Luca-App: Datenschützer warnen vor Gefahr durch zentrale Speicherung

Die Datenschutzbeauftragten fordern gesetzliche Vorgaben zur digitalen Kontaktverfolgung in der Corona-Pandemie. Die Luca-App sehen sie kritisch.

Artikel veröffentlicht am ,
Datenschützer sehen das Konzept der Luca-App kritisch.
Datenschützer sehen das Konzept der Luca-App kritisch. (Bild: Martin Wolf/Golem.de)

Die Datenschutzbeauftragten von Bund und Ländern warnen vor einer "schweren Beeinträchtigung" für den Einzelnen und die Gesellschaft durch zentral gespeicherte Daten zur Kontaktnachverfolgung. Das geht aus einer Stellungnahme der Datenschutzkonferenz (DSK) zur "Kontaktnachverfolgung in Zeiten der Coronapandemie" hervor. Konkret betrifft die Warnung die sogenannte Luca-App, die bereits in zahlreichen Bundesländern zum Einsatz kommt.

Prinzipiell befürworten die Datenschutzbeauftragten in der dreiseitigen Stellungnahme (PDF) vom 26. März 2021 digitale Lösungen anstelle von handschriftlichen Listen und Zetteln. "Eine digitale Erhebung und Speicherung kann bei entsprechender technischer Ausgestaltung durch eine geeignete dem Stand der Technik entsprechende Verschlüsselung inklusive eines geeigneten sicheren Schlüsselmanagements einen im Vergleich mit Papierformularen besseren Schutz der Kontaktdaten vor unbefugter Kenntnisnahme und Missbrauch gewährleisten."

Es fehle aber an gesetzlichen Regelungen für eine bundesweit einheitliche datensparsame digitale Infektionsnachverfolgung. Daher seien "bundeseinheitliche normenklare Vorgaben" erforderlich.

Ende-zu-Ende-Verschlüsselung gefordert

Ideal sei dabei eine Ende-zu-Ende-Verschlüsselung der Daten, so "dass auch der Betreiber des Kontaktnachverfolgungssystems sie nicht lesen kann". Ein gutes System stelle darüber hinaus automatisiert die fristgemäße und datenschutzkonforme Datenlöschung sicher. Eine strenge Zweckbindung müsse von den Systembetreibern "durch technische und organisatorische Maßnahmen abgesichert werden".

Nach Ansicht der DSK hat die Luca-App des Berliner Anbieters Nexenio zwar die Vorteile digitaler Lösungen umgesetzt, bisher identifizierte Risiken aber nur "teilweise behandelt". Daher werde das Unternehmen aufgefordert, "weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen".

Sicherheitsforscher sehen "hohes Risiko"

Kritisch wird vor allem die zentrale Speicherung der Nutzerdaten durch den Betreiber gesehen. Dort werde eine große Zahl von Informationen über die Anwesenheit von Bürgern in Einrichtungen verschiedenster Art und über ihre Teilnahme an Veranstaltungen unterschiedlichster Natur vorgehalten. "Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen", schreibt die DSK.

  • Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
  • Die Luca-App verwendet dazu die Verschlüsselungsverfahren AES 128 CTR und das Authentifizierungsverfahren HMAC SHA-256. (Grafik: Luca App/Screenshot: Golem.de)
  • Es gibt nur einen Tagesschlüssel für alle Gesundheitsämter, der die Kontaktdaten verschlüsselt. (Grafik: Luca App/Screenshot: Golem.de)
  • Die infizierte Person leitet die Daten freiwillig an das Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Luca gibt die Daten zu einzelnen Veranstaltungen an das anfragende Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Die verwendeten kryptographischen Verfahren (Grafik: Luca App/Screenshot: Golem.de)
  • Der Quellcode der App wurde Ende März 2021 veröffentlicht. (Grafik: Luca App/Screenshot: Golem.de)
Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)

Sicherheitsforscher der Schweizer Universität Lausanne und der niederländischen Universität Radboud waren in einer Untersuchung ebenfalls zu dem Schluss gekommen, dass die zentrale Datenspeicherung auf dem Luca-Server ein "hohes Risiko" darstelle. "Das Sicherheitskonzept basiert ausschließlich auf Verfahrenskontrollen und erfordert volles Vertrauen in den Luca-Dienstbetreiber, die Protokolle genau zu befolgen", heißt es in dem Papier vom 23. März 2021 (PDF).

Systematischer Sicherheitsnachweis erforderlich

Bei der Luca-App werden die Kontaktdaten der Nutzer doppelt verschlüsselt: Von den Veranstaltern mit einem individuellen Schlüssel sowie mit einem täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann. Die Schlüsselverwaltung wird von den Betreibern der Luca-App, der Culture4life GmbH, übernommen. "Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann", schreibt die DSK.

Für die Veranstalter sei schwierig zu überprüfen, ob eine Anforderung zur Entschlüsselung berechtigt erfolge, "so dass sie dazu gebracht werden könnten, Daten ohne legitime Anforderung zu entschlüsseln". Die Datenschutzbeauftragten warnen daher: "Ein erfolgreicher Angriff auf die Systeme der Culture4life GmbH kann daher die Sicherheit des Gesamtsystems in Gefahr bringen."

Eine bessere Einschätzung von der Sicherheit des Systems erhofft sich die DSK von der angekündigten Offenlegung des Quellcodes der App. "Die jüngst bekanntgewordene Fehlfunktion in der Rufnummernüberprüfung unterstreicht allerdings, dass eine systematische Überprüfung auf die Einhaltung grundlegender Sicherheitsprinzipien für die Programmierung von Internetdiensten erfolgen muss", hieß es weiter. Für zentral betriebene Dienste wie die Luca-App sei ein systematischer Nachweis der Sicherheit des Systems unerlässlich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ErwinL 12. Apr 2021

Bis heute gibt es keine Datenschutzfolgenabschätzung für die App weil man sich noch nicht...

BlindSeer 31. Mär 2021

Selbst wenn sie sich regional unterscheiden darf man nciht die Sogwirkung vergessen, wenn...

BlindSeer 31. Mär 2021

Würde ich so bestätigen. Bei und im direktem Umfeld hat der IT-affine Kreis...

MoGas 31. Mär 2021

Folgende Situation 1. Ich lade mir Luca runter 2. Ich gehe in mehrere Restaurants mit...



Aktuell auf der Startseite von Golem.de
Solarenergie
Berlin fördert Balkonkraftwerke mit bis zu 500 Euro

Neben anderen Städten und Bundesländern unterstützt nun auch Berlin die Anschaffung von kleinen Solaranlagen. Jedoch nicht für alle Bürger.

Solarenergie: Berlin fördert Balkonkraftwerke mit bis zu 500 Euro
Artikel
  1. Der Herr der Ringe: Lego bringt Bruchtal aus 6.100 Teilen und mit 15 Figuren
    Der Herr der Ringe
    Lego bringt Bruchtal aus 6.100 Teilen und mit 15 Figuren

    Die gesamte Gemeinschaft des Ringes versammelt sich in den Hallen von Bruchtal, das als Lego-Diorama Herr-der-Ringe-Fans erfreuen kann.

  2. Navigation und GPS: Google Maps baut 3D-Städte und Inneneinrichtungen mit KI
    Navigation und GPS
    Google Maps baut 3D-Städte und Inneneinrichtungen mit KI

    Google Maps wird mit diversen neuen Funktionen ausgestattet - etwa mit Navigation per Augmented Reality oder 3D-Modellen bekannter Städte.

  3. Stress reduzieren: Runter mit der Hasskappe!
    Stress reduzieren
    Runter mit der Hasskappe!

    Viele ITler stehen unter enormen Stress und ruinieren sich damit die Gesundheit und den Spaß an der Arbeit - und anderen den Tag. Psychologen empfehlen als Lösung: mit Affirmationen die eigenen Gedanken umprogrammieren.
    Ein Bericht von Marc Favre

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Powercolor RX 7900 XTX 1.119€ • WSV-Finale bei MediaMarkt • Samsung 980 Pro 2TB (PS5-komp.) 174,99€ • MSI RTX 4080 1.349€ • Samsung 55" 4K QLED Curved Gaming-Monitor -25% • Asus RX 7900 XT 939,90€ • DAMN-Deals: AMD CPUs zu Tiefstpreisen • PCGH Cyber Week nur bis 9.2. [Werbung]
    •  /