Keine Code-Überprüfung durch das BSI

Für einen Stopp der App sieht zumindest das BSI derzeit keinen Anlass. Auch nicht nach Mengs jüngsten Hinweisen. "Das BSI ist mit dem Entwickler der Luca-App in Kontakt getreten und hat sich zum aktuellen Sachverhalt ausgetauscht. Der Hersteller konnte dabei plausibel darstellen, dass die jüngst bekannt gewordenen Schwachstellen geschlossen wurden. Für das BSI ist klar: Informationssicherheit muss bei Digitalisierungsprojekten höchste Priorität genießen", teilte die Behörde auf Anfrage von Golem.de mit.

Stellenmarkt
  1. Frontend Software Engineer (m/w/d)
    aconso AG, Bielefeld, Berlin
  2. SAP S / 4HANA Manufacturing Berater (m/w/x)
    über duerenhoff GmbH, Raum München
Detailsuche

Eine zusätzliche Überprüfung des Codes ist für die Behörde kein Thema. "Das BSI konzentriert seine Ressourcen weiterhin auf die intensive und entwicklungsbegleitende Prüfung der Corona-Warn-App. Diese leistet einen wertvollen Beitrag im Umgang mit der Coronapandemie und bietet viele nützliche Funktionen."

Auf die Frage von Golem.de, inwieweit Fragen der Zuständigkeiten bei dieser Entscheidung eine Rolle spielen, wollte sich das BSI bislang nicht schriftlich äußern. Da nun weder ehrenamtliche Sicherheitsexperten noch Behörden den Luca-Code prüfen, bleibt zu hoffen, dass nicht kriminelle Hacker das übernehmen.

Immerhin verschlüsselte Daten

Immerhin muss man Luca zugute halten, dass das Konzept auf eine Ende-zu-Ende-Verschlüsselung von Daten setzt, die einen unberechtigten Zugriff verhindern soll. Viel problematischer sind Systeme, bei denen beispielsweise Corona-Testzentren die Nutzerdaten unverschlüsselt auf ihren Servern speichern. Zudem verlangen die Testcenter teilweise deutlich mehr Daten, als dies bei der Luca-App der Fall ist.

  • Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
  • Die Luca-App verwendet dazu die Verschlüsselungsverfahren AES 128 CTR und das Authentifizierungsverfahren HMAC SHA-256. (Grafik: Luca App/Screenshot: Golem.de)
  • Es gibt nur einen Tagesschlüssel für alle Gesundheitsämter, der die Kontaktdaten verschlüsselt. (Grafik: Luca App/Screenshot: Golem.de)
  • Die infizierte Person leitet die Daten freiwillig an das Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Luca gibt die Daten zu einzelnen Veranstaltungen an das anfragende Gesundheitsamt weiter. (Grafik: Luca App/Screenshot: Golem.de)
  • Die verwendeten kryptographischen Verfahren (Grafik: Luca App/Screenshot: Golem.de)
  • Der Quellcode der App soll Ende März 2021 veröffentlicht werden. (Grafik: Luca App/Screenshot: Golem.de)
Eine doppelte Verschlüsselung der Kontaktdaten soll den Datenschutz bei der Luca-App garantieren. (Grafik: Luca App/Screenshot: Golem.de)
Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Die Reaktion des Testcenter-Betreibers EMI auf einen Datenschutzvorfall ist leider bezeichnend. Man habe die "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet, um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können". Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tue dem Unternehmen leid. Das nützt den Betroffenen wenig.

Auch bei anderen digitalen Gästelisten hatte es im vergangenen Jahr schon Probleme gegeben. Die meist von Startups entworfenen Programme wurden innerhalb kürzester Zeit entwickelt und in bereits bestehende Systeme integriert, was zu schweren Sicherheitslücken führte. So konnten beispielsweise die persönlichen Daten der Gäste beim Schweizer Startup Lunchgate einfach von Sicherheitsforschern ausgelesen werden. Gleiches galt für den Dienstleister Gastronovi.

Startups produzieren Sicherheitslücken und Datenlecks

Immerhin hat Nexenio sich die Mühe gemacht, zusammen mit Marian Margraf vom Fraunhofer AISEC ein an sich schlüssiges Kryptokonzept zu entwickeln. Nur auf dieser Basis ist eine zentrale Speicherung der Nutzerdaten überhaupt vertretbar. Doch offensichtlich war das Startup mit der Umsetzung des Konzeptes überfordert. Die damalige Entscheidung der Bundesregierung, große IT- und Softwarekonzerne wie SAP und die Deutsche Telekom mit Entwicklung und Betrieb der Corona-Warn-App zu beauftragen, dürfte unter diesen Gesichtspunkten besser gewesen sein.

