Die „Luca App“ soll die Kontakterfassung während der Corona-Pandemie vereinfachen. Nachdem man sich einmalig beim App-Anbieter mit Namen und Adresse angemeldet hat, muss man sich in den besuchten Orten nur noch durch ein schnelles Scannen eines QR-Codes einchecken. Wenn das Gesundheitsamt die Daten eines Ortes benötigt, kann es mit seinem Teil der Luca Software die Besucherlisten abrufen. Das Ausfüllen von Zetteln entfällt für Besucher und die App ist in vielen Bundesländern offiziell erlaubt und mit den Gesundheitsämtern verbunden. Bei einigen Pilotprojekten war die Nutzung der Luca App für Besucherinnen und Besucher verpflichtend. In einigen Bundesländern ist inzwischen ebenfalls die anonyme Corona Warn App (CWA) erlaubt.
IT Szene vs. Anwender
Von der IT-Szene wird die App regelmäßig für die schlechte Softwarequalität kritisiert, von den Gewerbetreibenden und deren Gästen viel genutzt, weil ihre Handhabung einfach ist. Die Diskussionen über die Vor- und Nachteile der Luca App erinnern an die Diskussionen zu Facebook, WhatsApp oder Windows: Es gibt nachvollziehbare Gründe, all diese Dinge zu meiden. Meist geht es um Datenschutz oder die Qualität der Software. So konnten wir in einem Test eine Luca-Veranstaltung erstellen, welche von 600.000 fiktiven Gäste besucht wurde. Doch all diese Probleme interessiert Millionen Menschen gar nicht. Für viele Menschen ist die Luca App nichts anderes, als eine Türklinke: Es ist eine technische Sache, die man benutzen muss, um Zugang zu einem Ort zu erhalten. Sie wollen nicht wissen, ob eine andere Türklinke besser wäre. Sie wollen sich auch nicht darüber unterhalten, warum man in dieser Welt überhaupt Türklinken, Türen und Türschlösser braucht. Sie wollen schnell rein und das Angebot genießen.
Die potentiellen Nutzer davon zu überzeugen, dass sie die Luca App aufgrund der Code-Qualität nicht nutzen sollen, ist eine Sackgasse. Personen mit Android Smartphones, Instagram und Google-Mail zu erklären, dass die Luca App ein potentielles Datenschutzproblem ist, greift ebenfalls ins Leere. Die potentielle Gefahr für die Nutzer besteht in einem Abgreifen ihrer Daten. Fremde Menschen wüssten dann wann und wo sich die Nutzer aufgehalten haben. Für einen Großteil der Bevölkerung ist dies gar keine schützenswerte Information. Sie stellen diese Information auf Social-Media-Kanälen bereits freiwillig zur verfügung.
Neue Sicherheitslücken
In der vergangenen Woche gab es erneut Probleme mit der Luca App, welche der Sicherheitsforscher Marcus Mengs im Details erklärte. Auf Twitter veröffentlichte er Videos, welche den Teil der Software zeigen, der vom Gesundheitsamt genutzt wird. Mengs meldete sich an einem Ort mit manipulierten Daten als vermeintlicher Besucher an. Diese Daten konnte die Software jedoch nicht korrekt verarbeiten, wodurch die Software auf Seiten des Gesundheitsamtes abstürzte und die Besucherliste nicht exportiert werden konnte. Würden Angreifer solche Lücken finden und sich an vielen Orten anmelden, so könnte dies dazu führen, dass viele dieser Daten beim Gesundheitsamt nicht abgerufen werden können. Bösartige Softwareentwickler würden eine solche gefundene Lücke im System für sich behalten, oder an Dritte verkaufen. Sicherheitsforscher wie Mengs veröffentlichen diese, damit sie bekannt sind und alle beteiligten das Problem lösen können.
Dafür zu sorgen, dass vom Nutzer getätigte Eingaben keinen Schaden an der eigenen Software anrichten können, ist dabei ein völlig normaler Vorgang innerhalb der Softwareentwicklung. Man möchte dafür Sorgen, dass kein schädlicher Code eingeschleust werden kann. Ein etwas hinkender Vergleich aus dem echten Leben wäre, dass ein Bankangestellter bei der Einzahlung am Schalter auch prüft, ob man ihm wirklich Geld gibt. Würde man ihm ein Paket überreichen, in dem offensichtlich eine Person mit einem Schweissbrenner sitzt, so würde der Bankangestellte diese „Einzahlung“ abweisen und nicht in den Tresor bringen. Und genau so sollte eine Software erkennen, welche Daten angenommen werden sollen und welche nicht. Vor allem aber sollte dieser Schritt in der Softwareentwicklung abgeschlossen sein, bevor die Software bundesweit zum Einsatz kommt.
Die Macher der Luca App meldeten sich nach vierzig Minuten auf Twitter zurück und gaben an, dass die Gesundheitsämter das Problem mit dem Luca-Kundendienst lösen könnten, sobald es auftrete. Genau solche Antworten sind es, welche die Sicherheitsforscher auf der anderen Seite bemängeln. Diese Aussagen haben nichts mit dem Problem oder der Lösung des Problems zu tun. Ein „Schauen wir uns an“ und eine spätere, qualifizierte Rückmeldung würde sicher mehr Zustimmung finden. Zumal hier hochqualifizierte Softwareentwickler kostenlos Lücken im Millionen teuren Luca System suchen und finden.
Wer sorgt für eine sichere Programmierung?
Alternativ könnten Bürger vermuten, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Prüfung von Software zuständig sei, welche für die gesamte Bevölkerung Relevanz hat. Das BSI teilte jedoch mit: „Wir haben nur die mobile #LucaApp (iOS, Android) im Rahmen unseres App-Testing-Portals durch einen IT-Sicherheitsdienstleister prüfen lassen. Diese Tests haben begrenzte Prüftiefe. (…) Es gibt keinen Auftrag an uns, intensivere Prüfung der #LucaApp oder Apps anderer Anbieter vorzunehmen.“
Gestern gab es ein Software-Update für die Gesundheitsämter, welche das gefundene Problem lösen sollten, aber ein Neues einführte. Und das neue Probleme könnte um ein vielfaches schwerwiegender sein. In einem Video erklärt Mengs den Ablauf an einem Beispiel:
Eine Person, in diesem Fall Lisa Haupt genannt, wird positiv auf Corona getestet. Die gefundene Infektion wird dem Gesundheitsamt gemeldet. Das Amt fragt Lisa, ob sie die Luca App nutzt, welches Lisa bejaht. Lisa gibt ihr Luca App Bewegungsprofil dem Gesundheitsamt frei. Das Amt sieht, dass Lisa im „Nightclub“ war. Also schickt das Gesundheitsamt per Luca eine Anfrage an den „Nightclub“ und bittet den Club, die Daten des betroffenen Zeitraumes freizugeben. Der „Nightclub“ erlaubt dem Gesundheitsamt den Zugriff auf die digitale Gästeliste und das Gesundheitsamt kann die Liste der Personen sehen, welche die Luca App nutzen und zur gleichen Zeit wie Lisa im „Nightclub“ waren. Diese Liste von Personen wird dann von der Luca App exportiert, damit man sie im SORMAS-System („Surveillance Outbreak Response Management and Analysis System“ – „Überwachung Ausbruchsreaktion Management- und Analysesystem“) des Gesundheitsamtes öffnen kann.
Aber: In dieser Gästeliste sind nicht nur die Daten von Lisa und den tatsächlich anwesenden Gästen, sondern auch die Daten des Angreifers, welcher manipulierte Kontakte über seine Luca App hinterlegt hatte. Genau die Daten, deren Eingabe nicht korrekt geprüft wurden. Nun konnte der Angreifer nicht wissen, dass Lisa an diesem Abend in diesen „Nightclub“ geht und später positiv getestet wird. Daher hat sich der Angreifer mit seinen manipulierten Daten einfach an jedem Abend der Woche in allen großen Clubs, Bars und Theatern angemeldet und auf einen solchen Fall gehofft.
Nun öffnet jemand im Gesundheitsamt die exportierte Gästeliste und erhält eine Fehlermeldung. Sofern diese einfach weg geklickt wird, können die manipulierten Daten des Angreifers einen Schadcode enthalten, welcher auf dem Computer des Gesundheitsamtes ausgeführt wird. Zum Beispiel eine Software, welche die Daten auf dem Computer verschlüsselt und nur gegen eine Art Lösegeldzahlung wieder freigibt. Das im Videos vorgeführte Problem ist so etwas wie ein Totalschaden in der Software Branche.
Ein grundlegenderes Problem ist jedoch, dass analog auf Papier und digital in Apps, eine Menge personenbezogener Daten erhoben werden, welche in seltensten Fällen genutzt werden. Nach Aussage des örtlichen Gesundheitsamtes ist ihnen kein Fall bekannt, in welchem sie aufgrund dieser Daten zeitnah (ein Tag) reagieren und eine Ausbreitung einer Infektion verhindern konnten. Genau das ist aber der einzige Grund für diese Datenerhebung.
Eine unsichere Zukunft?
Da der Hersteller Nexenio sein Produkt Luca nun aber mit Veränderungen und Erweiterungen versieht, die immer wieder weitere Probleme erzeugen, ergibt sich ein Problem:
Ein in 13 Bundesländern verwendetes Produkt, welches alle Zusammenkünfte des öffentlichen Lebens betreffen kann, wird unbegleitet von einem Unternehmen weiter betrieben. Dieses hat wiederholt gezeigt, dass das Verständnis und die Kompetenz zum Betrieb eines solchen Konzepts nicht im notwendigen Maße vorhanden ist.
Der Kampf für Datenschutz und Code-Qualität ist wichtig. Wenn es kein Bewusstsein dafür gibt, kann es einem bei anderen Projekten auf die Füsse Fallen und der gesamten Gesellschaft schaden. Auf der anderen Seite haben wir die normalen Bürgerinnen und Bürger, die ins Museum, zum Shoppen oder ins Restaurant wollen und denen all diese Punkte relativ egal sind.
