Ein Hashtag lässt vermuten, die Luca-App sei gehackt worden. Das ist zwar nicht der Fall, allerdings zeigt ein Kollektiv eine schon länger bekannte Sicherheitslücke der Anwendung auf, die offenbar nicht geschlossen werden kann. Auf Gesundheitsämter könnten noch ganz andere Probleme zukommen.

Die Luca-App hat große Hoffnungen geweckt. Man kann mit ihr angeblich fälschungssicher und datenschutzkonform in Lokalitäten oder für Events einchecken und sie soll gleichzeitig Gesundheitsämtern im Fall von Ansteckungen eine "lückenlose Nachverfolgung und schnelles Stoppen von Infektionsketten" ermöglichen. Doch IT-Fachleute finden immer wieder Schwachstellen; Datenschützer und Sicherheitsexperten warnen vor der App.

Jetzt weist ein Kollektiv unter dem Twitter-Hashtag #lucahack erneut auf eine schon länger bekannte Sicherheitslücke hin. Sie erlaubt es, beliebig oft über Luca einzuchecken und dabei Namen und Ort frei zu wählen. Gesundheitsämter sehen derweil noch ganz andere Probleme auf sich zukommen.

Luci statt Luca

Das Kollektiv Peng! hat die Web-App Luci online gestellt, mit der man wahlweise alle Ministerpräsidenten, vier Popmusiker, 25 Hans Mustermänner oder sich selbst anonym beliebig oft einchecken kann. Ein Hack, wie es der Hashtag vermuten lässt, ist das allerdings nicht. Man habe nur die Sicherheitslücke aufgezeigt, den Angriff selbst wolle man nicht durchführen, schreibt das Kollektiv.

Peng! bietet den Luca-Machern außerdem an, die via Luci generierten Check-ins zur Verfügung zu stellen, um sie aus deren Datenbank herauszufiltern. "Sonst würden die Gesundheitsämter mit noch mehr Datenmüll zugekleistert, als die durch Luca ohnehin schon bekommen", so das Kollektiv. "Die Gesundheitsämter haben genug zu tun."

Digital, aber immer noch umständlich

Es verweist dabei auf ein Interview des Bundesdatenschutzbeauftragten Ulrich Kelber. Die Luca-App würde im Prinzip nur die umständliche analoge Kontaktnachverfolgung mit Anrufen und Papierlisten digital etwas schneller erledigen, sagte er der "Zeit". Vor einer Warnung möglicher Betroffener müssten Gesundheitsämter weiterhin zunächst die Daten auswerten und Betroffene persönlich kontaktieren. Für Kelber seien anonyme, dafür aber schnelle Warnungen der Corona-Warn-App daher wesentlich sinnvoller.

Das Problem der beliebigen Check-ins ist schon länger bekannt. Unter anderem berichtete "Heise", der Sicherheitsforscher Kurt Huwig habe festgestellt, "dass die Entwickler offenbar keinerlei Sicherheitsmechanismen versehen, die erkennen, ob jemand einen echten Luca-Barcode oder einen frei erfundenen präsentiert." Dies sei ungefähr so, als würde sich jeder eigene Autokennzeichen erstellen können und damit beliebig durch Blitzer fahren, ohne jemals belangt werden zu können, schreibt "Heise".

Verschlüsselung macht Kontrolle unmöglich

Die Luca-Macher gäben die Schwachstelle auch freimütig zu, weil sie konzeptionell sei und nicht behoben werden könne, schreibt Peng! Statt vieler verteilter Zettel in den Restaurants sei die Luca-App ein einziger großer Zettel im Internet, und zwar der gleiche für alle Restaurants. Die Daten würden darauf "verschlüsselt." Durch die Verschlüsselung könne Luca aber nicht mehr kontrollieren, was man auf den Zettel schreibe. Außerdem könne die Verifizierung von Telefonnummern ebenfalls umgangen werden. Das kritisiert unter anderem auch der Chaos Computer Club (CCC) und im Internet kursieren Anleitungen, um andere Nummern zu verwenden.

In einer Stellungnahme schreibt die für Luca verantwortliche culture4life GMBH, die Vorwürfe des CCC seien überzogen. Ihre App sei lediglich ein Hilfsmittel zur Bekämpfung der Pandemie, aber nicht der alleinige Heilsbringer. Die Luca-App könne wie andere Hilfsmittel gegen Corona ausgetrickst werden. Außerdem seien die hinterlegten Nutzerdaten nicht gefährdet.

Das mag stimmen. Allerdings ist die Luca-App doch deutlich mehr als ein einfaches Hilfsmittel. So teilten die Verantwortlichen am 3. Mai mit, es seien inzwischen 297 Gesundheitsämter an das Luca-System angebunden worden. Dabei werde ein möglicher Missbrauch durch Absprachen mit Datenschutzbehörden und Gesundheitsämtern erschwert.

Fragwürdige Öffentlichkeitsarbeit

Die culture4life GMBH bezieht sich darin auch auf eine Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 29. April. "Das System weist dem Grunde nach eine tragfähige technische Architektur auf. Dennoch erforderliche Weiterentwicklungen des Systems werden die zuständigen Aufsichtsbehörden fortlaufend kritisch prüfen", zitieren die Luca-Macher die DSK. Dass die Datenschützer in den Sätzen davor die Möglichkeit, die Luca-App mit Fake-Identitäten zu nutzen und die damit verbundene Missbrauchsgefahr scharf kritisieren, erwähnen sie nicht.

