„Bundesnotbremse“ für die Software gefordert

Luca-App: Sicherheitslücke bei Schlüsselanhänger - Experten warnen

Mit der Software „Luca“ soll per App und Schlüsselanhänger das normale Leben trotz Corona wieder möglich sein. Jetzt wurde eine Sicherheitslücke bekannt. Experten schlagen Alarm.

Hamm - Corona-Apps sollen das Leben in der Pandemie erleichtern und Besuche in der Bar, im Restaurant, im Fitnessstudio oder beim Klamottenladen sicherer machen. Besondere Aufmerksamkeit bekam zuletzt die Software „Luca“ des Start-Ups Nexenio, nicht zuletzt durch Werbung von Smudo, Rapper der bekannten Band Fantastischen Vier. Doch jetzt gerät die Software hinter der Luca-App und dem Luca-Schlüsselanhänger zunehmend in die Kritik, eine Sicherheitslücke lässt Experten aufhorchen. Der Chaos Computer Club (CCC) schlägt Alarm. (News zum Coronavirus)

AppLuca
EntwicklerNexenio
BetriebssystemAndroid, IOS, WebApp im Browser

Luca-App: Sicherheitslücke bei Schlüsselanhänger - Experten fordern „Bundesnotbremse“ für Software

Datenschutz-Aktivisten entdeckten die Schwachstelle bei den Luca-Schlüsselanhängern, die für Menschen ohne Smartphone gedacht sind. Die Gruppe veröffentlichte ihre Recherchen unter dem Titel „Lucatrack“. Laut Zeit Online, denen die vollständige Analyse vorliegt, soll es möglich gewesen sein, auszulesen, wann und wo Personen mit dem Schlüsselanhänger eingecheckt hatten.

Damit hätten Angreifer Bewegungsprofile erstellen oder einzelne Personen in Echtzeit verfolgen können. Laut der Gruppe war es mit einfachen Mitteln möglich, die Luca-Software so zu manipulieren, dass alle besuchten Orte einer bestimmten Person ausgelesen werden konnten.

Alles, was man für den Missbrauch der Daten benötige, sei ein Foto des QR-Codes, der auf dem Luca-Schlüsselanhänger aufgedruckt ist. Nutzer der Luca-App sind nicht betroffen gewesen.

Minimale Programmierkenntnisse seien ausreichend gewesen, um die Lücke auszunutzen, sagt „Lucatrack“-Mitglied Tobias Ravenstein im Gespräch mit Zeit Online. „Damit lässt sich ein Programm schreiben, das dem Angreifer in Echtzeit mitteilt, wo sich ein Nutzer gerade aufhält.“

Sicherheitslücke bei Luca-Schlüsselanhänger - Entwickler Nexenio räumt Schwachstelle ein

Der Entwickler der App, das Berliner Start-Up Nexenio, räumte ein, „dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten“. „Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden“, teilte das Unternehmen mit.

Die Macher der Luca-App empfahlen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen, um einen „böswilligen Missbrauch zu vermeiden“.

Sicherheitslücke bei Luca-Schlüsselanhänger: Chaos Computer Club (CCC) fordert „Bundesnotbremse“

Trotz schneller Behebung der Sicherheitslücke war die Kritik-Welle groß. Der Chaos Computer Club (CCC) forderte in einer Stellungnahme, das Luca-System nicht länger zu verwenden. „Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit“, sagte Club-Sprecher Linus Neumann.

Er verwies auf eine „nicht abreißende Serie von Sicherheitsproblemen“. In den vergangenen Wochen seien eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt worden.

Der CCC fordert ein „umgehendes Moratorium“, eine Art „Bundesnotbremse“ beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten durch den Bundesrechnungshof überprüft werden. Niemand dürfe gezwungen werden, die App zu verwenden, um am öffentlichen Leben teilzunehmen. „Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbietet sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst.“

Luca-App in vielen Bundesländern aus Steuermitteln finanziert - auch in NRW

Die Luca-App wird in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg aus Steuermitteln finanziert. Die eingesetzten Mittel summieren sich nach Recherchen des Portals Netzpolitik.org auf insgesamt 20 Millionen Euro.

In Nordrhein-Westfalen haben bereits mehrere Landkreise die Kontaktnachverfolgung mit der Software von „Luca“ getestet. So hat der Kreis Warendorf sowohl die App als auch die Schlüsselanhänger getestet. (mit dpa-Material)

Rubriklistenbild: © Christoph Soeder/dpa

Das könnte Sie auch interessieren

Kommentare

Unsere Kommentarfunktion wird über den Anbieter DISQUS gesteuert.

Hinweise zum Kommentieren: Auf wa.de können Sie Ihre Meinung zu einem Artikel äußern. Im Interesse aller Nutzer behält sich die Redaktion vor, Beiträge zu prüfen und gegebenenfalls abzulehnen. Halten Sie sich beim Kommentieren bitte an unsere Richtlinien: Bleiben Sie fair und sachlich - keine Beleidigungen, keine rassistischen, rufschädigenden und gegen die guten Sitten verstoßenden Beiträge. Kommentare, die gegen diese Regeln verstoßen, werden von der Redaktion kommentarlos gelöscht. Bitte halten Sie sich bei Ihren Beiträgen an das Thema des Artikels. Lesen Sie hier unsere kompletten Nutzungsbedingungen.


Bitte beachten Sie: Die Kommentarfunktion unter einem Artikel wird automatisch nach drei Tagen geschlossen.

Netiquette
Hinweis: Kommentieren Sie fair und sachlich! Rassistische, pornografische, menschenverachtende, beleidigende oder gegen die guten Sitten verstoßende Äußerungen sind verboten und werden gelöscht.

Kommentare