Für Verbraucher
Für Unternehmen
Fr, 16.04.2021 - 10:45

SiBa-News

Streit um die Sicherheit der Luca-App: Schwachstelle im Schlüsselanhänger geschlossen

Diese Woche war und ist weiterhin geprägt von Schlagzeilen über vermeintliche Sicherheitslücken in der Luca-App. Im Zentrum stand dabei eine Schwachstelle im zugehörigen Schlüsselanhänger. Diese und weitere Sicherheitslücken sind inzwischen von den Entwicklern geschlossen oder dementiert worden. Die Nutzung der Luca-App und der Schlüsselanhänger sei somit sicher, so die Entwickler. Trotzdem steht die Luca-App weiter in der Kritik und wird aktuell von Datenschutzbehörden geprüft.

Die Luca-App ermöglicht die Registrierung von Personen bei Veranstaltungen, Restaurantbesuchen oder privaten Treffen zum Zweck der Kontaktnachverfolgung in der Pandemie. Technisch realisiert wird dies durch das Scannen eines persönlichen, verschlüsselten QR-Codes vor Ort („Check-In“), der alle relevanten persönliche Daten enthält, welche bei der Registrierung in die App zuvor von der jeweiligen betroffenen Person selbst eingetragen wurden. Die gesammelten, gescannten QR-Codes werden vom Gastgeber, der keinen Einblick in die persönlichen Daten hat, dem Gesundheitsamt übermittelt. Dort werden die QR-Codes entschlüsselt und die persönlichen Daten werden für die Behörde sichtbar. Wird eine Infektion bei einem Veranstaltungsort festgestellt, können alle betroffenen Personen informiert werden und alle notwendigen Maßnahmen eingeleitet werden, um Infektionsketten zu unterbrechen.

Personen ohne Smartphone können alternativ, nach einer Registrierung auf der Luca-Webseite, ihren persönlichen QR-Code auf einen Schlüsselanhänger drucken lassen, um diesen für den oben beschriebenen „Check-In“ zu nutzen. IT-Experten vom Chaos Computer Club (CCC) haben nun festgestellt, dass es für Kriminelle mit technischem Knowhow möglich war, den QR-Code vom Schlüsselanhänger auszulesen und so an die persönlichen Daten der Betroffenen sowie an die Liste der „Check-Ins“ zu gelangen, die zentral gespeichert werden.
Die Culture4life GmbH, die Entwickler der App, haben umgehend reagiert, räumten die Kritik ein, wiesen aber darauf hin, diese Schwachstelle inzwischen geschlossen zu haben. Auch weitere Sicherheitsmängel, die angemahnt wurden, seien längst behoben worden, so die Macher der Luca-App.

Darüber hinaus hat das Berliner Unternehmen den Programmcode der Luca-App im Netz veröffentlicht. Somit können Personen mit Programmierkenntnissen prüfen, wie die App funktioniert und sie hinsichtlich möglicher Sicherheitsmängel testen. Nach aktuellen Pressemeldungen prüfen nun auch einige Landesdatenschutzbehörden die App auf eventuelle Datenschutzmängel. Auch deshalb, weil der Chaos Computer Club den Vorwurf erhoben hat, das zentrale Luca-System sei in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen. Die Culture4life GmbH wies diesen Vorwurf als „Fundamentalkritik an zentralen Datenspeichersystemen“ zurück.

SiBa rät zur Gelassenheit. Nach aktueller Sachlage erweist sich die Luca-App samt Schlüsselanhänger als sicher. Sobald sich Datenschutz- oder Sicherheitsmängel der Luca-App tatsächlich als kritisch bzw. gravierend herausstellen, wird SiBa darüber informieren.

Weitere Sicherheitshinweise

Falsche Schufa-Warnungen als Täuschungsmanöver
In der heutigen Zeit ist Betrug allgegenwärtig, wobei Täter ihre Opfer durch verschiedene Methoden wie an der Haustür, via E-Mail, Telefon oder Smartphone überfallen. Eine Kenntnis der neuesten Betrugsmethoden erhöht die Wahrscheinlichkeit einer angemessenen Reaktion. Kriminelle nutzen eine neue Taktik, um durch Phishing Ängste vor einem negativen Schufa-Eintrag auszunutzen.... Mehr...
Betrugsmasche nimmt neue Nutzer:innen bei Kleinanzeigen-Plattformen ins Visier
Viele Verkaufsplattformen im Internet bieten inzwischen die Möglichkeit, Zahlungen direkt über die Plattform abzuwickeln, damit Verkaufende und Kaufende keine sensiblen Daten wie Kontoverbindungen oder E-Mail-Adressen austauschen müssen. Doch gerade dieses Sicherheits-Feature wird im Rahmen einer Betrugsmasche missbraucht, die sich vor allem an neue Nutzer:innen richtet: Diese werden dafür... Mehr...
Forum gegen Fakes: Wie gehen wir mit Desinformation um?
In eigener Sache: DsiN unterstützt die neue Initiative „Forum gegen Fakes“, die eine gesamtgesellschaftliche Debatte zum Thema Desinformation anstößt und konkrete Empfehlungen und Maßnahmen erarbeiten will, die schließlich an das Bundesinnenministerium übergeben werden sollen. Auf der Plattform der Initiative (forum-gegen-fakes.de) können sich alle Interessierten mit Vorschlägen beteiligen und... Mehr...
Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen