Piraten: Die Luca-App ist eine Gefahr für die Datensicherheit

HOMBERG/EFZE. Im Sommer 2020 wurde im Auftrag der Bundesregierung die „Corona-Warn-App“ veröffentlicht, die bis heute überwiegend schnell und effektiv vor Infektionsgefahren warnt, ohne dabei den Schutz der sensiblen persönlichen Daten der Nutzer zu vernachlässigen. In letzter Zeit wird allerdings massiv Werbung für die Luca-App gemacht. Auch die Verwaltung des Schwalm-Eder-Kreises plant den Einsatz dieser App.

„Auch wenn es in unserem Sinne ist, wenn moderne und digitale Möglichkeiten genutzt werden, so sehen wir den regelrechten Wirbel um die Luca-App doch sehr kritisch. Sie hat einfach zu viele Schwachstellen!“ ist sich Marcel Duve, Vorsitzender des Kreisverbandes Schwalm-Eder der Piraten sicher. „Hatten anfangs viele Menschen die Corona-Warn-App ungerechtfertigt abgelehnt, weil sie sich nicht auf Schritt und Tritt überwachen lassen wollten, so wird dies nun mit der Luca-App zum Teil Realität, doch kaum jemandem fällt es auf.“ kritisiert er. Und weiter führt er aus: „Doch die App ist nicht nur eine Gefahr für die Datensicherheit der Bürgerinnen und Bürger, sondern auch für die aller Gesundheitsämter, auch für Unseres!“

Mit dieser Aussage spielt er auf die vor kurzem bekanntgewordene Sicherheitslücke an, mit der sehr einfach mit gefakten Nutzerdaten Schadcode auf die Rechner des Gesundheitsamtes geschleust werden kann. Eine Sicherheitslücke, deren Existenz vom Entwickler der App immer bestritten wurde.

Die Piraten sehen weitere Schwachpunkte der App:

• Der Ankauf der Lizenzen durch das Land Hessen erfolgte ohne Einhaltung üblicher Vergaberichtlinien.
• Die App ist nicht barrierefrei.
• Zahlreiche Sicherheitslücken wurden aufgedeckt, die vom Hersteller nur sehr zögerlich, teilweise auch bis heute gar nicht behoben wurden.
• Gleichzeitig erfasst die „Luca-App“ in großem Umfang Bewegungs- und Kontaktdaten: Wer hat sich wann und wo aufgehalten und wie lange. Die Daten werden zentralisiert und auf Vorrat bei einem auf Gewinnerzielung ausgerichteten Privatunternehmen gesammelt und gespeichert.
• Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzerinnen und Nutzer allein aufgrund der anfallenden Metadaten erstellen lassen. Eine solche umfassende Datensammlung an einer zentralen Stelle birgt massives Missbrauchspotential und das Risiko von gravierenden Datenlecks. Ein wirksamer Schutz vor Hackerangriffen ist generell nicht möglich, dies zeigen zahlreiche Beispiele aus der Vergangenheit, zuletzt beim Lebensmittelhändler Tegut.
• Selbst ohne Nutzung der App ist man vor Erstellung eines detaillierten Bewegungsprofils nicht sicher. Nutzt man einen der Luca-Schlüsselanhänger, reicht einer versierten Person ein Foto des auf dem Anhänger befindlichen QR-Codes, um alle Nutzungen der vergangenen 30 Tage auszulesen.
• Mittels relativ einfacher Methoden, u.a. mit der „Luci-App“ kann man eine Vielzahl gefälschter Daten ins System einschleusen, die die Arbeit der Gesundheitsämter erschweren.

„Der mangelnde Schutz der sensiblen Daten der Nutzerinnen und Nutzer ist sicherlich das größte Manko“, zieht Constanze Gläser, bei der Kommunalwahl neu in den Kreistag gewählt, ein Fazit. „Ich selbst habe einen Bekannten, der über das Internet Zugriff auf sein komplettes Bewegungsprofil bekam. Er ist zwar technisch versiert, aber sicher nicht das, was man sich im Allgemeinen unter einem Hacker vorstellt. Und man sollte nicht vergessen, nachdem für viel Steuergeld eine sichere App entwickelt wurde, kauft man jetzt noch mal für Millionen Euro eine unsichere App ein. Alleine das Land Hessen hat über 2 Mio. € für eine 1-Jahres-Lizenz ausgegeben.“

Die Piraten empfehlen deshalb der Kreisverwaltung, die App im Interesse der Bürgerinnen und Bürger, aber auch im Interesse der Kreisverwaltung, möglichst nicht zu nutzen oder zu bewerben. Möchte man sie dennoch einsetzen, dann nur als eine von mehreren Möglichkeiten. Es sind zusätzliche vorbeugende IT-Schutzmaßnahmen im Gesundheitsamt nötig; gleichzeitig sollte die App keinesfalls für die Bürger zur Voraussetzung gemacht werden, um Einrichtungen oder Veranstaltungen betreten zu dürfen.

Hierzu sagt Marcel Duve: „Es wäre wünschenswert, wenn die Bürgerinnen und Bürger nicht nur über die wenigen Vorteile der Luca-App informiert würden, die diese gegenüber der offiziellen Corona-Warn-App hat. Insbesondere sollte man auch über die zahlreichen Nachteile sprechen. Dann kann jeder für sich eine fundierte Entscheidung treffen, welches System er oder sie nutzen will. Schließlich verfügt auch die Corona-Warn-App über eine Eventregistrierung“, so Marcel Duve abschließend. (wal)