Coronavirus

Hohes Missbrauchspotenzial, kaum Nutzen: Zahlreiche Sicherheitsforscher kritisieren Luca-App

In einer Stellungnahme sprechen sich anerkannte IT-Experten gegen die Nutzung der Luca-App aus. Die zentralen Kritikpunkte: Intransparenz, fehlende Zweckbindung und hohe Sicherheitsrisiken.
IT-Experten haben sich gegen die Nutzung der Luca-App ausgesprochen. © picture alliance/dpa

Mangelnder Datenschutz, Intransparenz und mangelhafte Software: Die Kritik an der zunächst so gefeierten Luca-App reißt nicht ab. Bereits Mitte März hatten IT-Experten und Datenschützer die App massiv kritisiert, der Chaos Computer Club forderte vor wenigen Wochen sogar eine Bundesnotbremse. Nun sprechen sich auch führende IT-Sicherheitsforscher und Kryptologinnen erneut deutlich gegen die Nutzung der Luca-App aus.

Die zentrale Kritik: Die Luca-App erfülle keine der Grundprinzipien derartiger digitaler Werkzeuge wie Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. In einer gemeinsamen Stellungnahme kritisieren die Experten dilettantische Sicherheitslücken und geringen Nutzen, wie „Zeit Online“ berichtet. Der Redaktion lag die Erklärung vorab vor. Mittlerweile ist sie veröffentlicht und hier zu finden.

Hohes Missbrauchspotenzial, gravierende Datenleaks

Wie bereits IT-Experten der Eidgenössischen Technischen Hochschule Lausanne und der Radboud-Universität Nijmegen problematisierten die Wissenschaftler die umfassende Datensammlung von Bewegungs- und Kontaktdaten an zentraler Stelle. Sie berge ein massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks. Solche Systeme seien erfahrungsgemäß kaum vor Angriffen zu schützen, warnen die Sicherheitsforscher – selbst große Unternehmen scheiterten daran, heißt es weiter.

Auch die Ende-zu-Ende-Verschlüsselung ändere daran wenig: „Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzerinnen allein aufgrund der anfallenden Metadaten erstellen lassen“, zitiert „Zeit Online“ aus der Erklärung.

Geringer Nutzen, fehlende Zweckbindung

Dagegen sei der Hauptnutzen der App – die Digitalisierung von Papierlisten – nicht aufzuwiegen. Im Gegenteil: Durch manipulierte Check-ins – wie kürzlich von Jan Böhmermann demonstriert – steige die Belastung des Gesundheitsamts nur noch, die für die Auswertung zuständig seien.

Auch der Datenschutz steht weiter in der Kritik: „Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf Luca diskutiert“, heißt es laut „Zeit Online“ in der Erklärung. Das heißt: Sollte das Unternehmen die App später für kommerzielle Zwecke nutzen, stehe dem nichts entgegen. Ein „intransparent entwickeltes System“ sei in Betrieb genommen worden und selbst „leicht zu findende Sicherheitslücken“ erst im laufenden Betrieb entdeckt worden, schreibt „Zeit Online“.

Dezentral und datenarm

Die Wissenschaftler raten stattdessen zu dezentralen und datensparsamen Systemen, wie der Corona-Warn-App. Auch dort könnten die notwendigen Informationen zur Pandemiebekämpfung erhoben und Gesundheitsämtern zur Verfügung gestellt werden. „Die sichere Speicherung und Verarbeitung von hochsensitiven personenbezogenen Daten ist eine große Herausforderung und sollte idealerweise nicht in einem zentralisierten System erfolgen“, sagt Thomas Schneider, Professor für Cryptography and Privacy Engineering (TU Darmstadt) und Mitunterzeichner.

„Wie zahlreiche Datenlecks selbst bei Branchenriesen mit langjähriger Erfahrung in IT-Sicherheit zeigen ist es oft nur eine Frage der Zeit bis solche Daten gestohlen oder missbraucht werden. Dies spricht klar für eine dezentrale Lösung.“ Unterzeichnet haben die Erklärung laut Zeit Online unter anderem Professorinnen des CISPA Helmholtz Center for Information Security, der Ruhr-Universität Bochum und der TU Darmstadt.

Unternehmen arbeitet an Stellungnahme

Das Unternehmen selbst teilte gegenüber dem RedaktionsNetzwerk Deutschland mit, die Zweckbindung der Daten sei gesetzlich in der DSGVO geregelt und diene alleine der Kontaktnachverfolgung durch die Gesundheitsämter. Der Quellcode sei öffentlich und auch die Datenschutz-Folgeabschätzung (DSFA) werde nach Durchsprache mit der Berliner Datenschutzbehörde „in einer geeigneten Version“ veröffentlicht.

Man habe heute erst von dem Papier erfahren und arbeite an einer umfangreichen Stellungnahme. „Wir bedauern zunächst, dass wir nur aus der Presse von diesem Papier erfahren haben und es uns nicht zur Verfügung gestellt wurde“, sagt Pressesprecher Markus Bublitz. „Wir sind am konstruktiven Austausch mit IT-Forscherinnen interessiert.“

RND

Der Artikel "Hohes Missbrauchspotenzial, kaum Nutzen: Zahlreiche Sicherheitsforscher kritisieren Luca-App" stammt von unserem Partner, dem RedaktionsNetzwerk Deutschland

Der neue Lokalsport-Newsletter für Dorsten

Immer freitags um 18:30 Uhr das Wichtigste aus dem Dorstener Lokalsport direkt in Ihr E-Mail-Postfach.

Informationen zur Datenverarbeitung im Rahmen des Newsletters finden Sie hier.