Luca-App: Datenschützer warnen vor Gefahr durch zentrale Speicherung

Die Datenschutzbeauftragten fordern gesetzliche Vorgaben zur digitalen Kontaktverfolgung in der Corona-Pandemie. Die Luca-App sehen sie kritisch.

Artikel veröffentlicht am ,
Datenschützer sehen das Konzept der Luca-App kritisch.
Datenschützer sehen das Konzept der Luca-App kritisch. (Bild: Martin Wolf/Golem.de)

Die Datenschutzbeauftragten von Bund und Ländern warnen vor einer "schweren Beeinträchtigung" für den Einzelnen und die Gesellschaft durch zentral gespeicherte Daten zur Kontaktnachverfolgung. Das geht aus einer Stellungnahme der Datenschutzkonferenz (DSK) zur "Kontaktnachverfolgung in Zeiten der Coronapandemie" hervor. Konkret betrifft die Warnung die sogenannte Luca-App, die bereits in zahlreichen Bundesländern zum Einsatz kommt.

Stellenmarkt
  1. Remote Product Quality Specialist (m/w/d)
    Scrum Masters GmbH, deutschlandweit (Home-Office)
  2. IT-PrüferIn (m/w/d)
    Landkreis Dahme-Spreewald, Lübben
Detailsuche

Prinzipiell befürworten die Datenschutzbeauftragten in der dreiseitigen Stellungnahme (PDF) vom 26. März 2021 digitale Lösungen anstelle von handschriftlichen Listen und Zetteln. "Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten."

Es fehle aber an gesetzlichen Regelungen für eine bundesweit einheitliche datensparsame digitale Infektionsnachverfolgung. Daher seien "bundeseinheitliche normenklare Vorgaben" erforderlich.

Ende-zu-Ende-Verschlüsselung gefordert

Ideal sei dabei eine Ende-zu-Ende-Verschlüsselung der Daten, so "dass auch der Betreiber des Kontaktnachverfolgungssystems sie nicht lesen kann". Ein gutes System stelle darüber hinaus automatisiert die fristgemäße und datenschutzkonforme Datenlöschung sicher. Eine strenge Zweckbindung müsse von den Systembetreibern "durch technische und organisatorische Maßnahmen abgesichert werden".

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2021, Virtuell
Weitere IT-Trainings

Nach Ansicht der DSK hat die Luca-App des Berliner Anbieters Nexenio zwar die Vorteile digitaler Lösungen umgesetzt, bisher identifizierte Risiken aber nur "teilweise behandelt". Daher werde das Unternehmen aufgefordert, "weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen".

Sicherheitsforscher sehen "hohes Risiko"

Kritisch wird vor allem die zentrale Speicherung der Nutzerdaten durch den Betreiber gesehen. Dort werde eine große Zahl von Informationen über die Anwesenheit von Bürgern in Einrichtungen verschiedenster Art und über ihre Teilnahme an Veranstaltungen unterschiedlichster Natur vorgehalten. "Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen", schreibt die DSK.

  • Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
  • Die Luca-App verwendet dazu die Verschlüsselungsverfahren AES 128 CTR und das Authentifizierungsverfahren HMAC SHA-256. (Grafik: Luca App/Screenshot: Golem.de)
  • Es gibt nur einen Tagesschlüssel für alle Gesundheitsämter, der die Kontaktdaten verschlüsselt. (Grafik: Luca App/Screenshot: Golem.de)
  • Die infizierte Person leitet die Daten freiwillig an das Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Luca gibt die Daten zu einzelnen Veranstaltungen an das anfragende Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Die verwendeten kryptographischen Verfahren (Grafik: Luca App/Screenshot: Golem.de)
  • Der Quellcode der App wurde Ende März 2021 veröffentlicht. (Grafik: Luca App/Screenshot: Golem.de)
Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)

Sicherheitsforscher der Schweizer Universität Lausanne und der niederländischen Universität Radboud waren in einer Untersuchung ebenfalls zu dem Schluss gekommen, dass die zentrale Datenspeicherung auf dem Luca-Server ein "hohes Risiko" darstelle. "Das Sicherheitskonzept basiert ausschließlich auf Verfahrenskontrollen und erfordert volles Vertrauen in den Luca-Dienstbetreiber, die Protokolle genau zu befolgen", heißt es in dem Papier vom 23. März 2021 (PDF).

Systematischer Sicherheitsnachweis erforderlich

Bei der Luca-App werden die Kontaktdaten der Nutzer doppelt verschlüsselt: Von den Veranstaltern mit einem individuellen Schlüssel sowie mit einem täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann. Die Schlüsselverwaltung wird von den Betreibern der Luca-App, der Culture4life GmbH, übernommen. "Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann", schreibt die DSK.

Oster-Angebote bei Amazon bis zum 31. März.

Für die Veranstalter sei schwierig zu überprüfen, ob eine Anforderung zur Entschlüsselung berechtigt erfolge, "so dass sie dazu gebracht werden könnten, Daten ohne legitime Anforderung zu entschlüsseln". Die Datenschutzbeauftragten warnen daher: "Ein erfolgreicher Angriff auf die Systeme der Culture4life GmbH kann daher die Sicherheit des Gesamtsystems in Gefahr bringen."

Eine bessere Einschätzung von der Sicherheit des Systems erhofft sich die DSK von der angekündigten Offenlegung des Quellcodes der App. "Die jüngst bekanntgewordene Fehlfunktion in der Rufnummernüberprüfung unterstreicht allerdings, dass eine systematische Überprüfung auf die Einhaltung grundlegender Sicherheitsprinzipien für die Programmierung von Internetdiensten erfolgen muss", hieß es weiter. Für zentral betriebene Dienste wie die Luca-App sei ein systematischer Nachweis der Sicherheit des Systems unerlässlich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ErwinL 12. Apr 2021

Bis heute gibt es keine Datenschutzfolgenabschätzung für die App weil man sich noch nicht...

BlindSeer 31. Mär 2021

Selbst wenn sie sich regional unterscheiden darf man nciht die Sogwirkung vergessen, wenn...

BlindSeer 31. Mär 2021

Würde ich so bestätigen. Bei und im direktem Umfeld hat der IT-affine Kreis...

MoGas 31. Mär 2021

Folgende Situation 1. Ich lade mir Luca runter 2. Ich gehe in mehrere Restaurants mit...

gumnade 30. Mär 2021

Das weiß ich, deshalb will ich das ja ad absurdum führen.



Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /