In den vergangenen Tagen begegneten viele der Luca-App zum ersten Mal im Alltag. Ikea, die Buchhandelskette Thalia oder auch Holz Possling in Berlin machen die App inzwischen zur Voraussetzung, um einkaufen zu dürfen. Die App soll den Gesundheitsämtern dabei helfen, die digitale Kontaktverfolgung zu gewährleisten, wenn Deutschland irgendwann wieder aufmacht. In mehreren Bundesländern ist sie inzwischen Standard.
Zugleich reißt die Kritik an der App nicht ab. Gestern tauchte die wohl bislang gravierendste Sicherheitslücke auf. Die IT-Expert:innen Bianka Kastl und Tobias Ravenstein machten gemeinsam mit weiteren Fachleiten öffentlich, wie auch Unbefugte mit Daten aus Luca eine Bewegungshistorie anderer Nutzer:innen rekonstruieren konnten: Mit minimalen Programmierkenntnissen ließ sich nachvollziehen, an welchen Orten die Nutzerin in den vergangenen 30 Tagen war. Ein Traum für alle, die eine andere Person ohne deren Wissen überwachen oder stalken wollen, ein Alptraum für die Betroffenen.
„Lucatrack“ nennen sie diese Sicherheitslücke, unter dem entsprechenden Hashtag lässt sich in den sozialen Medien inzwischen einiges dazu lesen. Den Machern der App zufolge ist sie bereits seit gestern geschlossen, Kastl und ihre Mitstreiter hatten die Firma vorab informiert.
Foto des Anhängers reicht
Die Schwachstelle findet sich in einem Bereich, den die Betreiber von Luca als Stärke verkauften: den Schlüsselanhängern zur App. Mit diesen sollten alle, die kein Luca-fähiges Smartphone besitzen, dennoch an dem System teilnehmen können und ihre Kontaktdaten bei Veranstaltungen oder in Läden hinterlassen können. 14.000 solcher Anhänger sind den Luca-Machern zufolge aktuell im Umlauf. Auf ihnen ist ein QR-Code gedruckt, den Veranstalter einscannen können.
In der App selbst wird dieser QR-Code ständig neu generiert, niemand checkt zwei Mal mit dem gleichen Code ein. Auf dem Anhänger ist das nicht möglich, der Code ist dadurch klar der Besitzerin des Anhängers zuzuordnen. „Damit entsteht die Sicherheitslücke LucaTrack.“
Wie man die Daten bekam, demonstrierte die Gruppe in einem Video anhand eines Prototyps von Luca: Demnach reichte ein Foto des auf dem Schlüsselanhänger befindlichen QR-Codes, um alle Check-ins nachzuvollziehen, die in den vergangenen 30 Tagen damit passierten. Zu sehen waren dann Adressen und Koordinaten der besuchten Orte sowie der Zeitpunkt, zu dem man dort war – ganz übersichtlich auf einer Karte dargestellt.
Verräterische Metadaten
Das Start-up NeXenio, das hinter Luca steht, hat die Sicherheitslücke bestätigt. In einer noch gestern Abend veröffentlichten Stellungnahme schreiben die Macher: „Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.“ Das ist richtig, allerdings weist die Gruppe um Kastl darauf hin, dass diese Daten auch gar nicht entscheidend sind. In der Regel lässt sich allein aus den Metadaten – also der Information, wer zu welchem Zeitpunkt wo war – die Identität einer Person recht schnell rekonstruieren.
Besonders bedenklich ist die Lücke auch, weil Luca in einigen Bundesländern nicht nur für das Einkaufen oder den Museumsbesuch zum Einsatz kommen soll. In Mecklenburg-Vorpommern etwa sind auch Kirchen, Moschee, Schulen oder Selbsthilfegruppen ausdrücklich dazu aufgefordert werden, Anwesende mit Hilfe von Luca zu dokumentieren. Alles von der Hochzeit bis zur privaten Geburtstagsfeier soll über die App laufen.
Die Gruppe um Kastl und Ravenstein fordert die Macher von Luca nun dazu auf, die Schlüsselanhänger aus dem Umlauf zu ziehen. Luca-Gründer Patrick Hennig sagt dagegen: „Die Schlüsselanhänger selbst haben keinerlei Problem.“ Dass Nutzer:innen der Anhänger ihre Kontakthistorie auslesen könnten, sei von Anfang an so vorgesehen. Die Luca-Macher raten in ihrer Stellungnahme deswegen lediglich dazu, den eigenen Anhänger besser zu hüten. „Wir empfehlen Nutzer:innen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen.“
Die IT-Expert:innen geben an, auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk, über die Lücke informiert zu haben. Smoltczyk hatte zuvor bereits gemahnt, es gebe noch beträchtliche Probleme mit Luca, die Hürden für Hacker müssten erhöht werden. Dass der Senat ohne vorherige Überprüfung 1,2 Millionen Euro für den Einsatz der App ausgab, nannte sie „suboptimal“.
Chaos Computer Club fordert Moratorium
Der Chaos Computer Club fordert nach Bekanntwerden der Lücke „ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs.“ Für den Umgang mit hochsensiblen Bewegungs- und Gesundheitsdaten verbiete sich der Einsatz einer Software, deren Komponenten bislang nicht mal von unabhängigen Fachleuten überprüft werden konnten. Der Code des Backends, über das die Luca-Daten laufen, ist trotz der Ankündigung von NeXenio bislang nicht öffentlich.
IT-Sicherheitsexpert:innen haben aber noch aus weiteren Gründen Vorbehalte gegen Luca. Ganz abgesehen von den vielen kleinen Sicherheitslücken, die in den vergangenen Wochen auf Twitter diskutiert wurden, sehen sie ein grundsätzliches Problem in der zentralen Datenverwaltung. Das Start-up trägt damit eine enorme Verantwortung für die Sicherheit der Nutzer:innendaten. Umgekehrt müssen diese sich stark auf die Versprechen von NeXenio verlassen – ein Ausmaß an Vertrauen, das die jetzt bekannt gewordene Sicherheitslücke nicht steigern dürfte. Sicherheitsforscher:innen hatten immer wieder darauf hingewiesen, dass allein die Metadaten, die Luca sammelt, für Unternehmen, Kriminelle, aber auch für Geheimdienste ausgesprochen interessant sind.
13 Bundesländer haben inzwischen Lizenzvereinbarungen für den Einsatz von Luca abgeschlossen. Die Kosten belaufen sich auf mindestens 20 Millionen Euro, wie netzpolitik.org recherchierte. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million. Eine Ausschreibung hat nur in Bayern stattgefunden, alle anderen Bundesländer verweisen auf Ausnahmen von den Vergaberegeln in Zeiten der Pandemie.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires