BR24 Logo
BR24 Logo
Startseite
© dpa-Bildfunk/Paul Zinken
Bildrechte: dpa-Bildfunk/Paul Zinken

Mancherorts wird Luca wohl Voraussetzung zum Einlass werden. Doch es gibt immer wieder Bedenken gegen die Anwendung.

2
Per Mail sharen

    Bewegungsdaten von Luca-Usern abrufbar - CCC fordert "Notbremse"

    Wer kein Smartphone hat, kann die Luca-Anwendung auch per Schlüsselanhänger mit QR-Code nutzen. Doch diese Lösung birgt laut Experten Ausspäh-Gefahr. Luca hat das abgestellt, doch warnt seine Nutzer. Der CCC fordert derweil eine Luca-Notbremse.

    2
    Per Mail sharen
    Von
    • Thomas Moßburger

    Mehrere Monate zogen 2020 ins Land bis auch Deutschland eine eigene Corona-Warn-App vorstellen konnte. Grund dafür war auch der hohe Stellenwert, den Datenschutz in Deutschland besitzt. Das machte die staatliche Warn-App diesbezüglich sicher, aber teils auch weniger funktional, da infizierte App-User ihre Infektion schlicht nicht in der App mit ihren Kontakten teilen müssen.

    Pragmatischer soll da die private Luca-App vorgehen, wenn auch ihr Anwendungsfall ein anderer ist: Der User, der eine Kneipe, ein Möbelhaus oder ein Konzert besuchen will, checkt per App dort ein und aus. Der Betreiber weiß, wer wann vor Ort war. Wird eine dieser anwesenden Personen später positiv getestet, erhalten die Gesundheitsämter die Daten der anderen Anwesenden. Letztlich eine Art digitale Version der Papierzettel, die letztes Jahr in Restaurants auslagen. Auch Bayern nutzt jetzt Luca.

    Pragmatisch geht man bei Luca auch mit dem Problem um, dass nicht jeder Mensch ein Smartphone hat. Alternativ zur App gibt es Schlüsselanhänger mit QR-Codes. Der User registriert den Anhänger am PC und gibt dort seine Kontakt-Daten an. Das Möbelhaus oder die Kneipe checkt dann den Schlüsselanhänger-User an der Tür ein und aus. Doch genau diese Lösung bietet oder bot offenbar eine Sicherheitslücke.

    "LucaTrack": Schlüsselanhänger-User in Gefahr

    IT-Experten, die ihre Erkenntnisse "LucaTrack" nennen, ist es laut einen Angaben (auch in Videoform) gelungen, die Bewegungsdaten beziehungsweise die Eincheck-Historie von Luca-Schlüsselanhänger-Nutzer auszulesen. Alles, was sie dafür brauchten, war ein Bild des QR-Codes auf dem Anhänger. Mit laut den "LucaTrack"-Veröffentlichern "einfachen Programmierkenntnissen" ist es anschließend möglich zu sehen, wo der User sich in den vergangenen 30 Tagen eingeloggt hat, mit Geo-Daten und Zeiten der Check-Ins.

    Vor allem in Hinblick darauf, dass die Luca-Anwendungen nicht nur für Shoppen und Schoppen, sondern auch fürs Einchecken bei Gottesdiensten oder politischen Veranstaltungen genutzt werden sollen, liegen hier durchaus intime Informationen offen. Um die Bewegungsdaten mit einer Person zu verknüpfen, müssten potentielle Angreifer allerdings herausfinden, wem der Anhänger gehört. Natürlich können sie jedoch auch gezielt die Anhänger von Leuten abfotografieren, die sie überwachen möchten: die Ehefrau, den Konkurrenten um die Beförderung, den missliebigen Angestellten. Die "LucaTrack"-Macher raten daher von der Nutzung der Schlüsselanhänger ab. Sie haben zudem Luca und den Berliner Datenschutzbeauftragten auf das Problem hingewiesen.

    Luca reagiert - und warnt

    Luca gibt dazu in einem Statement auf seiner Website an: "Wir wurden heute im Rahmen einer Meldung darauf aufmerksam gemacht, dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten. Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung." Daten wie Adresse oder Telefonnummer der Nutzer seien aber ohnehin nicht abrufbar gewesen.

    Dennoch warnt Luca in der Mitteilung davor, die QR-Codes-Schlüsselanhänger für andere Zwecke als für das Einchecken an offiziellen Luca-Locations zu nutzen, also etwa anderswo scannen zu lassen und Fotos des persönlichen QR-Codes im Netz zu veröffentlichen.

    CCC fordert "Bundesnotbremse" für Luca

    "LucaTrack" ist nicht das erste Bedenken gegen Luca, das laut eigenen Angaben bis Anfang Mai in 300 von 375 Gesundheitsämtern genutzt werden soll. So gab es schon in den vergangenen Wochen Kritik an der Funktionalität, aber auch Sicherheitsbedenken. Brisant eben zuletzt vor allem dadurch, dass der Staat mittlerweile bereits auf Luca setzt und dafür auch mehrere Millionen Euro an die Betreiber zahlt.

    Darauf verweisen auch die Datenschutz-Aktivisten des Chaos Computer Club (CCC) in einer aktuellen Stellungnahme: "Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt." Zudem habe es keine korrekten Ausschreibungsverfahren gegeben. Vielmehr habe die Initiative hinter Luca es mit einer eine Marketing-Kampagne des an Luca beteiligten Rappers Smudo geschafft, binnen Monaten "Millionen für ein unreifes und untaugliches Produkt einzuwerben".

    "COVID-Glücksritter", die "weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen", nennt der Sprecher des Chaos Computer Clubs, Linus Neumann, die Luca-App-Initiative gar. Der CCC fordert angesichts dessen eine "Bundesnotbremse" für Luca oder ausführlicher: "ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs."

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!