Im Gegensatz dazu führt die Move-Fast-and-Break-Things-Attitüde vieler Startups, die vor allem schnelle, irgendwie funktionierende Ergebnisse liefert, ständig zu schweren Sicherheitslücken und Datenlecks. Das zeigten zuletzt die Lieferdienste Flink und Gorillas.

Aber auch im Gesundheitsbereich sorgen Startups immer wieder für Datenschutzpannen, so beispielsweise die Gesundheits-App Ada oder die Arzttermin-Plattform Doctolib. Ganz zu schweigen von den bereits genannten digitalen Corona-Gästelisten oder Schnelltestzentren.

Kein Verzicht der Länder zu erwarten

Ein Verzicht auf die Luca-App ist trotz der Probleme derzeit nicht zu erwarten. Der CCC kann zwar öffentlichkeitswirksam eine "Bundesnotbremse" für die Luca-App fordern. Doch den Bundesländern als Lizenznehmer ist das völlig egal. Denn diese haben schließlich auch auf Druck aus der Wirtschaft hin das System durchgesetzt, um die ebenfalls nicht unproblematischen Gästelisten ersetzen zu können. Die Luca-App wird daher vermutlich so lange im Einsatz bleiben, wie die Erstellung von Kontaktlisten zur Pandemiebekämpfung als erforderlich angesehen wird.

Wie sinnvoll solche Listen überhaupt sind, steht auf einem ganz anderen Blatt. Angeblich spielen sie in der Pandemiebekämpfung eine so geringe Rolle, dass der technische und administrative Aufwand dafür kaum zu rechtfertigen ist. In einem Fachgespräch des Bundestags-Digitalausschusses sagte die IT-Beraterin Bianca Kastl: "Infektionsszenarien, die unbedingt vollständige Gästelisten benötigen, sind selten. Es waren bisher lediglich drei im Gesundheitsamt Bodenseekreis in der gesamten Pandemie. Die Zahlen in anderen Ämtern sind ähnlich."

Bisher scheint vor allem die Polizei auf die Kontaktdaten zuzugreifen - allerdings nicht um Infektionsketten zu unterbrechen. Es bleibt daher zu hoffen, dass nicht das BSI, sondern der weitere Rückgang der Infektionszahlen für das Ende der Luca-App sorgt.

Nachtrag vom 25. Juni 2021, 11:43 Uhr

Die Berliner Senatsverwaltung für Gesundheit teilte auf unsere Anfrage nun mit: "Die Verantwortung für den sicheren Betrieb des Gesamtsystems obliegt dem Hersteller culture4life. Das Testen und Bewerten des Luca-Systems durch unabhängige Experten, welches durch die Veröffentlichung des Quellcodes möglich gemacht wurde, bewertet die Senatsverwaltung für Gesundheit, Pflege und Gleichstellung sehr positiv. Dadurch werden Systemverbesserungen möglich und die digitale Kontaktnachverfolgung wird in Folge noch sicherer."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Die Katze im Sack gekauft
  1.  
  2. 1
  3. 2
  4. 3


Aktuell auf der Startseite von Golem.de
CDU-Sicherheitslücke
Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.
Ein IMHO von Hanno Böck

CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit
Artikel
  1. Kritik der Community: Microsoft schaltet Kommentare unter Windows-11-Video ab
    Kritik der Community
    Microsoft schaltet Kommentare unter Windows-11-Video ab

    In einem Youtube-Video verteidigt Microsoft die Bedingungen von Windows 11. Die Community ist außer sich, Kommentare werden geblockt.

  2. Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an
    Connect-App  
    CDU zeigt offenbar Hackerin nach Melden von Lücken an

    Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

  3. Datenübertragung: Flüssigkernfaser könnte Glasfaser ersetzen
    Datenübertragung
    Flüssigkernfaser könnte Glasfaser ersetzen

    Schweizer Forscher haben eine Faser entwickelt, die Daten genauso gut überträgt wie eine Glasfaser, aber dieser gegenüber Vorteile hat.

hormei 03. Jul 2021 / Themenstart

Was spricht gegen die Verwendung von Schmudo2Go? wolf128058.gitlab.io schmudo2go

ManuPhennic 28. Jun 2021 / Themenstart

In Deutschland hängt an jeder Wohnung der Name an der Klingel und hier regt man sich über...

mackes 28. Jun 2021 / Themenstart

In der Realität sind Papierlisten aber zumindest in der Gastronomie eher die Regel. Die...

mackes 28. Jun 2021 / Themenstart

Ja, das ist wirklich funny. Aber immerhin scheint Lernfähigkeit vorhanden zu sein, das...

DerCaveman 28. Jun 2021 / Themenstart

Da muss etwas bei den Politikern passieren, die müssen entsprechende Passagen in den...

Kommentieren



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /