Luca-App: Datenschützer warnen vor Gefahr durch zentrale Speicherung

Die Datenschutzbeauftragten von Bund und Ländern warnen vor einer "schweren Beeinträchtigung" für den Einzelnen und die Gesellschaft durch zentral gespeicherte Daten zur Kontaktnachverfolgung. Das geht aus einer Stellungnahme der Datenschutzkonferenz (DSK) zur "Kontaktnachverfolgung in Zeiten der Coronapandemie" hervor. Konkret betrifft die Warnung die sogenannte Luca-App, die bereits in zahlreichen Bundesländern zum Einsatz kommt.

Prinzipiell befürworten die Datenschutzbeauftragten in der dreiseitigen Stellungnahme (PDF) vom 26. März 2021 digitale Lösungen anstelle von handschriftlichen Listen und Zetteln. "Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten."

Es fehle aber an gesetzlichen Regelungen für eine bundesweit einheitliche datensparsame digitale Infektionsnachverfolgung. Daher seien "bundeseinheitliche normenklare Vorgaben" erforderlich.

Ende-zu-Ende-Verschlüsselung gefordert

Ideal sei dabei eine Ende-zu-Ende-Verschlüsselung der Daten, so "dass auch der Betreiber des Kontaktnachverfolgungssystems sie nicht lesen kann". Ein gutes System stelle darüber hinaus automatisiert die fristgemäße und datenschutzkonforme Datenlöschung sicher. Eine strenge Zweckbindung müsse von den Systembetreibern "durch technische und organisatorische Maßnahmen abgesichert werden".

Nach Ansicht der DSK hat die Luca-App des Berliner Anbieters Nexenio zwar die Vorteile digitaler Lösungen umgesetzt, bisher identifizierte Risiken aber nur "teilweise behandelt". Daher werde das Unternehmen aufgefordert, "weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen".

Sicherheitsforscher sehen "hohes Risiko"

Kritisch wird vor allem die zentrale Speicherung der Nutzerdaten durch den Betreiber gesehen. Dort werde eine große Zahl von Informationen über die Anwesenheit von Bürgern in Einrichtungen verschiedenster Art und über ihre Teilnahme an Veranstaltungen unterschiedlichster Natur vorgehalten. "Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen", schreibt die DSK.

• 

Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)

Sicherheitsforscher der Schweizer Universität Lausanne und der niederländischen Universität Radboud waren in einer Untersuchung ebenfalls zu dem Schluss gekommen, dass die zentrale Datenspeicherung auf dem Luca-Server ein "hohes Risiko" darstelle. "Das Sicherheitskonzept basiert ausschließlich auf Verfahrenskontrollen und erfordert volles Vertrauen in den Luca-Dienstbetreiber, die Protokolle genau zu befolgen", heißt es in dem Papier vom 23. März 2021 (PDF).

Systematischer Sicherheitsnachweis erforderlich

Bei der Luca-App werden die Kontaktdaten der Nutzer doppelt verschlüsselt: Von den Veranstaltern mit einem individuellen Schlüssel sowie mit einem täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann. Die Schlüsselverwaltung wird von den Betreibern der Luca-App, der Culture4life GmbH, übernommen. "Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann", schreibt die DSK.

Für die Veranstalter sei schwierig zu überprüfen, ob eine Anforderung zur Entschlüsselung berechtigt erfolge, "so dass sie dazu gebracht werden könnten, Daten ohne legitime Anforderung zu entschlüsseln". Die Datenschutzbeauftragten warnen daher: "Ein erfolgreicher Angriff auf die Systeme der Culture4life GmbH kann daher die Sicherheit des Gesamtsystems in Gefahr bringen."

Eine bessere Einschätzung von der Sicherheit des Systems erhofft sich die DSK von der angekündigten Offenlegung des Quellcodes der App. "Die jüngst bekanntgewordene Fehlfunktion in der Rufnummernüberprüfung unterstreicht allerdings, dass eine systematische Überprüfung auf die Einhaltung grundlegender Sicherheitsprinzipien für die Programmierung von Internetdiensten erfolgen muss", hieß es weiter. Für zentral betriebene Dienste wie die Luca-App sei ein systematischer Nachweis der Sicherheit des Systems unerlässlich.