• IT-Karriere:
  • Services:

Luca-App: Datenschützer warnen vor Gefahr durch zentrale Speicherung

Die Datenschutzbeauftragten fordern gesetzliche Vorgaben zur digitalen Kontaktverfolgung in der Corona-Pandemie. Die Luca-App sehen sie kritisch.

Artikel veröffentlicht am ,
Datenschützer sehen das Konzept der Luca-App kritisch.
Datenschützer sehen das Konzept der Luca-App kritisch. (Bild: Martin Wolf/Golem.de)

Die Datenschutzbeauftragten von Bund und Ländern warnen vor einer "schweren Beeinträchtigung" für den Einzelnen und die Gesellschaft durch zentral gespeicherte Daten zur Kontaktnachverfolgung. Das geht aus einer Stellungnahme der Datenschutzkonferenz (DSK) zur "Kontaktnachverfolgung in Zeiten der Coronapandemie" hervor. Konkret betrifft die Warnung die sogenannte Luca-App, die bereits in zahlreichen Bundesländern zum Einsatz kommt.

Stellenmarkt
  1. Landeshauptstadt München, München
  2. targens GmbH, Frankfurt, Stuttgart, München

Prinzipiell befürworten die Datenschutzbeauftragten in der dreiseitigen Stellungnahme (PDF) vom 26. März 2021 digitale Lösungen anstelle von handschriftlichen Listen und Zetteln. "Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten."

Es fehle aber an gesetzlichen Regelungen für eine bundesweit einheitliche datensparsame digitale Infektionsnachverfolgung. Daher seien "bundeseinheitliche normenklare Vorgaben" erforderlich.

Ende-zu-Ende-Verschlüsselung gefordert

Ideal sei dabei eine Ende-zu-Ende-Verschlüsselung der Daten, so "dass auch der Betreiber des Kontaktnachverfolgungssystems sie nicht lesen kann". Ein gutes System stelle darüber hinaus automatisiert die fristgemäße und datenschutzkonforme Datenlöschung sicher. Eine strenge Zweckbindung müsse von den Systembetreibern "durch technische und organisatorische Maßnahmen abgesichert werden".

Nach Ansicht der DSK hat die Luca-App des Berliner Anbieters Nexenio zwar die Vorteile digitaler Lösungen umgesetzt, bisher identifizierte Risiken aber nur "teilweise behandelt". Daher werde das Unternehmen aufgefordert, "weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen".

Sicherheitsforscher sehen "hohes Risiko"

Kritisch wird vor allem die zentrale Speicherung der Nutzerdaten durch den Betreiber gesehen. Dort werde eine große Zahl von Informationen über die Anwesenheit von Bürgern in Einrichtungen verschiedenster Art und über ihre Teilnahme an Veranstaltungen unterschiedlichster Natur vorgehalten. "Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen", schreibt die DSK.

  • Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
  • Die Luca-App verwendet dazu die Verschlüsselungsverfahren AES 128 CTR und HMAC SHA-256. (Grafik: Luca App/Screenshot: Golem.de)
  • Es gibt nur einen Tagesschlüssel für alle Gesundheitsämter, der die Kontaktdaten verschlüsselt. (Grafik: Luca App/Screenshot: Golem.de)
  • Die infizierte Person leitet die Daten freiwillig an das Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Luca gibt die Daten zu einzelnen Veranstaltungen an das anfragende Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Die verwendeten kryptographischen Verfahren (Grafik: Luca App/Screenshot: Golem.de)
  • Der Quellcode der App soll Ende März 2021 veröffentlicht werden. (Grafik: Luca App/Screenshot: Golem.de)
Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)

Sicherheitsforscher der Schweizer Universität Lausanne und der niederländischen Universität Radboud waren in einer Untersuchung ebenfalls zu dem Schluss gekommen, dass die zentrale Datenspeicherung auf dem Luca-Server ein "hohes Risiko" darstelle. "Das Sicherheitskonzept basiert ausschließlich auf Verfahrenskontrollen und erfordert volles Vertrauen in den Luca-Dienstbetreiber, die Protokolle genau zu befolgen", heißt es in dem Papier vom 23. März 2021 (PDF).

Systematischer Sicherheitsnachweis erforderlich

Bei der Luca-App werden die Kontaktdaten der Nutzer doppelt verschlüsselt: Von den Veranstaltern mit einem individuellen Schlüssel sowie mit einem täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann. Die Schlüsselverwaltung wird von den Betreibern der Luca-App, der Culture4life GmbH, übernommen. "Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann", schreibt die DSK.

Oster-Angebote bei Amazon bis zum 31. März.

Für die Veranstalter sei schwierig zu überprüfen, ob eine Anforderung zur Entschlüsselung berechtigt erfolge, "so dass sie dazu gebracht werden könnten, Daten ohne legitime Anforderung zu entschlüsseln". Die Datenschutzbeauftragten warnen daher: "Ein erfolgreicher Angriff auf die Systeme der Culture4life GmbH kann daher die Sicherheit des Gesamtsystems in Gefahr bringen."

Eine bessere Einschätzung von der Sicherheit des Systems erhofft sich die DSK von der angekündigten Offenlegung des Quellcodes der App. "Die jüngst bekanntgewordene Fehlfunktion in der Rufnummernüberprüfung unterstreicht allerdings, dass eine systematische Überprüfung auf die Einhaltung grundlegender Sicherheitsprinzipien für die Programmierung von Internetdiensten erfolgen muss", hieß es weiter. Für zentral betriebene Dienste wie die Luca-App sei ein systematischer Nachweis der Sicherheit des Systems unerlässlich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Super Seducer 3 - Uncensored Edition für 10,79€, Total War: Rome - Remastered für 26...
  2. 399,99€
  3. 564,96€
  4. (u. a. Biturbo Akku-Winkelschleifer GWX für 233,98€, Schlagbohrschrauber GSB für 156,99€)

ErwinL 12. Apr 2021 / Themenstart

Bis heute gibt es keine Datenschutzfolgenabschätzung für die App weil man sich noch nicht...

BlindSeer 31. Mär 2021 / Themenstart

Selbst wenn sie sich regional unterscheiden darf man nciht die Sogwirkung vergessen, wenn...

BlindSeer 31. Mär 2021 / Themenstart

Würde ich so bestätigen. Bei und im direktem Umfeld hat der IT-affine Kreis...

MoGas 31. Mär 2021 / Themenstart

Folgende Situation 1. Ich lade mir Luca runter 2. Ich gehe in mehrere Restaurants mit...

gumnade 30. Mär 2021 / Themenstart

Das weiß ich, deshalb will ich das ja ad absurdum führen.

Kommentieren


Folgen Sie uns
       


It Takes Two - Fazit

Nur für zwei: Das Action-Adventure It Takes Two schickt ein geschrumpftes Paar in eine herausfordernde und herzerwärmende Romantic Comedy.

It Takes Two - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /