Diese Woche war und ist weiterhin geprägt von Schlagzeilen über vermeintliche Sicherheitslücken in der Luca-App. Im Zentrum stand dabei eine Schwachstelle im zugehörigen Schlüsselanhänger. Diese und weitere Sicherheitslücken sind inzwischen von den Entwicklern geschlossen oder dementiert worden. Die Nutzung der Luca-App und der Schlüsselanhänger sei somit sicher, so die Entwickler. Trotzdem steht die Luca-App weiter in der Kritik und wird aktuell von Datenschutzbehörden geprüft.

Die Luca-App ermöglicht die Registrierung von Personen bei Veranstaltungen, Restaurantbesuchen oder privaten Treffen zum Zweck der Kontaktnachverfolgung in der Pandemie. Technisch realisiert wird dies durch das Scannen eines persönlichen, verschlüsselten QR-Codes vor Ort („Check-In“), der alle relevanten persönliche Daten enthält, welche bei der Registrierung in die App zuvor von der jeweiligen betroffenen Person selbst eingetragen wurden. Die gesammelten, gescannten QR-Codes werden vom Gastgeber, der keinen Einblick in die persönlichen Daten hat, dem Gesundheitsamt übermittelt. Dort werden die QR-Codes entschlüsselt und die persönlichen Daten werden für die Behörde sichtbar. Wird eine Infektion bei einem Veranstaltungsort festgestellt, können alle betroffenen Personen informiert werden und alle notwendigen Maßnahmen eingeleitet werden, um Infektionsketten zu unterbrechen.

Personen ohne Smartphone können alternativ, nach einer Registrierung auf der Luca-Webseite, ihren persönlichen QR-Code auf einen Schlüsselanhänger drucken lassen, um diesen für den oben beschriebenen „Check-In“ zu nutzen. IT-Experten vom Chaos Computer Club (CCC) haben nun festgestellt, dass es für Kriminelle mit technischem Knowhow möglich war, den QR-Code vom Schlüsselanhänger auszulesen und so an die persönlichen Daten der Betroffenen sowie an die Liste der „Check-Ins“ zu gelangen, die zentral gespeichert werden.
Die Culture4life GmbH, die Entwickler der App, haben umgehend reagiert, räumten die Kritik ein, wiesen aber darauf hin, diese Schwachstelle inzwischen geschlossen zu haben. Auch weitere Sicherheitsmängel, die angemahnt wurden, seien längst behoben worden, so die Macher der Luca-App.

Darüber hinaus hat das Berliner Unternehmen den Programmcode der Luca-App im Netz veröffentlicht. Somit können Personen mit Programmierkenntnissen prüfen, wie die App funktioniert und sie hinsichtlich möglicher Sicherheitsmängel testen. Nach aktuellen Pressemeldungen prüfen nun auch einige Landesdatenschutzbehörden die App auf eventuelle Datenschutzmängel. Auch deshalb, weil der Chaos Computer Club den Vorwurf erhoben hat, das zentrale Luca-System sei in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen. Die Culture4life GmbH wies diesen Vorwurf als „Fundamentalkritik an zentralen Datenspeichersystemen“ zurück.

SiBa rät zur Gelassenheit. Nach aktueller Sachlage erweist sich die Luca-App samt Schlüsselanhänger als sicher. Sobald sich Datenschutz- oder Sicherheitsmängel der Luca-App tatsächlich als kritisch bzw. gravierend herausstellen, wird SiBa darüber informieren.