Zu hohe Risiken: Sicherheitsforscher warnen vor Luca-App

Mehr als 70 Sicherheitsexperten zahlreicher Universitäten und Forschungsinstitute warnen vor den Risiken der Luca-App bei der digitalen Kontaktnachverfolgung. "Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele. Selbst große Unternehmen sind nicht in der Lage, solche Systeme vollständig zu sichern", heißt es in einer gemeinsamen Erklärung, die am 29. April 2021 veröffentlicht wurde. Die mit dem Luca- System verbundenen Risiken erschienen "völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen".

In den vergangenen Wochen haben fast alle Bundesländer Lizenzverträge mit den Betreibern der Luca-App abgeschlossen und dafür teilweise Millionenbeträge vereinbart. Wegen der anhaltenden Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) bereits Mitte April eine "Bundesnotbremse" für die Lizenzierung der App durch die Länder.

Der nun veröffentlichten Erklärung zufolge verletzt die App wichtige Prinzipien, die bei der digitalen Kontaktnachverfolgung gelten sollten. Dazu zählten Zweckbindung, Offenheit und Transparenz, Freiwilligkeit und Risikoabwägung. Anders als beispielsweise die Corona-Warn-App der Bundesregierung erfülle das Luca-System keines dieser Prinzipien. So gebe es keine technische Zweckbindung, da bereits weitere Geschäftsmodelle basierend auf der Luca-App diskutiert würden. "Es wurde ein intransparent entwickeltes System in Betrieb genommen und selbst leicht zu findende Sicherheitslücken konnten erst im laufenden Betrieb entdeckt werden", kritisieren die Forscher.

Zudem sei der Nutzen des Systems zweifelhaft, "da sich die aktuelle Umsetzung im Wesentlichen auf die Automatisierung der manuellen Erfassung von Papierlisten beschränkt, die Auswertung jedoch weiter manuell durch die Gesundheitsämter erfolgt". Die doppelte Verschlüsselung der Kontaktdaten liefere hingegen deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer allein aufgrund der anfallenden Metadaten erstellen ließen.

Die Forscher empfehlen abschließend "eindringlich die Rückbesinnung auf die oben genannten Prinzipien und deren Anwendung bei der Entwicklung digitaler Werkzeuge zur Kontaktnachverfolgung. Insbesondere sollte es aus unserer Sicht keinen de facto Zwang zur Nutzung einer Lösung geben, die diese Prinzipien eklatant verletzt". Auch in einem dezentralen und datensparsamen System könnten notwendige Informationen zur Pandemiebekämpfung erhoben und den Gesundheitsämtern zur Verfügung gestellt werden.

Nachtrag vom 29. April 2021, 13:44 Uhr

Die Betreiber der App wiesen die Vorwürfe in einer ersten Stellungnahme, die Golem.de vorliegt, zurück. So sei die Zweckbindung der Daten gesetzlich nach der EU-Datenschutzgrundverordnung (DSGVO) geregelt und diene alleine der Kontaktnachverfolgung durch die Gesundheitsämter. Die Transparenz des Systems sei durch die Veröffentlichung von Quellcode, Kryptokonzept und Penetrationstests sichergestellt. Zudem werde die Freiwilligkeit des Systems in den Verordnungen der Länder festgeschrieben. Mit Blick auf die Risikoabwägung verweisen die Betreiber, Culture4life, auf Stellungnahmen von Wissenschaftlern wie Dirk Brockmann und Melanie Brinkmann.