Für Verbraucher
Für Unternehmen
Fr, 16.04.2021 - 10:45

SiBa-News

Streit um die Sicherheit der Luca-App: Schwachstelle im Schlüsselanhänger geschlossen

Diese Woche war und ist weiterhin geprägt von Schlagzeilen über vermeintliche Sicherheitslücken in der Luca-App. Im Zentrum stand dabei eine Schwachstelle im zugehörigen Schlüsselanhänger. Diese und weitere Sicherheitslücken sind inzwischen von den Entwicklern geschlossen oder dementiert worden. Die Nutzung der Luca-App und der Schlüsselanhänger sei somit sicher, so die Entwickler. Trotzdem steht die Luca-App weiter in der Kritik und wird aktuell von Datenschutzbehörden geprüft.

Die Luca-App ermöglicht die Registrierung von Personen bei Veranstaltungen, Restaurantbesuchen oder privaten Treffen zum Zweck der Kontaktnachverfolgung in der Pandemie. Technisch realisiert wird dies durch das Scannen eines persönlichen, verschlüsselten QR-Codes vor Ort („Check-In“), der alle relevanten persönliche Daten enthält, welche bei der Registrierung in die App zuvor von der jeweiligen betroffenen Person selbst eingetragen wurden. Die gesammelten, gescannten QR-Codes werden vom Gastgeber, der keinen Einblick in die persönlichen Daten hat, dem Gesundheitsamt übermittelt. Dort werden die QR-Codes entschlüsselt und die persönlichen Daten werden für die Behörde sichtbar. Wird eine Infektion bei einem Veranstaltungsort festgestellt, können alle betroffenen Personen informiert werden und alle notwendigen Maßnahmen eingeleitet werden, um Infektionsketten zu unterbrechen.

Personen ohne Smartphone können alternativ, nach einer Registrierung auf der Luca-Webseite, ihren persönlichen QR-Code auf einen Schlüsselanhänger drucken lassen, um diesen für den oben beschriebenen „Check-In“ zu nutzen. IT-Experten vom Chaos Computer Club (CCC) haben nun festgestellt, dass es für Kriminelle mit technischem Knowhow möglich war, den QR-Code vom Schlüsselanhänger auszulesen und so an die persönlichen Daten der Betroffenen sowie an die Liste der „Check-Ins“ zu gelangen, die zentral gespeichert werden.
Die Culture4life GmbH, die Entwickler der App, haben umgehend reagiert, räumten die Kritik ein, wiesen aber darauf hin, diese Schwachstelle inzwischen geschlossen zu haben. Auch weitere Sicherheitsmängel, die angemahnt wurden, seien längst behoben worden, so die Macher der Luca-App.

Darüber hinaus hat das Berliner Unternehmen den Programmcode der Luca-App im Netz veröffentlicht. Somit können Personen mit Programmierkenntnissen prüfen, wie die App funktioniert und sie hinsichtlich möglicher Sicherheitsmängel testen. Nach aktuellen Pressemeldungen prüfen nun auch einige Landesdatenschutzbehörden die App auf eventuelle Datenschutzmängel. Auch deshalb, weil der Chaos Computer Club den Vorwurf erhoben hat, das zentrale Luca-System sei in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen. Die Culture4life GmbH wies diesen Vorwurf als „Fundamentalkritik an zentralen Datenspeichersystemen“ zurück.

SiBa rät zur Gelassenheit. Nach aktueller Sachlage erweist sich die Luca-App samt Schlüsselanhänger als sicher. Sobald sich Datenschutz- oder Sicherheitsmängel der Luca-App tatsächlich als kritisch bzw. gravierend herausstellen, wird SiBa darüber informieren.

Weitere Sicherheitshinweise

Datenpanne bei der Lufthansa: QR-Code auf Boarding-Pass offenbart persönliche Daten
Laut aktueller Presseberichte haben Unbekannte sensible, persönliche Daten des Vorstandvorsitzenden der Lufthansa, Carsten Spohr, geraubt, unter anderem seine E-Mail-Adresse und Handynummer. Der Hack gelang mithilfe einer der QR-Codes auf seinen Boarding-Pässen. Diese Datenpanne hat Folgen: Somit ist nun bekannt, dass die QR-Codes auf den Boardkarten der Lufhansa Kriminellen Türe und Tore zu... Mehr...
Apple und Google entfernen mehr als 75 schadhafte Apps aus ihren Stores
Die IT-Sicherheitsfirma Human hat 75 Apps im Apple App Store und im Google Play Store identifiziert, die schadhaft waren. Es handelte sich um sogenannte Adware. Das ist Software zur Einblendung von unerwünschter Werbung. Sie tarnen sich vor allem als Spiele und können sogar unsichtbar Werbung einblenden, beispielsweise auf dem Startbildschirm des Handys. Klickt man auf die Einblendungen, wird man... Mehr...
Vermehrt Erpresser-Mails im Umlauf
Die Verbraucherzentralen erhalten nach eigenen Angaben vermehrt Hinweise von Bürger:innen zu Erpresser-E-Mails, die Kriminelle vermehrt in den Umlauf bringen. Das Ziel der Kriminellen: Menschen mit falschen Behauptungen unter Druck setzen, Angst erzeugen und einschüchtern, um schließlich Geld zu erbeuten. In den E-Mails behaupten die Kriminellen, sie hätten umbemerkt und heimlich den PC ihrer... Mehr...
Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen