Corona: Steigt endlich aus der Luca-App aus

Die Luca-App hat längst bewiesen, dass sie keiner braucht. Die Steuergeldergeschenke an Smudo & Co. müssen ein Ende haben.

Ein IMHO von veröffentlicht am
Notausgang aus der Luca-App
Notausgang aus der Luca-App (Bild: Pixabay/Montage: Golem.de)

In den nächsten Wochen laufen die Millionenverträge der Bundesländer mit der Luca-App aus. Entsprechend wird über eine Verlängerung diskutiert, denn noch haben sich viele Bundesländer nicht festgelegt. Dabei gibt es eigentlich gar nichts zu diskutieren. Die Fakten liegen auf der Hand: Die Luca-App war eine Verschwendung von rund 20 Millionen Euro Steuergeldern, die auf keinen Fall wiederholt werden sollte.

Inhalt:
  1. Corona: Steigt endlich aus der Luca-App aus
  2. Zu Risiken und Nebenwirkungen deinstallieren Sie die Luca-App

Anfang letzten Jahres ging auf einmal alles ganz schnell. Wegen Öffnungsperspektive und dem Glauben mit einer App, die von einem Rapper beworben wird, könnte alles wieder gut werden mit der Corona-Pandemie, kaufte ein Bundesland nach dem anderen Hals über Kopf die App. Für insgesamt besagte 20 Millionen Euro.

So hatte beispielsweise Michael Müller, der damals regierende Berliner Bürgermeister, nach einer Sitzung der Ministerpräsidenten erklärt: "Und ich sage hier klar: Wenn das nicht abschließend zu einem Ergebnis kommt in unserer Runde, mache ich es auf eigene Rechnung mit dieser App." Er wolle nicht mehr auf den Langsamsten warten. Fachliche Prüfung oder Ausschreibung? Fehlanzeige! Am 23. März erklärte er dann dem Senat, man habe eine Lizenz für 1,1 Millionen Euro erworben. In den anderen Bundesländern lief es ähnlich. Schnelles Geld für Smudo und Co.

Luca-App: Pleiten, Pech und Pannen

Doch dann kam, was kommen musste: Die von Smudo in etlichen Talk-Shows als Heilsbringer angepriesene Luca-App stellte sich als absolutes Desaster heraus. Schnell fanden Sicherheitsforscher heraus, dass sich mit einem Foto eines beliebigen Luca-Schlüsselanhängers, der parallel zur App verwendet werden kann, ein Bewegungsprofil der betroffenen Person auslesen lies. Zu diesem Zeitpunkt waren bereits mehr als 100.000 solcher Schlüsselanhänger im Umlauf. Zuvor hatten Sicherheitsforscher entdeckt, dass sich die Anhänger ohne Registrierung und mit beliebiger PIN nutzen ließen.

Stellenmarkt
  1. IT Support/1st Line Support (m/w/d)
    Olenex Edible Oils GmbH, Brake, Hamburg
  2. Assistenz IT/IT-Kaufmann (m/w/d)
    Partnerverbund Pyramide GmbH, Karlsruhe-Grötzingen
Detailsuche

Auch in der App selbst und in deren Backend wimmelte es nur so von Bugs und Sicherheitsproblemen. CCC-Mitglied Manuel Atug sammelte in einem Twitter-Thread die Probleme und kam binnen kürzester Zeit auf 250 Einträge. Der Sicherheitsforscher Marcus Mengs entdeckte eine Sicherheitslücke nach der anderen: Beispielsweise eine Code-Injection per Excel-Dateien, die beim Öffnen der Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen hätten führen können. Irgendwann gab Mengs frustriert auf: "Der Hersteller gibt mir keine Zeit, die Zusammenhänge zu dokumentieren, welche zu Sicherheitslücken im Code führen, und patcht stattdessen ständig Code mit neuen Fehlern nach."

Peinlich waren auch die öffentlichen Reaktionen der Luca-App-Macher auf die gefundenen Lücken. So behauptete Nexenio-Chef Pascal Hennig im Gespräch mit Golem.de, dass ein Angriff nicht möglich sei. In einer Stellungnahme behaupteten die Luca-Entwickler obendrein, dass die Möglichkeit einer Ausführung von Schadcode im behördlichen Umfeld nicht gegeben sei, da dort üblicherweise Office-Makros deaktiviert würden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Dabei beweist der Emotet-Befall mehrerer Behörden das Gegenteil, denn auch diese Schadsoftware setzte auf Makros. Letztlich sah sich das BSI genötigt, auf Twitter klarzustellen, dass Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden einer Makro-Ausführung, "keine ausreichende Sicherheitsmaßnahme" darstelle. Die anschließend von Luca eingespielten Patches lösten das Problem laut Mengs zudem unzureichend.

Das alles ist an Peinlichkeit kaum zu überbieten. Dabei waren dies bei weitem nicht die einzigen (Sicherheits-)Probleme und Peinlichkeiten bei der Luca-App. Beispielsweise wurde auch die lang angekündigte Veröffentlichung unter einer Open-Source-Lizenz komplett in den Sand gesetzt.

Experten fordern Bundesnotbremse, Politiker ignorieren das

Schon im März und im April 2021 warnten Datenschützer vor der Luca-App und der Chaos Computer Club (CCC) forderte eine Bundesnotbremse für die Lizenzierung der App durch die Länder. Kurz darauf warnten mehr als 70 Sicherheitsexperten zahlreicher Universitäten und Forschungsinstitute vor den Risiken der App bei der digitalen Kontaktnachverfolgung.

Doch 13 Länder hatten die App bereits gekauft und richteten die Corona-Regelungen nach der Luca-App aus. Alternativen jenseits von Papierlisten sind bis heute in vielen Bundesländern nicht vorgesehen, die Corona-Warn-App mit ihrer Check-In-Funktion meist nicht zugelassen. Erst im November forderte die Berliner Datenschutzbehörde, die Corona-Warn-App auch in Berlin zuzulassen.

Doch mittlerweile kommt etwas Bewegung in die App-Käufe - die zum Teil rechtswidrig und damit unwirksam sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu Risiken und Nebenwirkungen deinstallieren Sie die Luca-App 
  1. 1
  2. 2
  3.  


ACakut 17. Jan 2022

Nein, war zumindest in den meisten Bundesländern definitiv nicht so, weil man dort ja...

ACakut 17. Jan 2022

Hier sind reihenweise Quarantäne-Anordnungen amtlich zugestellt worden, deren...

plutoniumsulfat 15. Jan 2022

Und was ist der Nachteil daran für die Nachverfolgung? Wer die App nutzt, will ja gerade...

Termuellinator 15. Jan 2022

Naja, es war damals schon abzusehen, dass das nicht ganz koscher und vom Konzept her...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /