BSI: Innenministerium untersagt Überprüfung der Luca-App

Das BSI darf sich nicht den kompletten Quellcode der Luca-App anschauen. Eine Anfrage aus Hessen wurde vom Bundesinnenministerium abgelehnt.

Artikel veröffentlicht am ,
Die Luca-App wird weiterhin zur Kontaktnachverfolgung genutzt.
Die Luca-App wird weiterhin zur Kontaktnachverfolgung genutzt. (Bild: Friedhelm Greis/Golem.de)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf das Kontaktnachverfolgungssystem Luca nicht auf mögliche Sicherheitsmängel hin überprüfen. Das Bundesinnenministerium habe eine entsprechende Anfrage an die Behörde durch das Bundesland Hessen ausdrücklich abgelehnt, berichtet Der Spiegel. Hessen habe eine umfassende Prüfung der "Luca-App inklusive der dazugehörigen Systeminfrastruktur" angefordert. BSI und Innenministerium bestätigten auf Anfrage von Golem.de den Bericht.

Stellenmarkt
  1. Abteilungsleiter Softwareentwicklung (m/w/d)
    ESPERA-Werke GmbH, Duisburg
  2. SAP ABAP Entwickler (m/w/x)
    über duerenhoff GmbH, Berlin
Detailsuche

In den vergangenen Monaten sind mehrere Sicherheitsmängel der Luca-App von externen Experten aufgedeckt worden. Dazu zählte eine Code-Injection per Excel-Dateien. Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.

Dem BSI sind jedoch die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu überprüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die Versionen der Luca-App von externen Anbietern testen. Auf Anfrage von Golem.de erklärte die Behörde dazu im vergangenen Juni: "Das BSI konzentriert seine Ressourcen weiterhin auf die intensive und entwicklungsbegleitende Prüfung der Corona-Warn-App. Diese leistet einen wertvollen Beitrag im Umgang mit der Coronapandemie und bietet viele nützliche Funktionen."

Das Innenministerium könnte dem BSI als untergeordnete Behörde jedoch entsprechende Anweisungen erteilen. Doch der Bund hat keine Lizenz der Luca-App erworben, sondern lediglich 13 Bundesländer. Darauf verwies laut Spiegel auch ein Ministeriumssprecher. Es stehe Bundesländern wie Hessen frei, entsprechende Prüfungen vom Hersteller der App zu verlangen. Für Quellcodeprüfungen oder Penetrationstests gebe es spezialisierte Firmen. Die Gewährleistung der IT-Sicherheit sei üblicherweise Gegenstand der Leistung des Herstellers.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Ähnlich hatte sich die Berliner Senatsverwaltung für Gesundheit auf Anfrage von Golem.de geäußert. "Die Verantwortung für den sicheren Betrieb des Gesamtsystems obliegt dem Hersteller Culture4Life", hieß es im vergangenen Juni. Zudem setzt der Senat auf die Untersuchung des Quellcodes durch unabhängige Experten. Dadurch würden "Systemverbesserungen möglich und die digitale Kontaktnachverfolgung wird in Folge noch sicherer".

Nachtrag vom 17. August 2021, 17:25 Uhr

Das BSI bestätigte auf Anfrage von Golem.de die Entscheidung des Innenministeriums. "Das Land Hessen hat das BSI gebeten, eine umfassende Quellcode-Prüfung der Luca-Anwendung vorzunehmen. Der Bitte wurde nicht entsprochen. Bei der Luca-Anwendung handelt es sich um eine privatwirtschaftlich bereitgestellte Anwendung. Vertragspartner des Herstellers der Luca-Anwendung sind die Länder", teilte ein Sprecher mit.

Weiter hieß es: "Die Gewährleistung der IT-Sicherheit ist üblicherweise Gegenstand der Leistung des Herstellers. Dem Käufer steht es frei, hier weitergehende Zusicherungen, wie z. B. eine Quellcodeprüfung, im Rahmen seiner Vertragsgestaltung zu verlangen." Für Aufgaben wie Quellcodeprüfungen oder Penetrationstests gibt es zudem spezialisierte Firmen, die auch BSI-zertifiziert sein können. Hessen kann diese Leistung also vom Hersteller der Luca-Anwendung verlangen, der diese dann am Markt hinzukauft. Dies ist ein bewährtes Verfahren, das i.d.R. auch von Bundesbehörden genutzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Eheran 20. Aug 2021 / Themenstart

Das ist gerade der Punkt: Manche können sich aufgrund von Allergien, Krankheiten...

NativesAlter 20. Aug 2021 / Themenstart

Wäre es nur sein Leben, daß er/sie/es gefährdet, hätte damit keiner ein Problem. Leider...

tonictrinker 19. Aug 2021 / Themenstart

Ich habe culture4life mal gesucht und bin auf Northdata gestoßen. Die stellen Firmen und...

AntonZietz 19. Aug 2021 / Themenstart

...die ist "zu unsicher". Manuelle Liste (mit Personalausweisüberprüfung) oder Corona...

Tango 18. Aug 2021 / Themenstart

Ist schon in Ordnung, dass nicht jeder den Sourcecode einfach so einsehen darf. Aber die...

Kommentieren



Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  2. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

  3. Abonnenten verunsichert: Apple hat Hörbücher aus Apple Music entfernt
    Abonnenten verunsichert
    Apple hat Hörbücher aus Apple Music entfernt

    Wer mit einem Musikstreamingabo Hörbücher hören will, muss von Apple Music zu Deezer, Spotify oder einem anderen Anbieter wechseln.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /