Für Verbraucher
Für Unternehmen
Fr, 16.04.2021 - 10:45

SiBa-News

Streit um die Sicherheit der Luca-App: Schwachstelle im Schlüsselanhänger geschlossen

Diese Woche war und ist weiterhin geprägt von Schlagzeilen über vermeintliche Sicherheitslücken in der Luca-App. Im Zentrum stand dabei eine Schwachstelle im zugehörigen Schlüsselanhänger. Diese und weitere Sicherheitslücken sind inzwischen von den Entwicklern geschlossen oder dementiert worden. Die Nutzung der Luca-App und der Schlüsselanhänger sei somit sicher, so die Entwickler. Trotzdem steht die Luca-App weiter in der Kritik und wird aktuell von Datenschutzbehörden geprüft.

Die Luca-App ermöglicht die Registrierung von Personen bei Veranstaltungen, Restaurantbesuchen oder privaten Treffen zum Zweck der Kontaktnachverfolgung in der Pandemie. Technisch realisiert wird dies durch das Scannen eines persönlichen, verschlüsselten QR-Codes vor Ort („Check-In“), der alle relevanten persönliche Daten enthält, welche bei der Registrierung in die App zuvor von der jeweiligen betroffenen Person selbst eingetragen wurden. Die gesammelten, gescannten QR-Codes werden vom Gastgeber, der keinen Einblick in die persönlichen Daten hat, dem Gesundheitsamt übermittelt. Dort werden die QR-Codes entschlüsselt und die persönlichen Daten werden für die Behörde sichtbar. Wird eine Infektion bei einem Veranstaltungsort festgestellt, können alle betroffenen Personen informiert werden und alle notwendigen Maßnahmen eingeleitet werden, um Infektionsketten zu unterbrechen.

Personen ohne Smartphone können alternativ, nach einer Registrierung auf der Luca-Webseite, ihren persönlichen QR-Code auf einen Schlüsselanhänger drucken lassen, um diesen für den oben beschriebenen „Check-In“ zu nutzen. IT-Experten vom Chaos Computer Club (CCC) haben nun festgestellt, dass es für Kriminelle mit technischem Knowhow möglich war, den QR-Code vom Schlüsselanhänger auszulesen und so an die persönlichen Daten der Betroffenen sowie an die Liste der „Check-Ins“ zu gelangen, die zentral gespeichert werden.
Die Culture4life GmbH, die Entwickler der App, haben umgehend reagiert, räumten die Kritik ein, wiesen aber darauf hin, diese Schwachstelle inzwischen geschlossen zu haben. Auch weitere Sicherheitsmängel, die angemahnt wurden, seien längst behoben worden, so die Macher der Luca-App.

Darüber hinaus hat das Berliner Unternehmen den Programmcode der Luca-App im Netz veröffentlicht. Somit können Personen mit Programmierkenntnissen prüfen, wie die App funktioniert und sie hinsichtlich möglicher Sicherheitsmängel testen. Nach aktuellen Pressemeldungen prüfen nun auch einige Landesdatenschutzbehörden die App auf eventuelle Datenschutzmängel. Auch deshalb, weil der Chaos Computer Club den Vorwurf erhoben hat, das zentrale Luca-System sei in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen. Die Culture4life GmbH wies diesen Vorwurf als „Fundamentalkritik an zentralen Datenspeichersystemen“ zurück.

SiBa rät zur Gelassenheit. Nach aktueller Sachlage erweist sich die Luca-App samt Schlüsselanhänger als sicher. Sobald sich Datenschutz- oder Sicherheitsmängel der Luca-App tatsächlich als kritisch bzw. gravierend herausstellen, wird SiBa darüber informieren.

Weitere Sicherheitshinweise

FragAttacks: BSI warnt vor WLAN-Sicherheitslücken in fast allen Geräten
Das Bundesamt für Sicherheit in der Informationstechnik warnt aktuell vor einer WLAN-Schwachstelle mit der Bezeichnung „FragAttacks“ (steht für „fragmentation and aggregation attacks“).Die Behörde bezieht sich auf Berichte des US-Sicherheitsforschers Mathy Vanhoef. Dieser hat nachgewiesen, dass eine Reihe von Designfehlern in WLAN-Protokollen für Angriffe auf Geräte ausgenutzt werden können.... Mehr...
Datenleck beim Lieferdienst Gorillas – Sicherheitslücke geschlossen
Ende letzter Woche wurde beim Berliner Lieferdienst „Gorillas“ eine Datenpanne festgestellt: 200.000 Kundendaten waren abrufbar. Das Unternehmen hat die Schwachstelle jetzt geschlossen. Bei den Kundendaten handelt es sich um Namen, Anschriften, Telefonnummern, E-Mail-Adressen sowie die Bestelldetails der Kunden. Außerdem um Fotos von Klingelschildern, die Gorillas-Kuriere angefertigt hatten... Mehr...
Zum Welt-Passwort-Tag: So schützen Sie sich vor Erpressung per E-Mail
Aktuell sind vermehrt E-Mails im Umlauf, in denen Fremde behaupten, sie hätten das Passwort des Empfängers geraubt, seien in den Computer eingedrungen und hätten die oder den Nutzende:n per Webcam beobachtet, beispielweise beim Betrachten von Pornografie. Sie hätten Video-Aufnahmen von sexuellen Handlungen angefertigt und würden diese veröffentlichen. Es solle umgehend ein Lösegeld überwiesen... Mehr...
Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen