Luca-App: Wo ist das BSI, wenn man es mal braucht?
Am vergangenen Wochenende hat Marcus Mengs die Waffen gestreckt. Der Sicherheitsexperte hat die Prüfung des Luca-Systems auf Sicherheitsprobleme eingestellt.
"Der Hersteller gibt mir keine Zeit, die Zusammenhänge zu dokumentieren, welche zu Sicherheitslücken im Code führen, und patcht stattdessen ständig Code mit neuen Fehlern nach. Um hier Schritt zu halten, müsste ich dieses Dokument täglich überarbeiten, das ist nicht leistbar" , schrieb Mengs auf Github(öffnet im neuen Fenster) .
Doch warum kümmert sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht um diese problematische Software?
Viele schlechte digitale Gästelisten
Das ist bei der Corona-Warn-App der Bundesregierung völlig anders. In diesem Fall war das BSI von Anfang an in die Prüfung des Systems und der App eingebunden und hat unter anderem Penetrationstests durchgeführt.
Dabei ist die Corona-App schon vom Konzept her eigentlich viel sicherer als die Luca-App. Es werden keine personenbezogenen Daten erhoben und keine Daten zentral gespeichert. Zudem ist der Druck auf die Nutzer größer, die Luca-App zu installieren, um sich bei Veranstaltungen oder in Restaurants einzuchecken.
Darüber hinaus gibt es etliche weitere Anbieter, die sich auf die Fahnen geschrieben haben, die Gästelisten zu digitalisieren. So lobbyieren im Bündnis Wir für Digitalisierung(öffnet im neuen Fenster) eine ganze Reihe von Anbietern für eine offene Schnittstelle und ihre digitalen Gästelisten. "Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind," hat Linus Neumann, Sprecher des Chaos Computer Club (CCC), die Situation lakonisch zusammengefasst.
Corona-Warn-App wurde von Anfang an geprüft, Luca nicht
Es gibt also eine ganze Reihe von Gründen, das Luca-System technisch genauer unter die Lupe zu nehmen und den Code auf mögliche Lücken zu überprüfen. Eine solche Prüfung sollte am besten schon dann erfolgen, bevor die Lizenz gekauft und das Produkt flächendeckend eingesetzt werden soll. Doch das ist in diesem Fall offensichtlich unterblieben.
Ein Grund dafür liegt im unterschiedlichen Entwicklungsprozess von Corona-Warn-App und Luca-App. Die Corona-App wurde von Anfang an im Auftrag der Bundesregierung entwickelt. Die verantwortliche Behörde ist das Robert-Koch-Institut (RKI). Nicht nur das Bundesgesundheitsministerium, auch das Bundesinnenministerium ist in den andauernden Entwicklungsprozess eingebunden. Das Innenministerium kann dem BSI als untergeordnete Behörde entsprechende Anweisungen erteilen.
Ganz anders bei der Luca-App.
Die Katze im Sack gekauft
Das Startup Nexenio hat das System seit September 2020 aus eigenem Antrieb heraus entwickelt . Mitte bis Ende Februar wurde damit begonnen, das System an die Gesundheitsämter zu verteilen.
Bekannt wurde Luca erst, als der Musiker Smudo Werbung dafür machte und im März ein Bundesland nach dem anderen entschied, das System einzusetzen und Lizenzen zu kaufen. Und das, ohne zuvor den Code auf Sicherheitsprobleme geprüft zu haben.
In diesem Fall zeigen sich mehrere Probleme der föderalen Struktur. Denn die Länder verfügen zwar ebenso wie der Bund über eigene Datenschutzbehörden, jedoch nicht über vergleichbare Behörden wie das BSI. Daher ließen die Länder das Luca-System zwar von ihren Datenschützern prüfen. Ein fundiertes Audit des Codes gab es jedoch nicht.
Eine Anfrage von Golem.de, warum bei der Luca-App zwar der Datenschutz, aber nicht die IT-Sicherheit geprüft wurde, hat die Berliner Senatsverwaltung für Gesundheit bislang nicht beantwortet.
BSI lässt nur Apps testen
Dem BSI wiederum sind die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu überprüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die App-Versionen von externen Anbietern testen.
"Das App-Testing-Portal ist ein Angebot des BSI an die Bundesverwaltung, um den Einsatz von Apps auf Dienst-IT im VS-Umfeld überprüfen zu lassen. Diese Tests haben eine begrenzte Prüftiefe und beziehen sich explizit ausschließlich nur auf die mobile Anwendung" , teilte die Behörde auf Anfrage von Golem.de mit.
