Zu hohe Risiken: Sicherheitsforscher warnen vor Luca-App

Die Kritik an der Luca-App reißt nicht ab. Sicherheitsforscher sehen unverhältnismäßige Risiken für die Daten der Nutzer.

Artikel veröffentlicht am ,
Die Luca-App gefällt Sicherheitsexperten überhaupt nicht.
Die Luca-App gefällt Sicherheitsexperten überhaupt nicht. (Bild: Friedhelm Greis/Golem.de)

Mehr als 70 Sicherheitsexperten zahlreicher Universitäten und Forschungsinstitute warnen vor den Risiken der Luca-App bei der digitalen Kontaktnachverfolgung. "Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele. Selbst große Unternehmen sind nicht in der Lage, solche Systeme vollständig zu sichern", heißt es in einer gemeinsamen Erklärung, die am 29. April 2021 veröffentlicht wurde. Die mit dem Luca- System verbundenen Risiken erschienen "völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen".

Stellenmarkt
  1. IT Security Officer Infrastruktur (m|w|d)
    MTU Aero Engines AG, München
  2. Assistent (m/w/d) des Vorstands
    Württembergische Versicherung AG, Stuttgart
Detailsuche

In den vergangenen Wochen haben fast alle Bundesländer Lizenzverträge mit den Betreibern der Luca-App abgeschlossen und dafür teilweise Millionenbeträge vereinbart. Wegen der anhaltenden Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) bereits Mitte April eine "Bundesnotbremse" für die Lizenzierung der App durch die Länder.

Der nun veröffentlichten Erklärung zufolge verletzt die App wichtige Prinzipien, die bei der digitalen Kontaktnachverfolgung gelten sollten. Dazu zählten Zweckbindung, Offenheit und Transparenz, Freiwilligkeit und Risikoabwägung. Anders als beispielsweise die Corona-Warn-App der Bundesregierung erfülle das Luca-System keines dieser Prinzipien. So gebe es keine technische Zweckbindung, da bereits weitere Geschäftsmodelle basierend auf der Luca-App diskutiert würden. "Es wurde ein intransparent entwickeltes System in Betrieb genommen und selbst leicht zu findende Sicherheitslücken konnten erst im laufenden Betrieb entdeckt werden", kritisieren die Forscher.

Zudem sei der Nutzen des Systems zweifelhaft, "da sich die aktuelle Umsetzung im Wesentlichen auf die Automatisierung der manuellen Erfassung von Papierlisten beschränkt, die Auswertung jedoch weiter manuell durch die Gesundheitsämter erfolgt". Die doppelte Verschlüsselung der Kontaktdaten liefere hingegen deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer allein aufgrund der anfallenden Metadaten erstellen ließen.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Die Forscher empfehlen abschließend "eindringlich die Rückbesinnung auf die oben genannten Prinzipien und deren Anwendung bei der Entwicklung digitaler Werkzeuge zur Kontaktnachverfolgung. Insbesondere sollte es aus unserer Sicht keinen de facto Zwang zur Nutzung einer Lösung geben, die diese Prinzipien eklatant verletzt". Auch in einem dezentralen und datensparsamen System könnten notwendige Informationen zur Pandemiebekämpfung erhoben und den Gesundheitsämtern zur Verfügung gestellt werden.

Nachtrag vom 29. April 2021, 13:44 Uhr

Die Betreiber der App wiesen die Vorwürfe in einer ersten Stellungnahme, die Golem.de vorliegt, zurück. So sei die Zweckbindung der Daten gesetzlich nach der EU-Datenschutzgrundverordnung (DSGVO) geregelt und diene alleine der Kontaktnachverfolgung durch die Gesundheitsämter. Die Transparenz des Systems sei durch die Veröffentlichung von Quellcode, Kryptokonzept und Penetrationstests sichergestellt. Zudem werde die Freiwilligkeit des Systems in den Verordnungen der Länder festgeschrieben. Mit Blick auf die Risikoabwägung verweisen die Betreiber, Culture4life, auf Stellungnahmen von Wissenschaftlern wie Dirk Brockmann und Melanie Brinkmann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


AllDayPiano 30. Apr 2021

Wieso die Ämter? Wer einen Hochrisikokontakt angezeigt bekommen hat, geht zum testen. Und...

AntiiHeld 29. Apr 2021

Magst du mir sagen wer ein Haufen Geld für anonyme Simkarten bezahlt? Ich kenne...

Colorado 29. Apr 2021

Interessant die Sicherheitsbedenken mit Bezug auf eine Virologin und einen Physiker zu...

redmord 29. Apr 2021

Dem Betreiber wird von Seiten der Sicherheitsforscher entsprechend der ihm übergebenen...



Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
    •  /