen bleibe zweifelhaft, weil die digitale Erfassung von Papierlisten weiterhin in den Gesundheitsämtern manuell ausgewertet werden. Da die Luca-App falsche und manipulierte Anmeldungen leicht macht, könne die Belastung der Gesundheitsämter sogar noch zunehmen.
Viel Geld für wenig Einsatz
Mehrere Bundesländer haben die Luca-App bereits mehr als 20 Millionen Euro eingekauft. Sie erhoffen sich eine bessere Kontaktnachverfolgung und damit einhergehend Möglichkeiten zur Öffnung von Restaurants, Theatern und Geschäften. Diese Versprechen können jedoch bisher nicht eingehalten werden.
Vorwürfe gegen die Macher bestehen unter anderem, weil einige Sicherheitslücken auftauchten. Angreifer konnten durch den Luca-Schlüsselanhänger etwa Bewegungsprofile auslesen. Neben den Schwachstellen gibt es Kritik, da Teile des Codes übernommen worden sein sollen, ohne dies entsprechend zu markieren.
[Update 29.04.2021 13.55 Uhr] Die Luca-Macher äußern Bedauern, dass sie erst aus der Presse von der Stellungnahme der Sicherheitsforscher erfahren haben. Sie wollen sich mit den Vorwürfen auseinandersetzen und dann ausführlich Stellung beziehen.
Zunächst gehen sie auf die vier Kriterien ein. Da heißt es, dass die Zweckbindung in der DSGVO geregelt sei – und nur der Kontaktnachverfolgung durch die Gesundheitsämter diene. Der Quellcode aller Komponenten sei transparent. Die Freiwilligkeit der Nutzung sei in den Verordnungen der Bundesländer vorgesehen. Zum Thema Risikoabwägung verweisen die Macher, Culture4Life, auf Stellungnahmen von Wissenschaftlern und eine vom ifo Institut, in denen die Wichtigkeit der Kontaktnachverfolgung betont wird.
Dies wird von den Sicherheitsforschern gar nicht in Abrede gestellt – ganz im Gegenteil fordern auch sie eine Nachverfolgung. Sie wenden sich allerdings gegen die Nutzung der Luca-App für die Kontaktverfolgung und begründen dies mit den Schwachstellen des Systems, und der einhergehenden Probleme für die Gesundheitsämter. Auch sprechen sie von einem "de facto" Nutzungszwang und nicht davon, dass dieser in Verordnungen niedergeschrieben sei.
(emw)