News

Datenschutz: Kritik an der Luca-App und Ausbesserung

Die Berliner Datenschutzbehörde sieht datenschutzrechtliche Probleme bei der Luca-App, die zur Kontaktnachverfolgung in den meisten Restaurants und Veranstaltungsorten hierzulande zum Einsatz kommt. Die Probleme sind zwar weitgehend theoretischer Natur, reihen sich jedoch ein in eine nicht abreißende Kritik an der App.

Immer wieder Probleme

Bereits in der Vergangenheit hatte es mehrere Kontroversen rund um die Luca-App gegeben. Neben allgemeinen Zweifeln am Nutzen der App war es auch zu konkreten Problemen gekommen: Nach einer Infektion in der Sylter Wunderbar konnten die Kontaktdaten der dort Anwesenden nicht entschlüsselt werden; die mit der App arbeitenden Gesundheitsämter gaben im August an, in nur schätzungsweise 60 von rund 180.000 Infektionsfällen habe die App bei der Kontaktnachverfolgung helfen können; Check-ins an Orten, die nie besucht wurden, waren möglich; imaginäre Veranstaltungen mit Hunderttausenden Besuchen konnten vorgetäuscht werden und der Chaos Computer Club hält die App gegenüber der staatlichen Warn-App, die ebenfalls eine Check-in-Funktion zur Kontaktnachverfolgung bietet, „für eine minderwertigere und riskantere Implementierung“. Darüber hinaus stellte der Chaos Computer Club heraus, dass die Anzahl der tatsächlichen Nutzerinnen und Nutzer weit unter den veröffentlichten liege. Nun gibt es erneut Probleme: Berlins Datenschutzbehörde hält die Verschlüsselung der Kontaktdaten in der Luca-App für nicht ausreichend sicher. Die Sicherheitsstruktur der App entspreche zwar weitgehend dem Stand der Technik; es sei jedoch möglich, individuelle Sicherheitsschlüssel gegen manipulierte auszutauschen.

Berliner Datenschutzbehörde sieht Reihe von Mängeln

Die Datenschutzbehörde sieht das grundlegende Problem dabei in der zentralisierten Architektur der App und spricht von einer „Reihe von Mängeln“, da weder die hinter der App stehende Firma Nexenio noch die Betreibenden von Veranstaltungsorten noch die kooperierenden Gesundheitsämter bei Nutzung der App datenschutzrechtliche Vorgaben einhalten könnten.

Nexenio weist die Vorwürfe indes zwar nicht ganz zurück, wendet jedoch ein, dass neben den individuellen Schlüsseln auch noch jene der jeweiligen Betreibenden, also der Einrichtungen, in denen etwa Veranstaltungen stattfinden, nötig seien, um die Kontaktdaten der Nutzerinnen und Nutzer unverschlüsselt abgreifen zu können. Gegenüber golem.de äußerte das Unternehmen, sich dieser in der Theorie bestehenden Angriffsmöglichkeit bewusst zu sein. Ein Problem sieht Nexenio darin jedoch nicht, da bereits das Einschleusen manipulierter Schlüssel, der erste nötige Schritt zur Entschlüsselung der Kontaktdaten, verunmöglicht werden soll – daran wird eigenen Angaben zufolge seit März 2021 gearbeitet.

Nexenio will App sicherer machen

Seit Juli werden die kooperierenden Gesundheitsämter mit D-Trust-Zertifikaten ausgestattet, die von einer Tochterfirma der Bundesdruckerei stammen. Mit diesen Zertifikaten soll die Möglichkeit des Einschleusens manipulierter Schlüssel aufgehoben werden: Sobald alle Gesundheitsämter, die die App nutzen, mit den Zertifikaten ausgestattete sind, sollen Nexenio zufolge nur noch solche Schlüssel von der App akzeptiert werden, die mit den Zertifikaten signiert sind. Bisher sollen rund 300 der 319 mit der App arbeitenden Gesundheitsämter die D-Trust-Zertifikate generieren können. Abgeschlossen sein soll die Umstellung Mitte September.

Auch weitere Vorwürfe zurückgewiesen

Auch einen großen Teil der weiteren Kritik an der App weist Nexenio zurück. So sei der erwähnte Vorfall in der Sylter Wunderbar auf eine falsche Konfiguration seitens der Bar zurückzuführen und der Chaos Computer Club liege mit seinen Angaben zur Anzahl der Nutzerinnen und Nutzer der App schlicht falsch.

Insgesamt wirft die neuerliche Kritik an der App weder ein gutes Licht auf diese noch auf die staatlichen Stellen, die die App recht überstürzt gekauft hatten, um die Kontaktnachverfolgung, die zu Beginn der Pandemie hauptsächlich auf Papierbasis betrieben wurde, zu digitalisieren. Ob die staatlicherseits auch mit erheblichen Zuschüssen geförderte App auch langfristig den Standard in der digitalen Kontaktnachverfolgung darstellen wird, bleibt abzuwarten.

Simon Lüthje

Ich bin der Gründer dieses Blogs und interessiere mich für alles was mit Technik zu tun hat, bin jedoch auch dem Zocken nicht abgeneigt. Geboren wurde ich in Hamburg, wohne nun jedoch in Bad Segeberg.

Ähnliche Artikel

Neue Antworten laden...

Basic Tutorials

Neues Mitglied

2,259 Beiträge 955 Likes

Die Berliner Datenschutzbehörde sieht datenschutzrechtliche Probleme bei der Luca-App, die zur Kontaktnachverfolgung in den meisten Restaurants und Veranstaltungsorten hierzulande zum Einsatz kommt. Die Probleme sind zwar weitgehend theoretischer Natur, reihen sich jedoch ein in eine nicht abreißende Kritik an der App. Immer wieder Probleme Bereits in der Vergangenheit hatte es mehrere Kontroversen rund um die … (Weiterlesen...)

Antworten Like

Schaltfläche "Zurück zum Anfang"