Zu hohe Risiken: Sicherheitsforscher warnen vor Luca-App

Die Kritik an der Luca-App reißt nicht ab. Sicherheitsforscher sehen unverhältnismäßige Risiken für die Daten der Nutzer.

Artikel veröffentlicht am ,
Die Luca-App gefällt Sicherheitsexperten überhaupt nicht.
Die Luca-App gefällt Sicherheitsexperten überhaupt nicht. (Bild: Friedhelm Greis/Golem.de)

Mehr als 70 Sicherheitsexperten zahlreicher Universitäten und Forschungsinstitute warnen vor den Risiken der Luca-App bei der digitalen Kontaktnachverfolgung. "Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele. Selbst große Unternehmen sind nicht in der Lage, solche Systeme vollständig zu sichern", heißt es in einer gemeinsamen Erklärung, die am 29. April 2021 veröffentlicht wurde. Die mit dem Luca- System verbundenen Risiken erschienen "völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen".

Stellenmarkt
  1. IT Security Officer Infrastruktur (m|w|d)
    MTU Aero Engines AG, München
  2. Assistent (m/w/d) des Vorstands
    Württembergische Versicherung AG, Stuttgart
Detailsuche

In den vergangenen Wochen haben fast alle Bundesländer Lizenzverträge mit den Betreibern der Luca-App abgeschlossen und dafür teilweise Millionenbeträge vereinbart. Wegen der anhaltenden Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) bereits Mitte April eine "Bundesnotbremse" für die Lizenzierung der App durch die Länder.

Der nun veröffentlichten Erklärung zufolge verletzt die App wichtige Prinzipien, die bei der digitalen Kontaktnachverfolgung gelten sollten. Dazu zählten Zweckbindung, Offenheit und Transparenz, Freiwilligkeit und Risikoabwägung. Anders als beispielsweise die Corona-Warn-App der Bundesregierung erfülle das Luca-System keines dieser Prinzipien. So gebe es keine technische Zweckbindung, da bereits weitere Geschäftsmodelle basierend auf der Luca-App diskutiert würden. "Es wurde ein intransparent entwickeltes System in Betrieb genommen und selbst leicht zu findende Sicherheitslücken konnten erst im laufenden Betrieb entdeckt werden", kritisieren die Forscher.

Zudem sei der Nutzen des Systems zweifelhaft, "da sich die aktuelle Umsetzung im Wesentlichen auf die Automatisierung der manuellen Erfassung von Papierlisten beschränkt, die Auswertung jedoch weiter manuell durch die Gesundheitsämter erfolgt". Die doppelte Verschlüsselung der Kontaktdaten liefere hingegen deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer allein aufgrund der anfallenden Metadaten erstellen ließen.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Die Forscher empfehlen abschließend "eindringlich die Rückbesinnung auf die oben genannten Prinzipien und deren Anwendung bei der Entwicklung digitaler Werkzeuge zur Kontaktnachverfolgung. Insbesondere sollte es aus unserer Sicht keinen de facto Zwang zur Nutzung einer Lösung geben, die diese Prinzipien eklatant verletzt". Auch in einem dezentralen und datensparsamen System könnten notwendige Informationen zur Pandemiebekämpfung erhoben und den Gesundheitsämtern zur Verfügung gestellt werden.

Nachtrag vom 29. April 2021, 13:44 Uhr

Die Betreiber der App wiesen die Vorwürfe in einer ersten Stellungnahme, die Golem.de vorliegt, zurück. So sei die Zweckbindung der Daten gesetzlich nach der EU-Datenschutzgrundverordnung (DSGVO) geregelt und diene alleine der Kontaktnachverfolgung durch die Gesundheitsämter. Die Transparenz des Systems sei durch die Veröffentlichung von Quellcode, Kryptokonzept und Penetrationstests sichergestellt. Zudem werde die Freiwilligkeit des Systems in den Verordnungen der Länder festgeschrieben. Mit Blick auf die Risikoabwägung verweisen die Betreiber, Culture4life, auf Stellungnahmen von Wissenschaftlern wie Dirk Brockmann und Melanie Brinkmann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
QR-Codes
Corona-Warn-App verfügt über Eventregistierung
artikel-bild
Stellungnahme
Entwickler der Luca-App bezeichnen CCC-Kritik als überzogen
artikel-bild
Bewegungsprofil auslesbar
CCC fordert "Bundesnotbremse" für Luca-App
artikel-bild
Kontaktnachverfolgung
Fast 20 Millionen Euro für die Luca-App
artikel-bild
"Grenzenlose Profitgier"
DGB kritisiert FFP2-Masken-Verbot bei Amazon
Meistgelesen
artikel-bild
Microsoft
11 gute Gründe gegen den Umstieg auf Windows 11
artikel-bild
Reddit
IT-Arbeiter automatisiert seinen Job angeblich vollständig
artikel-bild
Bundesservice Telekommunikation
Ist eine scheinexistente Behörde für Wikipedia relevant?
artikel-bild
Sportuhr im Hands-on
Garmin Fenix 7 mit Touchscreen und Saphirglas-Solarstrom
artikel-bild
Spielebranche
Microsoft will Activision Blizzard übernehmen
Kommentarübersicht
Re: Es gibt gute(!) Alternativen
AllDayPiano 30. Apr 2021

Wieso die Ämter? Wer einen Hochrisikokontakt angezeigt bekommen hat, geht zum testen. Und...

Re: Bewertung von Papierlisten wäre interessant
AntiiHeld 29. Apr 2021

Magst du mir sagen wer ein Haufen Geld für anonyme Simkarten bezahlt? Ich kenne...

Konter
Colorado 29. Apr 2021

Interessant die Sicherheitsbedenken mit Bezug auf eine Virologin und einen Physiker zu...

In anderen Worten ...
redmord 29. Apr 2021

Dem Betreiber wird von Seiten der Sicherheitsforscher entsprechend der ihm übergebenen...

Aktuell auf der Startseite von Golem.de
Bundesservice Telekommunikation  
Die dubiose Adresse in Berlin-Treptow

Angeblich hat das Innenministerium nichts mit dem Bundesservice Telekommunikation zu tun. Doch beide teilen sich offenbar ein Bürogebäude.
Ein Bericht von Friedhelm Greis

Bundesservice Telekommunikation: Die dubiose Adresse in Berlin-Treptow
Artikel
  1. Spielebranche: Microsoft will Activision Blizzard übernehmen
    Spielebranche
    Microsoft will Activision Blizzard übernehmen

    Diablo und Call of Duty gehören bald zu Microsoft: Der Softwarekonzern will Activision Blizzard für rund 70 Milliarden US-Dollar kaufen.

  2. E-Mail: Outlook-Suche in MacOS 12.1 ist noch immer kaputt
    E-Mail
    Outlook-Suche in MacOS 12.1 ist noch immer kaputt

    Seit Wochen ärgern sich Outlook-User darüber, dass die E-Mail-Suche unter MacOS 12.1 nicht mehr richtig funktioniert. Ein Fix ist in Arbeit.

  3. Reddit: IT-Arbeiter automatisiert seinen Job angeblich vollständig
    Reddit
    IT-Arbeiter automatisiert seinen Job angeblich vollständig

    Ein anonymer IT-Spezialist will unbemerkt seinen Job vollständig automatisiert haben. Dem Arbeitgeber sei dies seit einem Jahr nicht aufgefallen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 Digital inkl. 2. Dualsense bestellbar • RTX 3080 12GB bei Mindfactory 1.699€ • Samsung Gaming-Monitore (u.a. G5 32" WQHD 144Hz Curved 299€) • MindStar (u.a. GTX 1660 6GB 499€) • Sony Fernseher & Kopfhörer • Samsung Galaxy A52 128GB 299€ • CyberGhost VPN 1,89€/Monat [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /