BSI: Innenministerium untersagt Überprüfung der Luca-App

Das BSI darf sich nicht den kompletten Quellcode der Luca-App anschauen. Eine Anfrage aus Hessen wurde vom Bundesinnenministerium abgelehnt.

Artikel veröffentlicht am ,
Die Luca-App wird weiterhin zur Kontaktnachverfolgung genutzt.
Die Luca-App wird weiterhin zur Kontaktnachverfolgung genutzt. (Bild: Friedhelm Greis/Golem.de)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf das Kontaktnachverfolgungssystem Luca nicht auf mögliche Sicherheitsmängel hin überprüfen. Das Bundesinnenministerium habe eine entsprechende Anfrage an die Behörde durch das Bundesland Hessen ausdrücklich abgelehnt, berichtet Der Spiegel. Hessen habe eine umfassende Prüfung der "Luca-App inklusive der dazugehörigen Systeminfrastruktur" angefordert. BSI und Innenministerium bestätigten auf Anfrage von Golem.de den Bericht.

Stellenmarkt
  1. (Senior) SAP Basis Administrator (m/w/d)
    OEDIV KG, verschiedene Standorte
  2. IT-Referent (w/m/d)
    Bundeskartellamt, Bonn
Detailsuche

In den vergangenen Monaten sind mehrere Sicherheitsmängel der Luca-App von externen Experten aufgedeckt worden. Dazu zählte eine Code-Injection per Excel-Dateien. Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.

Dem BSI sind jedoch die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu überprüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die Versionen der Luca-App von externen Anbietern testen. Auf Anfrage von Golem.de erklärte die Behörde dazu im vergangenen Juni: "Das BSI konzentriert seine Ressourcen weiterhin auf die intensive und entwicklungsbegleitende Prüfung der Corona-Warn-App. Diese leistet einen wertvollen Beitrag im Umgang mit der Coronapandemie und bietet viele nützliche Funktionen."

Das Innenministerium könnte dem BSI als untergeordnete Behörde jedoch entsprechende Anweisungen erteilen. Doch der Bund hat keine Lizenz der Luca-App erworben, sondern lediglich 13 Bundesländer. Darauf verwies laut Spiegel auch ein Ministeriumssprecher. Es stehe Bundesländern wie Hessen frei, entsprechende Prüfungen vom Hersteller der App zu verlangen. Für Quellcodeprüfungen oder Penetrationstests gebe es spezialisierte Firmen. Die Gewährleistung der IT-Sicherheit sei üblicherweise Gegenstand der Leistung des Herstellers.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. Airtable Grundlagen: virtueller Ein-Tages-Workshop
    31.08.2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    13./14.09.2022, virtuell
Weitere IT-Trainings

Ähnlich hatte sich die Berliner Senatsverwaltung für Gesundheit auf Anfrage von Golem.de geäußert. "Die Verantwortung für den sicheren Betrieb des Gesamtsystems obliegt dem Hersteller Culture4Life", hieß es im vergangenen Juni. Zudem setzt der Senat auf die Untersuchung des Quellcodes durch unabhängige Experten. Dadurch würden "Systemverbesserungen möglich und die digitale Kontaktnachverfolgung wird in Folge noch sicherer".

Nachtrag vom 17. August 2021, 17:25 Uhr

Das BSI bestätigte auf Anfrage von Golem.de die Entscheidung des Innenministeriums. "Das Land Hessen hat das BSI gebeten, eine umfassende Quellcode-Prüfung der Luca-Anwendung vorzunehmen. Der Bitte wurde nicht entsprochen. Bei der Luca-Anwendung handelt es sich um eine privatwirtschaftlich bereitgestellte Anwendung. Vertragspartner des Herstellers der Luca-Anwendung sind die Länder", teilte ein Sprecher mit.

Weiter hieß es: "Die Gewährleistung der IT-Sicherheit ist üblicherweise Gegenstand der Leistung des Herstellers. Dem Käufer steht es frei, hier weitergehende Zusicherungen, wie z. B. eine Quellcodeprüfung, im Rahmen seiner Vertragsgestaltung zu verlangen." Für Aufgaben wie Quellcodeprüfungen oder Penetrationstests gibt es zudem spezialisierte Firmen, die auch BSI-zertifiziert sein können. Hessen kann diese Leistung also vom Hersteller der Luca-Anwendung verlangen, der diese dann am Markt hinzukauft. Dies ist ein bewährtes Verfahren, das i.d.R. auch von Bundesbehörden genutzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Eheran 20. Aug 2021

Das ist gerade der Punkt: Manche können sich aufgrund von Allergien, Krankheiten...

NativesAlter 20. Aug 2021

Wäre es nur sein Leben, daß er/sie/es gefährdet, hätte damit keiner ein Problem. Leider...

tonictrinker 19. Aug 2021

Ich habe culture4life mal gesucht und bin auf Northdata gestoßen. Die stellen Firmen und...

AntonZietz 19. Aug 2021

...die ist "zu unsicher". Manuelle Liste (mit Personalausweisüberprüfung) oder Corona...



Aktuell auf der Startseite von Golem.de
Google Fonts
Abmahnungen an Webseitenbetreiber mit Google-Schriftarten

Nach einer Entscheidung des Landgerichts München erhalten Webseitenbetreiber mit eingebundenen Google Fonts vermehrt Abmahnungen.

Google Fonts: Abmahnungen an Webseitenbetreiber mit Google-Schriftarten
Artikel
  1. Programmiersprache: JSON-Erfinder will Javascript in Rente schicken
    Programmiersprache
    JSON-Erfinder will Javascript in Rente schicken

    Douglas Crockford, der Erfinder des Datenformats JSON und Mitentwickler von Javascript, findet, dass die Sprache in Rente geschickt werden sollte.

  2. Paw Patrol: US Space Force schickt Roboterhunde auf Patrouille
    Paw Patrol
    US Space Force schickt Roboterhunde auf Patrouille

    Die US Space Force wird einen hundeähnlichen Roboter von Ghost Robotics auf Patrouille schicken, um Personalkosten zu senken.

  3. Windows auf dem Mac: Parallels wird merklich teurer
    Windows auf dem Mac
    Parallels wird merklich teurer

    Parallels 18 bietet eine native Unterstützung für Windows 11 und eine bessere Ressourcenzuweisung. Allerdings wird die Software teurer.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: WD SSD 1TB m. Kühlkörper (PS5) 119,90€, MSI 29,5" 200 Hz 259€, LG QNED 75" 120 Hz 1.455,89€ • MindStar (XFX RX 6950 XT 999€, Gainward RTX 3070 559€) • Gigabyte Deals • Der beste Gaming-PC für 2.000€ • Apple Week bei Media Markt • be quiet! Deals [Werbung]
    •  /