Letztes Update: 4. Mai 2021, 13:49

Die anfängliche Freude weicht …

Anfangs hat man sich viel von der Luca-App versprochen. Es klang durchdacht, simpel und vielversprechend. Die erste Trübung kam dann, als offen gelegt wurde, dass Teile des Quellcodes offenbar aus Open-Source-Projekten kopiert wurden und sogar die Urheberverweise aus dem Quellcode entfernt wurden.

Weiterhin gab es großen Unmut darüber, dass der Quellcode (‘Sourcecode’) lange Zeit nicht offen dargelegt wurde. Erst nach Wochen gab der Hersteller dann den Sourcecode auf GitHub frei.

Neue Sicherheitsbedenken

Nun allerdings tauchen erheblich Bedenken zu “schweren Sicherheitsbedenken” auf. Michael Ziemons, der Dezernent für Soziales und Gesundheit der Städteregion Aachen ist alarmiert. Eine Update-Ankündigung zur Luca-App beinhaltete das “Feature”, Daten künftig direkt auf die Server der Gesundheitsämter zu spielen. Das ist für viele Experten allerdings ein erhebliches Sicherheitsrisiko! Denn die Daten sind ‘End-to-End’-Verschlüsselt. Sollten nun also kompromittierte Daten auf dem Weg zum Server unterwegs sein, würde man die Kompromittierung erst auf der Serverseite feststellen – und das könnte dann bereits zu spät sein! Denn übermittelt werden reine CSV-Daten (eine standardisierte Rohform von Datensätzen). Trägt man in solchen Datensätzen z. B. ausführbare Formeln ein, kann das eine ernsthafte Gefahr für die Ämter und auch Kundendatendarstellen! Jede Sicherheitslücke im Luca-System würde somit auch direkt eine Schwachstelle im System des Gesundheitsamts darstellen. „Und es klingt nicht so, als könnte man denen vertrauen“, so Michael Ziemons.

IT-Experte warnt

Der IT-Experte Manuel Atug warnt hier ebenfalls deutlich:

„Luca übermittelt CSV-Dateien. Wenn diese bereits manipulierte Einträge enthalten und diese ungeprüft in Datenbanken des Gesundheitssystems übernommen werden, kann man damit beispielsweise die ganze Datenbank löschen – oder sogar andere Datensätze auslesen. Deshalb gehört es zum Einmaleins der IT-Sicherheit, es nicht zuzulassen, dass ungeprüfte Daten übernommen werden.“

Um genau solche “Injections” in den Datensätzen zu unterbinden, sollte es beispielsweise verboten sein, bei seinem Benutzername bestimmte Zeichen einzugeben, die sonst nur für Steuerbefehle verwendet werden – die Luca-App lässt sie hingegen zu! Ob eine nachträgliche Datenfilterung (vor dem Server) stattfindet ist nicht geklärt – und die ‘End-to-End’-Verschlüsselung ist hier sicherlich ein Erschwernis der möglichen Filterung. Es wäre also notwendig, die ankommenden Daten im Gesundheitsamt zu extrahieren und erst dann, nach einer Prüfung, in das System zu spielen.

Zuständig für die Datensicherheit ist nicht der Hersteller der Luca-App, sondern der Dienstleister NEXENIO.

Dass Nexenio nicht einmal an diese Grundlagen der Sicherheit zum Schutz der Gesundheitsämter denkt, disqualifiziert das Unternehmen. Die Luca-Macher nehmen offenbar alles ungeprüft entgegen, reichen es ungefiltert weiter und haben sich kein bisschen Gedanken darum gemacht“, so Atug weiter.

‘Hack-Anleitungen’ in Telegram-Querdenker-Groups

Die Frage, “Wer könnte Interesse daran haben, die Daten zu sabotieren?” beantwortet sich bereits dadurch, dass in Telegram-Gruppen der Querdenker-Szene Anleitung zur Luca-Sabotage verfügbar sind!

Auch der Chaos-Computer-Club warnt

Auch Sicherheitsexperten zahlreicher Universitäten und Forschungsinstitute warnen bereits. Allerdings richtet sich hier der Fokus mehr auf die Verletzung wichtiger datenschutzrechtlicher Prinzipien wie Zweckbindung, Offenheit und Transparenz, Freiwilligkeit und Risikoabwägung. All diese Punkte sind eindeutig in der DSGVO geregelt und verbindlich, Pandemie hin oder her.

Der Chaos Computer Club (CCC) ist sehr deutlich, was die Sicherheit angeht. So schreibt der CCC auf seiner Webseite:

„Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab “Luca-App.“

Der Chaos-Computer-Club fordert daher die sofortige “Bundesnotbremse” für die Luca-App.

Im Ergebnis zeigt sich offenbar, dass hier mit der “ganz heißen Nadel” gestrickt wurde – sehr schade! Es gibt sehr viel zu tun … aber es sieht nicht so aus, als wenn die Zeit dafür überhaupt noch reicht. Man kann wohl davon ausgehen, dass bei diesem Projekt nur die Entwickler der App ‘gewonnen’ haben – immerhin hat der Bund mit Millionen subventioniert!

Titelleistenbild:
Luca-App: https://www.luca-app.de/
Foto Smudo: Stefan Brending (2eight)
Lizenz: (CC BY-SA 3.0)
Montage: IKC

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

13 − 4 =