Außerdem bestätigt die DSK, dass massenhaft gefakte Check-ins zu einer Überlastung von Gesundheitsämtern führen können. "Ein Kontaktnachverfolgungssystem, das nicht in der Lage ist, den Gesundheitsämtern valide Daten zu liefern, die diese für die Kontaktnachverfolgung effizient einsetzen können, wird seiner Zwecksetzung nicht gerecht. Es sollte derart abgesichert werden, dass zumindest das Gesundheitsamt beim Kontakt-Tracing missbräuchliche Einträge erkennen kann."

Die DSK fordert außerdem, Nutzer von Luca-Schlüsselanhängern vor der Nachverfolgung ihrer Aufenthalte zu schützen. Bis die Verantwortlichen von IT-Fachleuten gewarnt wurden, genügte laut "Netzpolitik.org" ein Foto des auf den Anhängern abgebildeten Codes, um ein Bewegungsprofil des Nutzers zu erstellen.

Besserungen angekündigt

Die culture4Life GmbH hat inzwischen eine Datenschutz-Folgenabschätzung und einen Arbeitsplan vorgelegt, mit dem in mehreren Schritten Nachbesserungen erreicht werden sollen. Unter anderem haben die Luca-Macher angekündigt, nicht ordnungsgemäß verifizierte Telefonnummern würden den Gesundheitsämtern ab Mitte Mai nicht mehr angezeigt und die Nutzung von nicht ordnungsgemäß verifizierten Schlüsselanhängern werde ausgeschlossen.

Die DSK schreibt, sie erkenne die Anstrengungen und Kooperationsbereitschaft der culture4life GmbH an und das System weise dem Grunde nach auch eine tragfähige technische Architektur auf. Man erwarte aber, "dass dieser Arbeitsplan unverzüglich und mit der größtmöglichen Sorgfalt" abgearbeitet wird, so die DSK.

Gefahr für Gesundheitsämter

Gesundheitsämtern droht durch die Anbindung an das Luca-System möglicherweise eine noch größere Gefahr als eine Überlastung der Kapazitäten. Das Aachener Amt nutzt die App nicht mehr, weil es fürchtet, Angreifer könnten über Sicherheitslücken in der Luca-Software Zugriff auf dessen Datenbanken erhalten. "Mit dem nächsten Update hätte Luca direkt auf unsere Server geschrieben", sagte der verantwortliche Dezernent Michael Ziemons der "Zeit". "Nach all den Sicherheitsproblemen ist mir das schlicht zu gefährlich."

Direkter Zugriff bedeutet, Luca soll an Sormas (Surveillance Outbreak Response Management and Analysis System) angebunden werden. Dabei handelt es sich um eine Software zum Management für Maßnahmen zur Epidemiebekämpfung, die viele, aber nicht alle Gesundheitsämter im Kampf gegen Corona einsetzen. Über eine Schnittstelle wäre das Luca-System dann direkt mit den Sormas-Datenbanken verbunden.

Kritische Sonderzeichen erlaubt

Angreifer könnten von Luca übermittelte CSV-Dateien manipulieren und so komplette Datenbänke löschen oder Datensätze auslesen, sagte IT-Sicherheitsexperte Manuel Atug der "Zeit". CSV-Dateien dürfen daher üblicherweise keine Sonderzeichen enthalten. Diese werden nämlich für Formeln in Excel-Tabellen genutzt, die als Angriffsinstrument eingesetzt werden könnten.

Bei Luca sind Sonderzeichen allerdings erlaubt, da sie laut Luca-CEO Patrick Hennig in Namen vorkämen. Dies sei aber nicht gefährlich, sagte er der "Zeit". Möglicher Schadcode werde von React - der dahinterliegenden Software-Bibliothek, die Luca nutze - entsprechend behandelt und so "sichergestellt, dass hier kein Schaden entsteht". Auch in Sormas selbst werde das Thema "sicherlich auch nach etablierten Standards umgesetzt".

IT-Sicherheitsexperte Marcus Mengs bezweifelt dies aber wegen der Ende-zu-Ende-Verschlüsselung von Luca. Namen würden erst beim Gesundheitsamt entschlüsselt, weshalb vorher kein Schadcode herausgefiltert werden könne. React sei auch nicht dafür da, Angriffe zu verhindern, sondern biete neue Angriffsflächen.

Grundlagen der Sicherheit missachtet?

Zwar könne das Verbot von Sonderzeichen das Problem nicht endgültig lösen, so Manuel Atug der "Zeit". Dass die Luca-Macher nicht einmal an diese Grundlagen der Sicherheit zum Schutz der Gesundheitsämter denken, "disqualifiziert das Unternehmen". Offenbar nähmen sie alles ungeprüft entgegen, reichten es ungefiltert weiter und machten sich kein bisschen Gedanken darum.

Das System identifiziere Schadcode zwar und maskiere ihn als nicht ausführbaren Code, erklärte Gérard Krause, Chef der Abteilung Epidemiologie am Helmholtz-Zentrum für Infektionsforschung und Sormas-Leiter, der "Zeit". "Dennoch haben die Gesundheitsämter eine Verantwortung, dafür Sorge zu tragen, dass die Schnittstellen nur für vertrauenswürdige und auf Datenschutz und Datensicherheit geprüfte Systeme geöffnet werden."

Krause hält auch den Nutzen einer Sormas-Anbindung des Luca-Netzwerks nicht für groß. Zwar verbessere dies die Datenlage für die Gesundheitsämter und stelle einen Beitrag zu Verbesserung der Infektionsketten-Rückverfolgung dar, sagt er. "Einen allzu hohen Effekt auf die konkrete Eindämmung der Pandemie sollte man sich daraus aber nicht erhoffen."