Keine Code-Überprüfung durch das BSI

Für einen Stopp der App sieht zumindest das BSI derzeit keinen Anlass. Auch nicht nach Mengs jüngsten Hinweisen. "Das BSI ist mit dem Entwickler der Luca-App in Kontakt getreten und hat sich zum aktuellen Sachverhalt ausgetauscht. Der Hersteller konnte dabei plausibel darstellen, dass die jüngst bekannt gewordenen Schwachstellen geschlossen wurden. Für das BSI ist klar: Informationssicherheit muss bei Digitalisierungsprojekten höchste Priorität genießen", teilte die Behörde auf Anfrage von Golem.de mit.

Stellenmarkt
  1. Cloud Solution Architect (m/w/d) Azure
    RWE Generation SE, Essen
  2. Senior Frontend Developer (m/w/d)
    Hays AG, Frankfurt am Main
Detailsuche

Eine zusätzliche Überprüfung des Codes ist für die Behörde kein Thema. "Das BSI konzentriert seine Ressourcen weiterhin auf die intensive und entwicklungsbegleitende Prüfung der Corona-Warn-App. Diese leistet einen wertvollen Beitrag im Umgang mit der Coronapandemie und bietet viele nützliche Funktionen."

Auf die Frage von Golem.de, inwieweit Fragen der Zuständigkeiten bei dieser Entscheidung eine Rolle spielen, wollte sich das BSI bislang nicht schriftlich äußern. Da nun weder ehrenamtliche Sicherheitsexperten noch Behörden den Luca-Code prüfen, bleibt zu hoffen, dass nicht kriminelle Hacker das übernehmen.

Immerhin verschlüsselte Daten

Immerhin muss man Luca zugute halten, dass das Konzept auf eine Ende-zu-Ende-Verschlüsselung von Daten setzt, die einen unberechtigten Zugriff verhindern soll. Viel problematischer sind Systeme, bei denen beispielsweise Corona-Testzentren die Nutzerdaten unverschlüsselt auf ihren Servern speichern. Zudem verlangen die Testcenter teilweise deutlich mehr Daten, als dies bei der Luca-App der Fall ist.

  • Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
  • Die Luca-App verwendet dazu die Verschlüsselungsverfahren AES 128 CTR und das Authentifizierungsverfahren HMAC SHA-256. (Grafik: Luca App/Screenshot: Golem.de)
  • Es gibt nur einen Tagesschlüssel für alle Gesundheitsämter, der die Kontaktdaten verschlüsselt. (Grafik: Luca App/Screenshot: Golem.de)
  • Die infizierte Person leitet die Daten freiwillig an das Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Luca gibt die Daten zu einzelnen Veranstaltungen an das anfragende Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Die verwendeten kryptographischen Verfahren (Grafik: Luca App/Screenshot: Golem.de)
  • Der Quellcode der App wurde Ende März 2021 veröffentlicht. (Grafik: Luca App/Screenshot: Golem.de)
Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    05.-07.09.2022, Virtuell
  2. Deep-Dive Kubernetes – Production Grade Deployments: virtueller Ein-Tages-Workshop
    20.09.2022, Virtuell
Weitere IT-Trainings

Die Reaktion des Testcenter-Betreibers EMI auf einen Datenschutzvorfall ist leider bezeichnend. Man habe die "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet, um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können". Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tue dem Unternehmen leid. Das nützt den Betroffenen wenig.

Auch bei anderen digitalen Gästelisten hatte es im vergangenen Jahr schon Probleme gegeben. Die meist von Startups entworfenen Programme wurden innerhalb kürzester Zeit entwickelt und in bereits bestehende Systeme integriert, was zu schweren Sicherheitslücken führte. So konnten beispielsweise die persönlichen Daten der Gäste beim Schweizer Startup Lunchgate einfach von Sicherheitsforschern ausgelesen werden. Gleiches galt für den Dienstleister Gastronovi.

Startups produzieren Sicherheitslücken und Datenlecks

Immerhin hat Nexenio sich die Mühe gemacht, zusammen mit Marian Margraf vom Fraunhofer AISEC ein an sich schlüssiges Kryptokonzept zu entwickeln. Nur auf dieser Basis ist eine zentrale Speicherung der Nutzerdaten überhaupt vertretbar. Doch offensichtlich war das Startup mit der Umsetzung des Konzeptes überfordert. Die damalige Entscheidung der Bundesregierung, große IT- und Softwarekonzerne wie SAP und die Deutsche Telekom mit Entwicklung und Betrieb der Corona-Warn-App zu beauftragen, dürfte unter diesen Gesichtspunkten besser gewesen sein.

Im Gegensatz dazu führt die Move-Fast-and-Break-Things-Attitüde vieler Startups, die vor allem schnelle, irgendwie funktionierende Ergebnisse liefert, ständig zu schweren Sicherheitslücken und Datenlecks. Das zeigten zuletzt die Lieferdienste Flink und Gorillas.

