BSI: Innenministerium untersagt Überprüfung der Luca-App

Das BSI darf sich nicht den kompletten Quellcode der Luca-App anschauen. Eine Anfrage aus Hessen wurde vom Bundesinnenministerium abgelehnt.

Artikel veröffentlicht am ,
Die Luca-App wird weiterhin zur Kontaktnachverfolgung genutzt.
Die Luca-App wird weiterhin zur Kontaktnachverfolgung genutzt. (Bild: Friedhelm Greis/Golem.de)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf das Kontaktnachverfolgungssystem Luca nicht auf mögliche Sicherheitsmängel hin überprüfen. Das Bundesinnenministerium habe eine entsprechende Anfrage an die Behörde durch das Bundesland Hessen ausdrücklich abgelehnt, berichtet Der Spiegel. Hessen habe eine umfassende Prüfung der "Luca-App inklusive der dazugehörigen Systeminfrastruktur" angefordert. BSI und Innenministerium bestätigten auf Anfrage von Golem.de den Bericht.

Stellenmarkt
  1. Referent PMO mit Fokus Terminplanung und Projektsteuerung (m/w/d)
    TenneT TSO GmbH, Bayreuth
  2. IT Service Delivery Manager (m/w/d)
    nora systems GmbH, Weinheim
Detailsuche

In den vergangenen Monaten sind mehrere Sicherheitsmängel der Luca-App von externen Experten aufgedeckt worden. Dazu zählte eine Code-Injection per Excel-Dateien. Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.

Dem BSI sind jedoch die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu überprüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die Versionen der Luca-App von externen Anbietern testen. Auf Anfrage von Golem.de erklärte die Behörde dazu im vergangenen Juni: "Das BSI konzentriert seine Ressourcen weiterhin auf die intensive und entwicklungsbegleitende Prüfung der Corona-Warn-App. Diese leistet einen wertvollen Beitrag im Umgang mit der Coronapandemie und bietet viele nützliche Funktionen."

Das Innenministerium könnte dem BSI als untergeordnete Behörde jedoch entsprechende Anweisungen erteilen. Doch der Bund hat keine Lizenz der Luca-App erworben, sondern lediglich 13 Bundesländer. Darauf verwies laut Spiegel auch ein Ministeriumssprecher. Es stehe Bundesländern wie Hessen frei, entsprechende Prüfungen vom Hersteller der App zu verlangen. Für Quellcodeprüfungen oder Penetrationstests gebe es spezialisierte Firmen. Die Gewährleistung der IT-Sicherheit sei üblicherweise Gegenstand der Leistung des Herstellers.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Ähnlich hatte sich die Berliner Senatsverwaltung für Gesundheit auf Anfrage von Golem.de geäußert. "Die Verantwortung für den sicheren Betrieb des Gesamtsystems obliegt dem Hersteller Culture4Life", hieß es im vergangenen Juni. Zudem setzt der Senat auf die Untersuchung des Quellcodes durch unabhängige Experten. Dadurch würden "Systemverbesserungen möglich und die digitale Kontaktnachverfolgung wird in Folge noch sicherer".

Nachtrag vom 17. August 2021, 17:25 Uhr

Das BSI bestätigte auf Anfrage von Golem.de die Entscheidung des Innenministeriums. "Das Land Hessen hat das BSI gebeten, eine umfassende Quellcode-Prüfung der Luca-Anwendung vorzunehmen. Der Bitte wurde nicht entsprochen. Bei der Luca-Anwendung handelt es sich um eine privatwirtschaftlich bereitgestellte Anwendung. Vertragspartner des Herstellers der Luca-Anwendung sind die Länder", teilte ein Sprecher mit.

Weiter hieß es: "Die Gewährleistung der IT-Sicherheit ist üblicherweise Gegenstand der Leistung des Herstellers. Dem Käufer steht es frei, hier weitergehende Zusicherungen, wie z. B. eine Quellcodeprüfung, im Rahmen seiner Vertragsgestaltung zu verlangen." Für Aufgaben wie Quellcodeprüfungen oder Penetrationstests gibt es zudem spezialisierte Firmen, die auch BSI-zertifiziert sein können. Hessen kann diese Leistung also vom Hersteller der Luca-Anwendung verlangen, der diese dann am Markt hinzukauft. Dies ist ein bewährtes Verfahren, das i.d.R. auch von Bundesbehörden genutzt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Eheran 20. Aug 2021

Das ist gerade der Punkt: Manche können sich aufgrund von Allergien, Krankheiten...

NativesAlter 20. Aug 2021

Wäre es nur sein Leben, daß er/sie/es gefährdet, hätte damit keiner ein Problem. Leider...

tonictrinker 19. Aug 2021

Ich habe culture4life mal gesucht und bin auf Northdata gestoßen. Die stellen Firmen und...

AntonZietz 19. Aug 2021

...die ist "zu unsicher". Manuelle Liste (mit Personalausweisüberprüfung) oder Corona...

Tango 18. Aug 2021

Ist schon in Ordnung, dass nicht jeder den Sourcecode einfach so einsehen darf. Aber die...



Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  2. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /