Für Verbraucher
Für Unternehmen
Fr, 16.04.2021 - 10:45

SiBa-News

Streit um die Sicherheit der Luca-App: Schwachstelle im Schlüsselanhänger geschlossen

Diese Woche war und ist weiterhin geprägt von Schlagzeilen über vermeintliche Sicherheitslücken in der Luca-App. Im Zentrum stand dabei eine Schwachstelle im zugehörigen Schlüsselanhänger. Diese und weitere Sicherheitslücken sind inzwischen von den Entwicklern geschlossen oder dementiert worden. Die Nutzung der Luca-App und der Schlüsselanhänger sei somit sicher, so die Entwickler. Trotzdem steht die Luca-App weiter in der Kritik und wird aktuell von Datenschutzbehörden geprüft.

Die Luca-App ermöglicht die Registrierung von Personen bei Veranstaltungen, Restaurantbesuchen oder privaten Treffen zum Zweck der Kontaktnachverfolgung in der Pandemie. Technisch realisiert wird dies durch das Scannen eines persönlichen, verschlüsselten QR-Codes vor Ort („Check-In“), der alle relevanten persönliche Daten enthält, welche bei der Registrierung in die App zuvor von der jeweiligen betroffenen Person selbst eingetragen wurden. Die gesammelten, gescannten QR-Codes werden vom Gastgeber, der keinen Einblick in die persönlichen Daten hat, dem Gesundheitsamt übermittelt. Dort werden die QR-Codes entschlüsselt und die persönlichen Daten werden für die Behörde sichtbar. Wird eine Infektion bei einem Veranstaltungsort festgestellt, können alle betroffenen Personen informiert werden und alle notwendigen Maßnahmen eingeleitet werden, um Infektionsketten zu unterbrechen.

Personen ohne Smartphone können alternativ, nach einer Registrierung auf der Luca-Webseite, ihren persönlichen QR-Code auf einen Schlüsselanhänger drucken lassen, um diesen für den oben beschriebenen „Check-In“ zu nutzen. IT-Experten vom Chaos Computer Club (CCC) haben nun festgestellt, dass es für Kriminelle mit technischem Knowhow möglich war, den QR-Code vom Schlüsselanhänger auszulesen und so an die persönlichen Daten der Betroffenen sowie an die Liste der „Check-Ins“ zu gelangen, die zentral gespeichert werden.
Die Culture4life GmbH, die Entwickler der App, haben umgehend reagiert, räumten die Kritik ein, wiesen aber darauf hin, diese Schwachstelle inzwischen geschlossen zu haben. Auch weitere Sicherheitsmängel, die angemahnt wurden, seien längst behoben worden, so die Macher der Luca-App.

Darüber hinaus hat das Berliner Unternehmen den Programmcode der Luca-App im Netz veröffentlicht. Somit können Personen mit Programmierkenntnissen prüfen, wie die App funktioniert und sie hinsichtlich möglicher Sicherheitsmängel testen. Nach aktuellen Pressemeldungen prüfen nun auch einige Landesdatenschutzbehörden die App auf eventuelle Datenschutzmängel. Auch deshalb, weil der Chaos Computer Club den Vorwurf erhoben hat, das zentrale Luca-System sei in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen. Die Culture4life GmbH wies diesen Vorwurf als „Fundamentalkritik an zentralen Datenspeichersystemen“ zurück.

SiBa rät zur Gelassenheit. Nach aktueller Sachlage erweist sich die Luca-App samt Schlüsselanhänger als sicher. Sobald sich Datenschutz- oder Sicherheitsmängel der Luca-App tatsächlich als kritisch bzw. gravierend herausstellen, wird SiBa darüber informieren.

Weitere Sicherheitshinweise

Apple-Warnungen vor Spyware per E-Mail oder SMS sind echt
Es kommt nicht selten vor, dass Verbraucher:innen oder Mitarbeitende von Unternehmen Sicherheitswarnungen per E-Mail oder SMS erhalten, die einen Cyberangriff auf ein Gerät melden. Oft versuchen Angreifer, mit gefälschten Bedrohungen eine Reaktion von ihren potenziellen Opfern zu erzwingen. Ob aus Angst vor möglichen Folgen oder aufgrund der Annahme, dass die Nachricht sowieso gefälscht ist,... Mehr...
Verdächtige Phishing-Versuche im Namen der IHK
In der letzten Woche wurden mehrere E-Mails mit fragwürdigem Inhalt registriert, die sich fälschlicherweise auf die Industrie- und Handelskammer (IHK) berufen. Die E-Mails fordern Empfänger auf, sich unter dem Betreff „Melden Sie sich mit dieser E-Mail schnell wieder bei der Handelskammer an“ neu zu registrieren. Die Nachricht beginnt mit der Aufforderung zur Neuanmeldung bei der IHK und... Mehr...
Betrüger:innen geben sich per E-Mail oder SMS als Finanzamt aus
Wenn im Frühjahr die Steuererklärung fällig wird, haben viele Menschen regelmäßig Kontakt mit dem Finanzamt. Das machen sich leider auch jedes Jahr Betrüger:innen zu nutze. Betrüger:innen geben sich als Finanzamt aus und verschicken vermeintlich seriöse E-Mails oder SMS. Darin fordern sie zur Datenaktualisierung auf oder locken ihre Opfer mit vermeintlichen Rückerstattungen. Mit Klick auf den... Mehr...
Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen