Zu hohe Risiken: Sicherheitsforscher warnen vor Luca-App

Die Kritik an der Luca-App reißt nicht ab. Sicherheitsforscher sehen unverhältnismäßige Risiken für die Daten der Nutzer.

Artikel veröffentlicht am ,
Die Luca-App gefällt Sicherheitsexperten überhaupt nicht.
Die Luca-App gefällt Sicherheitsexperten überhaupt nicht. (Bild: Friedhelm Greis/Golem.de)

Mehr als 70 Sicherheitsexperten zahlreicher Universitäten und Forschungsinstitute warnen vor den Risiken der Luca-App bei der digitalen Kontaktnachverfolgung. "Einzelne Systeme, die als zentrale Datenspeicher fungieren, sind attraktive und kaum vor Angriffen zu schützende Ziele. Selbst große Unternehmen sind nicht in der Lage, solche Systeme vollständig zu sichern", heißt es in einer gemeinsamen Erklärung, die am 29. April 2021 veröffentlicht wurde. Die mit dem Luca- System verbundenen Risiken erschienen "völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen".

In den vergangenen Wochen haben fast alle Bundesländer Lizenzverträge mit den Betreibern der Luca-App abgeschlossen und dafür teilweise Millionenbeträge vereinbart. Wegen der anhaltenden Probleme mit dem Luca-System forderte der Chaos Computer Club (CCC) bereits Mitte April eine "Bundesnotbremse" für die Lizenzierung der App durch die Länder.

Der nun veröffentlichten Erklärung zufolge verletzt die App wichtige Prinzipien, die bei der digitalen Kontaktnachverfolgung gelten sollten. Dazu zählten Zweckbindung, Offenheit und Transparenz, Freiwilligkeit und Risikoabwägung. Anders als beispielsweise die Corona-Warn-App der Bundesregierung erfülle das Luca-System keines dieser Prinzipien. So gebe es keine technische Zweckbindung, da bereits weitere Geschäftsmodelle basierend auf der Luca-App diskutiert würden. "Es wurde ein intransparent entwickeltes System in Betrieb genommen und selbst leicht zu findende Sicherheitslücken konnten erst im laufenden Betrieb entdeckt werden", kritisieren die Forscher.

Zudem sei der Nutzen des Systems zweifelhaft, "da sich die aktuelle Umsetzung im Wesentlichen auf die Automatisierung der manuellen Erfassung von Papierlisten beschränkt, die Auswertung jedoch weiter manuell durch die Gesundheitsämter erfolgt". Die doppelte Verschlüsselung der Kontaktdaten liefere hingegen deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer allein aufgrund der anfallenden Metadaten erstellen ließen.

Die Forscher empfehlen abschließend "eindringlich die Rückbesinnung auf die oben genannten Prinzipien und deren Anwendung bei der Entwicklung digitaler Werkzeuge zur Kontaktnachverfolgung. Insbesondere sollte es aus unserer Sicht keinen de facto Zwang zur Nutzung einer Lösung geben, die diese Prinzipien eklatant verletzt". Auch in einem dezentralen und datensparsamen System könnten notwendige Informationen zur Pandemiebekämpfung erhoben und den Gesundheitsämtern zur Verfügung gestellt werden.

Nachtrag vom 29. April 2021, 13:44 Uhr

Die Betreiber der App wiesen die Vorwürfe in einer ersten Stellungnahme, die Golem.de vorliegt, zurück. So sei die Zweckbindung der Daten gesetzlich nach der EU-Datenschutzgrundverordnung (DSGVO) geregelt und diene alleine der Kontaktnachverfolgung durch die Gesundheitsämter. Die Transparenz des Systems sei durch die Veröffentlichung von Quellcode, Kryptokonzept und Penetrationstests sichergestellt. Zudem werde die Freiwilligkeit des Systems in den Verordnungen der Länder festgeschrieben. Mit Blick auf die Risikoabwägung verweisen die Betreiber, Culture4life, auf Stellungnahmen von Wissenschaftlern wie Dirk Brockmann und Melanie Brinkmann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


AllDayPiano 30. Apr 2021

Wieso die Ämter? Wer einen Hochrisikokontakt angezeigt bekommen hat, geht zum testen. Und...

AntiiHeld 29. Apr 2021

Magst du mir sagen wer ein Haufen Geld für anonyme Simkarten bezahlt? Ich kenne...

Colorado 29. Apr 2021

Interessant die Sicherheitsbedenken mit Bezug auf eine Virologin und einen Physiker zu...

redmord 29. Apr 2021

Dem Betreiber wird von Seiten der Sicherheitsforscher entsprechend der ihm übergebenen...



Aktuell auf der Startseite von Golem.de
JPEG XL
Die Browserhersteller sagen nein zum Bildformat

JPEG XL ist das überlegene Bildformat. Aber Chrome und Firefox brechen die Implementierung ab. Wir erklären das Format und schauen auf die Gründe für die Ablehnung.
Eine Analyse von Boris Mayer

JPEG XL: Die Browserhersteller sagen nein zum Bildformat
Artikel
  1. Walking Simulator: Gameplay von The Day Before erntet Spott
    Walking Simulator
    Gameplay von The Day Before erntet Spott

    Nach Betrugsvorwürfen haben die Entwickler von The Day Before nun Gameplay veröffentlicht - das nicht besonders gut ankommt.

  2. Lasertechnik: Hoffnung auf Femtosekundenlaser für die Hosentasche
    Lasertechnik
    Hoffnung auf Femtosekundenlaser für die Hosentasche

    An der Universität Yale wurde ein Titan-Saphir-Laser auf einem Chip erzeugt und fortgeschrittene Lasertechnik auf Millimetergröße geschrumpft.

  3. Knockout City: Drei Games-as-a-Service weniger in einer Woche
    Knockout City
    Drei Games-as-a-Service weniger in einer Woche

    Rumbleverse, Apex Legends Mobile und Knockout City: Innerhalb weniger Tage heißt es Game Over für drei bekannte Multiplayerspiele.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindfactory DAMN-Deals: Grakas, CPUs & Co. • HTC Vice 2 Pro Full Kit 899€ • RAM-Tiefstpreise • Amazon-Geräte bis -50% • Samsung TVs bis 1.000€ Cashback • Corsair HS80 7.1-Headset -42% • PCGH Cyber Week • Samsung Curved 27" WQHD 267,89€ • Samsung Galaxy S23 vorbestellbar [Werbung]
    •  /