Gefährliche Schlüsselanhänger

Datenschutz-Eklat in Bremen: Spionage bei der Luca App?

Die von Rapper Smudo angepriesene Luca App sollte die Lösung bei der Infektionsverfolgung in Bremen sein. Nun gibt es Stress wegen mangelndem Datenschutzes.

Update vom 19. April 2021: Als Antwort auf die Kritik gab nun auch das Bundesamt für Sicherheit in der Informationstechnik bekannt, die App schon seit Längerem auf Sicherheitsmängel zu prüfen. Allerhöchste Zeit für eine App, die bereits von zwei Dritteln der deutschen Bundesländer als der „Way to Go“ ausgeschrieben und mit 20 Millionen Euro subventioniert wurde.

Wichtig für das weitere Vorgehen der Bundesregierung ist auch, dass sich die analogen Schlüsselanhänger trotz ihrer Sicherheitslücken weiter großer Beliebtheit erfreuen. Vor allem auf den Nordfriesischen Inseln wurden mehrere hundert davon ausgegeben.

Bremen – Eigentlich war alles so einfach: Vor dem Restaurant das Handy oder den Schlüsselanhänger zücken, den QR-Code einscannen und hereinspaziert. Seit Kurzem wird die App sogar vom Frontman Smudo von Fanta4, einer der beliebtesten Rapgruppen Deutschlands, beworben. Doch für die Warn-App gibt es nun einen heftigen Dämpfer: Der Chaos-Computer-Club (kurz CCC) fordert die Einstellung der App – es gibt große Datenschutzlücken.

Appname:Luca
Funktion:App zur Nachverfolgung von Infektionsketten
Entwickler:neXenio
Erscheinungsdatum:26. März 2021 im Playstore, 30. März im iOS Appstore
Betriebssystem:Android, iOS, Browserbasierte Webapp

Luca App in Bremen: Vor allem Nutzer des Offline-Schlüsselanhängers von Datenleck betroffen

Neben diversen anderen Bundesländern ist auch der Bremer Senat sehr angetan von der App, die erst seit einem knappen Monat offiziell am Markt ist. Auch wenn momentan die lokale App „Gast Bremen“ Marktführer ist, möchte die Bremer Führungsriege „Luca“ trotz der Vorwürfe fest in der Stadt integrieren.

Das Hauptproblem aus Sicht des CCC findet sich in der Offline-Lösung der App: ein kleiner Schlüsselanhänger von der Größe einer Kreditkarte. Auf und in ihm befinden sich ein Mikrochip und ein aufgedruckter QR-Code, den man anstatt der App am Eingang zur Location seiner Wahl scannen kann, über 100.000 dieser Kärtchen wurden in den letzten Wochen ausgegeben.

Gerade beim Einscannen des QR-Codes der Luca App könnte es zu Hacker-Angriffen kommen.

Wenn es nun aber jemand von außerhalb schafft, den QR-Code zu scannen, erhält er nahezu unverschlüsselt Zugang zum Bewegungsprofil der letzten 30 Tage und allen Orten, an denen sich der Besitzer des Anhängers eingescannt hat. Das extra für die Überprüfung der App gegründete Team „Luca Track“ legte vor Kurzem diese Datenschutzlücke offen. Auch der CCC nahm infolgedessen das Thema auf – und verfasste einen Artikel, in dem er die Einstellung der App und den Stopp der staatlichen Finanzierung forderte.

Luca App in Bremen: Entwickler reagiert auf Kritik

Grund für diese radikalen Forderungen ist aber nicht nur das Datenleck. Linus Neumann, Sprecher des CCC, kritisiert zusätzlich eine „nicht abreißende Kette von Sicherheitsproblemen“ und den seiner Ansicht nach viel zu leichtfertigen Umgang der Bundesländer mit der App. Über 20 Millionen an Steuergeldern flossen bereits in die Lizenzierung, ohne transparente Ausschreibungen. Und das, obwohl viele Unternehmen wie der Möbel-Riese IKEA inzwischen einen App-Zwang haben.

Die Hackergemeinschaft sieht das sehr kritisch, da die Daten zwar nur in den zuständigen Gesundheitsämtern gespeichert werden, aber auch das private Startup neXenio vollständigen Zugriff darauf hat.

Die Entwickler der App reagierten schnell: Bereits einen Tag nach dem aufkommenden Shitstorm ist nun der komplette Quellcode der App online einsehbar, und die App wurde, wie schon zuvor die Corona-Warn-App, zum Open-Source-Projekt erklärt. Auch wurde in einer Nacht-und-Nebel-Aktion die Schwachstelle an den Schlüsselanhängern an nur einem Tag behoben.

Luca App in Bremen: Auch für IKEA Mittel der Wahl

Auch das größte Möbelhaus Deutschlands, IKEA, vertraut auf die Luca App – seit Kurzem besteht in allen Filialen eine Pflicht zur Luca-App: nur damit oder dem Schlüsselanhänger kann man an einem Click & Meet teilnehmen. Sollte es allerdings die angekündigte Corona-Notbremse geben, hätte sich auch diese Möglichkeit erledigt, denn auch Möbelhäuser bleiben von den Schließungen nicht ausgenommen.

Keine gravierenden Sicherheitsmängel

Rapper Smudo, Mitentwickler der Luca-App

Die einzige Möglichkeit, sich noch das Sperrholzregal seiner Wahl zu besorgen, wäre ein Click & Collect oder aber die kostenpflichtige Lieferung nach Hause.

Luca App in Bremen: Smudo weist heftige Kritik zurück

Das Mitglied der Rap-Crew „Die Fantastischen Vier“, Smudo, weist die Vorwürfe des CCC zurück. Er hat die App mitentwickelt, sie in ganz Deutschland durch mehrere Talkshow-Auftritte populär gemacht. Laut ihm gibt es jedoch „keine gravierenden Sicherheitsmängel“.

Trotzdem nehme man die Kritik ernst: „Kleinigkeiten“ wären behoben worden. Auch wirft er dem CCC selbst vor, „recht schrill in seinen Behauptungen“ zu sein. Dabei sind die Computer-Cracks bei weitem nicht die einzigen Kritiker, sondern vielmehr mehr nur einige von vielen. Jüngst äußerten führende Kryptologen und IT-Sicherheitsforscher sich zu den offenkundigen Risiken* der Luca-App.

Luca App in Bremen: Restaurant- und Barbesitzer wollen andere App

In Bremen tut sich für die Luca-App fernab von allen Kritikpunkten noch ein ganz anderes Problem auf: Bremens Restaurant- und Barbetreiber wollen eine eigene App. In und um die Hansestadt hatte sich schon im Vorfeld eine Alternative zur staatlichen Corona-Warnapp herauskristallisiert: das lokale Programm „Gast Bremen“.

Welcher der beiden Wettbewerber sich nun am Ende durchsetzt oder ob das Land eine Pflicht für die Luca-App ausstellt, hängt sicherlich auch davon ab, wie sich die Luca-Entwickler jetzt weiter mit den Kritikpunkten auseinandersetzen, momentan ist es dahingehend jedoch schwer, eine Prognose zu stellen. * nordbuzz.de, kreiszeitung.de, 24hamburg sind Angebote von IPPEN.MEDIA

Rubriklistenbild: © Christoph Soeder/dpa

Das könnte Dich auch interessieren

Kommentare