Corona: Steigt endlich aus der Luca-App aus

Die Luca-App hat längst bewiesen, dass sie keiner braucht. Die Steuergeldergeschenke an Smudo & Co. müssen ein Ende haben.

Ein IMHO von veröffentlicht am
Notausgang aus der Luca-App
Notausgang aus der Luca-App (Bild: Pixabay/Montage: Golem.de)

In den nächsten Wochen laufen die Millionenverträge der Bundesländer mit der Luca-App aus. Entsprechend wird über eine Verlängerung diskutiert, denn noch haben sich viele Bundesländer nicht festgelegt. Dabei gibt es eigentlich gar nichts zu diskutieren. Die Fakten liegen auf der Hand: Die Luca-App war eine Verschwendung von rund 20 Millionen Euro Steuergeldern, die auf keinen Fall wiederholt werden sollte.

Inhalt:
  1. Corona: Steigt endlich aus der Luca-App aus
  2. Zu Risiken und Nebenwirkungen deinstallieren Sie die Luca-App

Anfang letzten Jahres ging auf einmal alles ganz schnell. Wegen Öffnungsperspektive und dem Glauben mit einer App, die von einem Rapper beworben wird, könnte alles wieder gut werden mit der Corona-Pandemie, kaufte ein Bundesland nach dem anderen Hals über Kopf die App. Für insgesamt besagte 20 Millionen Euro.

So hatte beispielsweise Michael Müller, der damals regierende Berliner Bürgermeister, nach einer Sitzung der Ministerpräsidenten erklärt: "Und ich sage hier klar: Wenn das nicht abschließend zu einem Ergebnis kommt in unserer Runde, mache ich es auf eigene Rechnung mit dieser App." Er wolle nicht mehr auf den Langsamsten warten. Fachliche Prüfung oder Ausschreibung? Fehlanzeige! Am 23. März erklärte er dann dem Senat, man habe eine Lizenz für 1,1 Millionen Euro erworben. In den anderen Bundesländern lief es ähnlich. Schnelles Geld für Smudo und Co.

Luca-App: Pleiten, Pech und Pannen

Doch dann kam, was kommen musste: Die von Smudo in etlichen Talk-Shows als Heilsbringer angepriesene Luca-App stellte sich als absolutes Desaster heraus. Schnell fanden Sicherheitsforscher heraus, dass sich mit einem Foto eines beliebigen Luca-Schlüsselanhängers, der parallel zur App verwendet werden kann, ein Bewegungsprofil der betroffenen Person auslesen lies. Zu diesem Zeitpunkt waren bereits mehr als 100.000 solcher Schlüsselanhänger im Umlauf. Zuvor hatten Sicherheitsforscher entdeckt, dass sich die Anhänger ohne Registrierung und mit beliebiger PIN nutzen ließen.

Stellenmarkt
  1. Consultant (m/w/d) ÖPNV Softwarelösungen / -support
    Rhein-Main-Verkehrsverbund Servicegesellschaft mbH, Frankfurt
  2. Sachbearbeiter*in IT- und Datensicherheit (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
Detailsuche

Auch in der App selbst und in deren Backend wimmelte es nur so von Bugs und Sicherheitsproblemen. CCC-Mitglied Manuel Atug sammelte in einem Twitter-Thread die Probleme und kam binnen kürzester Zeit auf 250 Einträge. Der Sicherheitsforscher Marcus Mengs entdeckte eine Sicherheitslücke nach der anderen: Beispielsweise eine Code-Injection per Excel-Dateien, die beim Öffnen der Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen hätten führen können. Irgendwann gab Mengs frustriert auf: "Der Hersteller gibt mir keine Zeit, die Zusammenhänge zu dokumentieren, welche zu Sicherheitslücken im Code führen, und patcht stattdessen ständig Code mit neuen Fehlern nach."

Peinlich waren auch die öffentlichen Reaktionen der Luca-App-Macher auf die gefundenen Lücken. So behauptete Nexenio-Chef Pascal Hennig im Gespräch mit Golem.de, dass ein Angriff nicht möglich sei. In einer Stellungnahme behaupteten die Luca-Entwickler obendrein, dass die Möglichkeit einer Ausführung von Schadcode im behördlichen Umfeld nicht gegeben sei, da dort üblicherweise Office-Makros deaktiviert würden.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Dabei beweist der Emotet-Befall mehrerer Behörden das Gegenteil, denn auch diese Schadsoftware setzte auf Makros. Letztlich sah sich das BSI genötigt, auf Twitter klarzustellen, dass Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden einer Makro-Ausführung, "keine ausreichende Sicherheitsmaßnahme" darstelle. Die anschließend von Luca eingespielten Patches lösten das Problem laut Mengs zudem unzureichend.

Das alles ist an Peinlichkeit kaum zu überbieten. Dabei waren dies bei weitem nicht die einzigen (Sicherheits-)Probleme und Peinlichkeiten bei der Luca-App. Beispielsweise wurde auch die lang angekündigte Veröffentlichung unter einer Open-Source-Lizenz komplett in den Sand gesetzt.

Experten fordern Bundesnotbremse, Politiker ignorieren das

Schon im März und im April 2021 warnten Datenschützer vor der Luca-App und der Chaos Computer Club (CCC) forderte eine Bundesnotbremse für die Lizenzierung der App durch die Länder. Kurz darauf warnten mehr als 70 Sicherheitsexperten zahlreicher Universitäten und Forschungsinstitute vor den Risiken der App bei der digitalen Kontaktnachverfolgung.

Doch 13 Länder hatten die App bereits gekauft und richteten die Corona-Regelungen nach der Luca-App aus. Alternativen jenseits von Papierlisten sind bis heute in vielen Bundesländern nicht vorgesehen, die Corona-Warn-App mit ihrer Check-In-Funktion meist nicht zugelassen. Erst im November forderte die Berliner Datenschutzbehörde, die Corona-Warn-App auch in Berlin zuzulassen.

Doch mittlerweile kommt etwas Bewegung in die App-Käufe - die zum Teil rechtswidrig und damit unwirksam sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu Risiken und Nebenwirkungen deinstallieren Sie die Luca-App 
  1. 1
  2. 2
  3.  


ACakut 17. Jan 2022 / Themenstart

Nein, war zumindest in den meisten Bundesländern definitiv nicht so, weil man dort ja...

ACakut 17. Jan 2022 / Themenstart

Hier sind reihenweise Quarantäne-Anordnungen amtlich zugestellt worden, deren...

plutoniumsulfat 15. Jan 2022 / Themenstart

Und was ist der Nachteil daran für die Nachverfolgung? Wer die App nutzt, will ja gerade...

Termuellinator 15. Jan 2022 / Themenstart

Naja, es war damals schon abzusehen, dass das nicht ganz koscher und vom Konzept her...

valoofn 15. Jan 2022 / Themenstart

Stimmt, aber man hat ihn dann auch nicht gleich als Feuerwehrmann losgeschickt um...

Kommentieren



Aktuell auf der Startseite von Golem.de
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig

Naomi Wu wird in der Maker-Szene für ihr Fachwissen geschätzt. Youtube demonetarisiert sie aber wohl wegen ihrer Körperproportionen.

Naomi SexyCyborg Wu: Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Artikel
  1. Quartalsbericht: Apples Gewinn stellt alles in den Schatten
    Quartalsbericht
    Apples Gewinn stellt alles in den Schatten

    Apple erwirtschaftet im letzten Quartal des Vorjahres einen Gewinn von 34,6 Milliarden US-Dollar. Und das trotz Chipkrise und weiteren Lieferengpässen.

  2. Coronapandemie: 42,6 Millionen mehr digitale Impfzertifikate als Impfdosen
    Coronapandemie
    42,6 Millionen mehr digitale Impfzertifikate als Impfdosen

    Einem Medienbericht zufolge gibt es eine Lücke zwischen ausgestellten Impfnachweisen und verabreichten Dosen. Diese wird sogar noch größer.

  3. Akamai: Steigende Nachfrage für illegale Kopien von Filmen
    Akamai
    Steigende Nachfrage für illegale Kopien von Filmen

    Durch die vielen neuen Streaming-Dienste ist illegales Filesharing wieder stark im Kommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RX 6900 XTU 16GB 1.449€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Acer Gaming-Monitor 119,90€ • Logitech Gaming-Headset 75€ • iRobot Saugroboter ab 289,99€ • 1TB SSD PCIe 4.0 128,07€ • Razer Gaming-Tastatur 155€ • GOG New Year Sale: bis zu 90% Rabatt • LG OLED 65 Zoll 1.599€ [Werbung]
    •  /