BSI: Innenministerium untersagt Überprüfung der Luca-App

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf das Kontaktnachverfolgungssystem Luca nicht auf mögliche Sicherheitsmängel hin überprüfen. Das Bundesinnenministerium habe eine entsprechende Anfrage an die Behörde durch das Bundesland Hessen ausdrücklich abgelehnt, berichtet Der Spiegel. Hessen habe eine umfassende Prüfung der "Luca-App inklusive der dazugehörigen Systeminfrastruktur" angefordert. BSI und Innenministerium bestätigten auf Anfrage von Golem.de den Bericht.

In den vergangenen Monaten sind mehrere Sicherheitsmängel der Luca-App von externen Experten aufgedeckt worden. Dazu zählte eine Code-Injection per Excel-Dateien. Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.

Dem BSI sind jedoch die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu überprüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die Versionen der Luca-App von externen Anbietern testen. Auf Anfrage von Golem.de erklärte die Behörde dazu im vergangenen Juni: "Das BSI konzentriert seine Ressourcen weiterhin auf die intensive und entwicklungsbegleitende Prüfung der Corona-Warn-App. Diese leistet einen wertvollen Beitrag im Umgang mit der Coronapandemie und bietet viele nützliche Funktionen."

Das Innenministerium könnte dem BSI als untergeordnete Behörde jedoch entsprechende Anweisungen erteilen. Doch der Bund hat keine Lizenz der Luca-App erworben, sondern lediglich 13 Bundesländer. Darauf verwies laut Spiegel auch ein Ministeriumssprecher. Es stehe Bundesländern wie Hessen frei, entsprechende Prüfungen vom Hersteller der App zu verlangen. Für Quellcodeprüfungen oder Penetrationstests gebe es spezialisierte Firmen. Die Gewährleistung der IT-Sicherheit sei üblicherweise Gegenstand der Leistung des Herstellers.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ähnlich hatte sich die Berliner Senatsverwaltung für Gesundheit auf Anfrage von Golem.de geäußert. "Die Verantwortung für den sicheren Betrieb des Gesamtsystems obliegt dem Hersteller Culture4Life", hieß es im vergangenen Juni. Zudem setzt der Senat auf die Untersuchung des Quellcodes durch unabhängige Experten. Dadurch würden "Systemverbesserungen möglich und die digitale Kontaktnachverfolgung wird in Folge noch sicherer".

Nachtrag vom 17. August 2021, 17:25 Uhr

Das BSI bestätigte auf Anfrage von Golem.de die Entscheidung des Innenministeriums. "Das Land Hessen hat das BSI gebeten, eine umfassende Quellcode-Prüfung der Luca-Anwendung vorzunehmen. Der Bitte wurde nicht entsprochen. Bei der Luca-Anwendung handelt es sich um eine privatwirtschaftlich bereitgestellte Anwendung. Vertragspartner des Herstellers der Luca-Anwendung sind die Länder", teilte ein Sprecher mit.

Weiter hieß es: "Die Gewährleistung der IT-Sicherheit ist üblicherweise Gegenstand der Leistung des Herstellers. Dem Käufer steht es frei, hier weitergehende Zusicherungen, wie z. B. eine Quellcodeprüfung, im Rahmen seiner Vertragsgestaltung zu verlangen." Für Aufgaben wie Quellcodeprüfungen oder Penetrationstests gibt es zudem spezialisierte Firmen, die auch BSI-zertifiziert sein können. Hessen kann diese Leistung also vom Hersteller der Luca-Anwendung verlangen, der diese dann am Markt hinzukauft. Dies ist ein bewährtes Verfahren, das i.d.R. auch von Bundesbehörden genutzt wird.