Nun hat Nexenio-Chef Pascal Hennig selbst im Gespräch mit Golem.de gesagt: "90 Prozent der Entwicklung ist für das System dahinter aufgewendet worden, die App ist 'dummes Frontend'" . Daher war die Prüfung der Apps von Anfang an wenig aussagekräftig. Auch behauptete Hennig noch Anfang Mai 2021: "Bis heute gab es keine einzige Sicherheitslücke. Alles, was als vermeintliche Sicherheitslücke tituliert war, sind bewusste Entscheidungen zugunsten der Datensparsamkeit gewesen."
Unzureichend gelöste Sicherheitsprobleme
Diese Aussage trifft spätestens seit Ende Mai nicht mehr zu. Denn da veröffentlichte Mengs ein Video, in dem er eine Code-Injection per Excel-Dateien demonstrierte . Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.
Besonders peinlich für Luca: Die Gefahr durch Code-Injections war längst bekannt. Hennig bezeichnete diese Möglichkeit im Gespräch mit Golem.de dennoch als unzutreffend. Die erforderlichen Sonderzeichen würden beim Entschlüsseln der Daten für die Gesundheitsämter und beim Import in deren Sormas-System herausgefiltert. "Ein Angriff ist nicht möglich" , sagte er.
BSI weist Luca zurecht
In einer Stellungnahme erklärten die Luca-Entwickler gar, dass die Möglichkeit einer Ausführung von Schadcode im behördlichen Umfeld nicht gegeben sei, da dort üblicherweise Office-Makros deaktiviert würden. Dabei beweist der Emotet-Befall mehrerer Behörden das Gegenteil, denn auch diese Schadsoftware setzte auf Makros. Letztlich sah sich das BSI genötigt, auf Twitter klarzustellen(öffnet im neuen Fenster) , dass Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden einer Makro-Ausführung, "keine ausreichende Sicherheitsmaßnahme" darstelle.
Selbst die von Luca anschließend eingespielten Patches haben nach Ansicht von Mengs die Probleme nicht wirklich behoben. Sein Resümee: "Man hat weder 'CSV Injection' als Problem durchdrungen, noch ist man sich über den Datenfluss im eigenen Software-Projekt im Klaren."
Ist das ganze System also wirklich "irreparabel kaputt" , wie es der Chaos Computer Club behauptet hat? Oder sind die Programmierer von Nexenio einfach nur unfähig, sicheren Code zu schreiben? Und wann wäre der Punkt erreicht, an dem die Behörden die Nutzung von Luca aus Sicherheitsgründen stoppen müssten?
Keine Code-Überprüfung durch das BSI
Für einen Stopp der App sieht zumindest das BSI derzeit keinen Anlass. Auch nicht nach Mengs jüngsten Hinweisen. "Das BSI ist mit dem Entwickler der Luca-App in Kontakt getreten und hat sich zum aktuellen Sachverhalt ausgetauscht. Der Hersteller konnte dabei plausibel darstellen, dass die jüngst bekannt gewordenen Schwachstellen geschlossen wurden. Für das BSI ist klar: Informationssicherheit muss bei Digitalisierungsprojekten höchste Priorität genießen" , teilte die Behörde auf Anfrage von Golem.de mit.
Eine zusätzliche Überprüfung des Codes ist für die Behörde kein Thema. "Das BSI konzentriert seine Ressourcen weiterhin auf die intensive und entwicklungsbegleitende Prüfung der Corona-Warn-App. Diese leistet einen wertvollen Beitrag im Umgang mit der Coronapandemie und bietet viele nützliche Funktionen."
Auf die Frage von Golem.de, inwieweit Fragen der Zuständigkeiten bei dieser Entscheidung eine Rolle spielen, wollte sich das BSI bislang nicht schriftlich äußern. Da nun weder ehrenamtliche Sicherheitsexperten noch Behörden den Luca-Code prüfen, bleibt zu hoffen, dass nicht kriminelle Hacker das übernehmen.
Immerhin verschlüsselte Daten
Immerhin muss man Luca zugute halten, dass das Konzept auf eine Ende-zu-Ende-Verschlüsselung von Daten setzt, die einen unberechtigten Zugriff verhindern soll. Viel problematischer sind Systeme, bei denen beispielsweise Corona-Testzentren die Nutzerdaten unverschlüsselt auf ihren Servern speichern . Zudem verlangen die Testcenter teilweise deutlich mehr Daten, als dies bei der Luca-App der Fall ist.
Die Reaktion des Testcenter-Betreibers EMI auf einen Datenschutzvorfall ist leider bezeichnend. Man habe die "Testcenter, einschließlich der damit verbundenen Datenverarbeitungssysteme, mit großer Eile hochgezogen und mit versierten IT-Spezialisten zusammengearbeitet, um den Kunden, die das Testangebot in Anspruch nehmen wollen, die größtmögliche Sicherheit gewährleisten zu können" . Dass Hacker trotzdem auf einen Teil der Daten zugreifen konnten, tue dem Unternehmen leid. Das nützt den Betroffenen wenig.
Auch bei anderen digitalen Gästelisten hatte es im vergangenen Jahr schon Probleme gegeben. Die meist von Startups entworfenen Programme wurden innerhalb kürzester Zeit entwickelt und in bereits bestehende Systeme integriert, was zu schweren Sicherheitslücken führte. So konnten beispielsweise die persönlichen Daten der Gäste beim Schweizer Startup Lunchgate einfach von Sicherheitsforschern ausgelesen werden. Gleiches galt für den Dienstleister Gastronovi .
Startups produzieren Sicherheitslücken und Datenlecks
Immerhin hat Nexenio sich die Mühe gemacht, zusammen mit Marian Margraf vom Fraunhofer AISEC ein an sich schlüssiges Kryptokonzept zu entwickeln. Nur auf dieser Basis ist eine zentrale Speicherung der Nutzerdaten überhaupt vertretbar. Doch offensichtlich war das Startup mit der Umsetzung des Konzeptes überfordert. Die damalige Entscheidung der Bundesregierung, große IT- und Softwarekonzerne wie SAP und die Deutsche Telekom mit Entwicklung und Betrieb der Corona-Warn-App zu beauftragen , dürfte unter diesen Gesichtspunkten besser gewesen sein.
Im Gegensatz dazu führt die Move-Fast-and-Break-Things-Attitüde vieler Startups, die vor allem schnelle, irgendwie funktionierende Ergebnisse liefert, ständig zu schweren Sicherheitslücken und Datenlecks. Das zeigten zuletzt die Lieferdienste Flink und Gorillas(öffnet im neuen Fenster) .
Aber auch im Gesundheitsbereich sorgen Startups immer wieder für Datenschutzpannen, so beispielsweise die Gesundheits-App Ada oder die Arzttermin-Plattform Doctolib . Ganz zu schweigen von den bereits genannten digitalen Corona-Gästelisten oder Schnelltestzentren.
Kein Verzicht der Länder zu erwarten
Ein Verzicht auf die Luca-App ist trotz der Probleme derzeit nicht zu erwarten. Der CCC kann zwar öffentlichkeitswirksam eine "Bundesnotbremse" für die Luca-App fordern . Doch den Bundesländern als Lizenznehmer ist das völlig egal. Denn diese haben schließlich auch auf Druck aus der Wirtschaft hin das System durchgesetzt, um die ebenfalls nicht unproblematischen Gästelisten ersetzen zu können. Die Luca-App wird daher vermutlich so lange im Einsatz bleiben, wie die Erstellung von Kontaktlisten zur Pandemiebekämpfung als erforderlich angesehen wird.
Wie sinnvoll solche Listen überhaupt sind, steht auf einem ganz anderen Blatt. Angeblich spielen sie in der Pandemiebekämpfung eine so geringe Rolle, dass der technische und administrative Aufwand dafür kaum zu rechtfertigen ist. In einem Fachgespräch des Bundestags-Digitalausschusses(öffnet im neuen Fenster) sagte die IT-Beraterin Bianca Kastl: "Infektionsszenarien, die unbedingt vollständige Gästelisten benötigen, sind selten. Es waren bisher lediglich drei im Gesundheitsamt Bodenseekreis in der gesamten Pandemie. Die Zahlen in anderen Ämtern sind ähnlich."
Bisher scheint vor allem die Polizei auf die Kontaktdaten zuzugreifen - allerdings nicht um Infektionsketten zu unterbrechen. Es bleibt daher zu hoffen, dass nicht das BSI, sondern der weitere Rückgang der Infektionszahlen für das Ende der Luca-App sorgt.
Nachtrag vom 25. Juni 2021, 11:43 Uhr
Die Berliner Senatsverwaltung für Gesundheit teilte auf unsere Anfrage nun mit: "Die Verantwortung für den sicheren Betrieb des Gesamtsystems obliegt dem Hersteller culture4life. Das Testen und Bewerten des Luca-Systems durch unabhängige Experten, welches durch die Veröffentlichung des Quellcodes möglich gemacht wurde, bewertet die Senatsverwaltung für Gesundheit, Pflege und Gleichstellung sehr positiv. Dadurch werden Systemverbesserungen möglich und die digitale Kontaktnachverfolgung wird in Folge noch sicherer."