Aber auch im Gesundheitsbereich sorgen Startups immer wieder für Datenschutzpannen, so beispielsweise die Gesundheits-App Ada oder die Arzttermin-Plattform Doctolib. Ganz zu schweigen von den bereits genannten digitalen Corona-Gästelisten oder Schnelltestzentren.

Kein Verzicht der Länder zu erwarten

Ein Verzicht auf die Luca-App ist trotz der Probleme derzeit nicht zu erwarten. Der CCC kann zwar öffentlichkeitswirksam eine "Bundesnotbremse" für die Luca-App fordern. Doch den Bundesländern als Lizenznehmer ist das völlig egal. Denn diese haben schließlich auch auf Druck aus der Wirtschaft hin das System durchgesetzt, um die ebenfalls nicht unproblematischen Gästelisten ersetzen zu können. Die Luca-App wird daher vermutlich so lange im Einsatz bleiben, wie die Erstellung von Kontaktlisten zur Pandemiebekämpfung als erforderlich angesehen wird.

Wie sinnvoll solche Listen überhaupt sind, steht auf einem ganz anderen Blatt. Angeblich spielen sie in der Pandemiebekämpfung eine so geringe Rolle, dass der technische und administrative Aufwand dafür kaum zu rechtfertigen ist. In einem Fachgespräch des Bundestags-Digitalausschusses sagte die IT-Beraterin Bianca Kastl: "Infektionsszenarien, die unbedingt vollständige Gästelisten benötigen, sind selten. Es waren bisher lediglich drei im Gesundheitsamt Bodenseekreis in der gesamten Pandemie. Die Zahlen in anderen Ämtern sind ähnlich."

Bisher scheint vor allem die Polizei auf die Kontaktdaten zuzugreifen - allerdings nicht um Infektionsketten zu unterbrechen. Es bleibt daher zu hoffen, dass nicht das BSI, sondern der weitere Rückgang der Infektionszahlen für das Ende der Luca-App sorgt.

Nachtrag vom 25. Juni 2021, 11:43 Uhr

Die Berliner Senatsverwaltung für Gesundheit teilte auf unsere Anfrage nun mit: "Die Verantwortung für den sicheren Betrieb des Gesamtsystems obliegt dem Hersteller culture4life. Das Testen und Bewerten des Luca-Systems durch unabhängige Experten, welches durch die Veröffentlichung des Quellcodes möglich gemacht wurde, bewertet die Senatsverwaltung für Gesundheit, Pflege und Gleichstellung sehr positiv. Dadurch werden Systemverbesserungen möglich und die digitale Kontaktnachverfolgung wird in Folge noch sicherer."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Die Katze im Sack gekauft
  1.  
  2. 1
  3. 2
  4. 3


023,-+ 15. Feb 2022

hat man in so einem Fall ein "Rücktrittsrecht", sprich: Geld zurück? Zum Zeitpunkt des...

My1 17. Jan 2022

naja ein halbes Jahr später wurden Luca daten einfach mal missbraucht, ups

hormei 03. Jul 2021

Was spricht gegen die Verwendung von Schmudo2Go? wolf128058.gitlab.io schmudo2go

mackes 28. Jun 2021

In der Realität sind Papierlisten aber zumindest in der Gastronomie eher die Regel. Die...



Aktuell auf der Startseite von Golem.de
Wissenschaft
LHC hat drei neue exotische Teilchen entdeckt

Der sogenannte Teilchenzoo der Physik ist noch größer geworden. Die Wissenschaft hofft auf Bestätigung der Modelle zu deren internen Aufbau.

Wissenschaft: LHC hat drei neue exotische Teilchen entdeckt
Artikel
  1. Superior Continuous Torque: E-Motor von Mahle für Dauerbetrieb unter Stress
    Superior Continuous Torque
    E-Motor von Mahle für Dauerbetrieb unter Stress

    Mahle hat einen neuen Auto-Elektromotor entwickelt, der unbegrenzt lange unter hoher Last betrieben werden kann. Dies wird durch ein neues Kühlkonzept im Motor erreicht.

  2. Security: BSI beginnt Zertifizierung für 5G-Komponenten
    Security
    BSI beginnt Zertifizierung für 5G-Komponenten

    Eine schnelle und zuverlässige IT-Sicherheitsaussage für die geprüften Produkte, das verspricht das BSI. Doch welche Produkte sind betroffen?

  3. VW.OS: VW-Software soll einfach updatefähig und bezahlbar sein
    VW.OS
    VW-Software soll "einfach updatefähig" und bezahlbar sein

    Mit seiner Softwaresparte Cariad will VW ein einheitliches System mit vereinfachter Architektur erstellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • HP HyperX Gaming-Headset -40% • Corsair Wakü 234,90€ • Samsung Galaxy S20 128GB -36% • Audible -70% • MSI RTX 3080 12GB günstig wie nie: 948€ • AMD Ryzen 7 günstig wie nie: 259€ • Der beste 2.000€-Gaming-PC • CM 34" UWQHD 144 Hz günstig wie nie: 467,85€ [Werbung]
    •  /