Vernichtende Kritik an Luca-App

0
315
Erst hochgelobt, nun verteufelt: Die Kontaktnachverfolgungs-App Luca. (Foto: iXimus, www.pixabay.com)

Über 70 Sicherheitsforscherinnen und -forscher haben der Luca-App ein schlechtes Zeugnis ausgestellt. Das System erfülle nicht die Anforderungen an Zweckbindung, Offenheit und Freiheit.

In einem offenen Brief fordern die Experten aus Deutschland, Österreich und Schweiz eine Rückbesinnung auf die Einhaltung zentraler Grundprinzipien bei der digitalen Kontaktverfolgung: Zweckbindung, Offenheit und Transparenz, Freiwilligkeit, Risikoabwägung. Auf diese hatten sich vor einem Jahr über 600 internationale Wissenschaftlerinnen und Wissenschaftler verständigt. “Das bereits in vielen Bundesländern eingesetzte Luca-System erfüllt keine dieser Prinzipien”, heißt es nun im Brief.

Es bestehe eine Abhängigkeit von einem einzelnen Privatunternehmen mit Gewinninteresse. So hätte der Betreiber des Systems bereits weitere Geschäftsmodelle auf Basis von Luca diskutiert. Da anders als etwa bei der Corona-Warn-App der Bundesregierung der Quellcode nicht offenliegt, konnten “selbst leicht zu findende Sicherheitslücken” erst im laufenden Betrieb gefunden werden. Bewegungs- und Kontaktdaten würden im großen Umfang zentralisiert erfasst und bei einem einzelnen Unternehmen gespeichert. Die versprochene doppelte Verschlüsselung biete keinen ausreichenden Schutz, weil sich Bewegungsprofile schon aus anfallenden Metadaten erstellen ließen. “Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotential und das Risiko von gravierenden Datenleaks”, kritisieren die Forscher. Bei der Corona-Warn-App waren solche Bedenken Anlass gewesen, auf eine dezentrale Speicherung zu setzen.

Wirksam oder nicht?

Gelobt wurde die Luca-App bisher vor allem, weil mit Kontakttagebuch und Gästeregistrierung eine wirksame Kontaktnachverfolgung möglich sein soll. Die IT-Sicherheitsforscher ziehen den Nutzen jedoch in Zweifel. So beschränke sich die Umsetzung bisher im Wesentlichen auf die automatisierte Erfassung von Papierlisten – bei den Gesundheitsämtern erfolge die Auswertung jedoch weiter manuell. Zudem bestehe die Gefahr, dass Gesundheitsämter zusätzlich belastet werden, weil Luca leicht und in großer Zahl falsche oder manipulierte Anmeldungen und Check-Ins erlaube. Im Fazit heißt es: “Die mit dem Luca-System verbundenen Risiken erscheinen völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.”

Den offenen Brief haben IT-Sicherheitsexperten renommierter Forschungsstandorte unterzeichnet, darunter das Forschungsinstitut CODE der Universität der Bundeswehr, das CISPA Helmholtz Center for Information Security, das Karlsruher Institut für Technologie, das Hasso-Plattner-Institut und das Fraunhofer ISI. Zuvor hatte bereits der Chaos Computer Club in einer umfassenden Stellungnahme Sicherheits- und Datenschutzmängel bei Luca festgestellt.

Die kommerzielle Luca-App hatte zuvor als wirksamere Alternative zur Corona-Warn-App der Bundesregierung viel Lob erhalten. Inzwischen haben 13 Länder und zahlreiche Landkreise Lizenzen gekauft. Fast die Hälfte der Gesundheitsämter ist angeschlossen. Medienberichten zufolge sollen dafür über 20 Millionen Euro geflossen sein.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here