Sicherheitslücke bei LucaSchlüsselanhänger mit Folgen

IT-Fachleute haben eine gravierende Sicherheitslücke bei Luca entdeckt. Mit dem System wollen viele Bundesländer ihre digitale Kontaktverfolgung regeln, doch Unbefugte konnten Bewegungsprofile der Nutzer:innen der Luca-Schlüsselanhänger erstellen. Der Chaos Computer Club fordert jetzt einen Einsatz-Stopp.

Neue Sicherheitslücke bei Luca
Mit diesen Schlüsselanhängern sollen Menschen auch ohne Smartphone das Luca-System zum Check-In nutzen können. – Alle Rechte vorbehalten NeXenio / luca-app.de

In den vergangenen Tagen begegneten viele der Luca-App zum ersten Mal im Alltag. Ikea, die Buchhandelskette Thalia oder auch Holz Possling in Berlin machen die App inzwischen zur Voraussetzung, um einkaufen zu dürfen. Die App soll den Gesundheitsämtern dabei helfen, die digitale Kontaktverfolgung zu gewährleisten, wenn Deutschland irgendwann wieder aufmacht. In mehreren Bundesländern ist sie inzwischen Standard.

Zugleich reißt die Kritik an der App nicht ab. Gestern tauchte die wohl bislang gravierendste Sicherheitslücke auf. Die IT-Expert:innen Bianka Kastl und Tobias Ravenstein machten gemeinsam mit weiteren Fachleuten öffentlich, wie auch Unbefugte mit Daten aus Luca eine Bewegungshistorie anderer Nutzer:innen rekonstruieren konnten: Mit minimalen Programmierkenntnissen ließ sich nachvollziehen, an welchen Orten die Nutzerin in den vergangenen 30 Tagen war. Ein Traum für alle, die eine andere Person ohne deren Wissen überwachen oder stalken wollen, ein Alptraum für die Betroffenen.

„Lucatrack“ nennen sie diese Sicherheitslücke, unter dem entsprechenden Hashtag lässt sich in den sozialen Medien inzwischen einiges dazu lesen. Den Machern der App zufolge ist sie bereits seit gestern geschlossen, Kastl und ihre Mitstreiter hatten die Firma vorab informiert.

Foto des Anhängers reicht

Die Schwachstelle findet sich in einem Bereich, den die Betreiber von Luca als Stärke verkauften: den Schlüsselanhängern zur App. Mit diesen sollten alle, die kein Luca-fähiges Smartphone besitzen, dennoch an dem System teilnehmen können und ihre Kontaktdaten bei Veranstaltungen oder in Läden hinterlassen können. 14.000 solcher Anhänger sind den Luca-Machern zufolge aktuell im Umlauf. Auf ihnen ist ein QR-Code gedruckt, den Veranstalter einscannen können.

In der App selbst wird dieser QR-Code ständig neu generiert, niemand checkt zwei Mal mit dem gleichen Code ein. Auf dem Anhänger ist das nicht möglich, der Code ist dadurch klar der Besitzerin des Anhängers zuzuordnen. „Damit entsteht die Sicherheitslücke LucaTrack.“

Wie man die Daten bekam, demonstrierte die Gruppe in einem Video anhand eines Prototyps von Luca: Demnach reichte ein Foto des auf dem Schlüsselanhänger befindlichen QR-Codes, um alle Check-ins nachzuvollziehen, die in den vergangenen 30 Tagen damit passierten. Zu sehen waren dann Adressen und Koordinaten der besuchten Orte sowie der Zeitpunkt, zu dem man dort war – ganz übersichtlich auf einer Karte dargestellt.

Verräterische Metadaten

Das Start-up NeXenio, das hinter Luca steht, hat die Sicherheitslücke bestätigt. In einer noch gestern Abend veröffentlichten Stellungnahme schreiben die Macher: „Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.“ Das ist richtig, allerdings weist die Gruppe um Kastl darauf hin, dass diese Daten auch gar nicht entscheidend sind. In der Regel lässt sich allein aus den Metadaten – also der Information, wer zu welchem Zeitpunkt wo war – die Identität einer Person recht schnell rekonstruieren.

Besonders bedenklich ist die Lücke auch, weil Luca in einigen Bundesländern nicht nur für das Einkaufen oder den Museumsbesuch zum Einsatz kommen soll. In Mecklenburg-Vorpommern etwa sind auch Kirchen, Moschee, Schulen oder Selbsthilfegruppen ausdrücklich dazu aufgefordert worden, Anwesende mit Hilfe von Luca zu dokumentieren. Alles von der Hochzeit bis zur privaten Geburtstagsfeier soll über die App laufen.

Die Gruppe um Kastl und Ravenstein fordert die Macher von Luca nun dazu auf, die Schlüsselanhänger aus dem Umlauf zu ziehen. Luca-Gründer Patrick Hennig sagt dagegen: „Die Schlüsselanhänger selbst haben keinerlei Problem.“ Dass Nutzer:innen der Anhänger ihre Kontakthistorie auslesen könnten, sei von Anfang an so vorgesehen. Die Luca-Macher raten in ihrer Stellungnahme deswegen lediglich dazu, den eigenen Anhänger besser zu hüten. „Wir empfehlen Nutzer:innen, den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen.“

Die IT-Expert:innen geben an, auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk, über die Lücke informiert zu haben. Smoltczyk hatte zuvor bereits gemahnt, es gebe noch beträchtliche Probleme mit Luca, die Hürden für Hacker müssten erhöht werden. Dass der Senat ohne vorherige Überprüfung 1,2 Millionen Euro für den Einsatz der App ausgab, nannte sie „suboptimal“.


Check-In per QR-Code? Alle Infos zum Hoffnungsträger Luca und zur Kritik an der App findet ihr hier.


Chaos Computer Club fordert Moratorium

Der Chaos Computer Club fordert nach Bekanntwerden der Lücke „ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs.“ Für den Umgang mit hochsensiblen Bewegungs- und Gesundheitsdaten verbiete sich der Einsatz einer Software, deren Komponenten bislang nicht mal von unabhängigen Fachleuten überprüft werden konnten. Der Code des Backends, über das die Luca-Daten laufen, ist trotz der Ankündigung von NeXenio bislang nicht öffentlich.

IT-Sicherheitsexpert:innen haben aber noch aus weiteren Gründen Vorbehalte gegen Luca. Ganz abgesehen von den vielen kleinen Sicherheitslücken, die in den vergangenen Wochen auf Twitter diskutiert wurden, sehen sie ein grundsätzliches Problem in der zentralen Datenverwaltung. Das Start-up trägt damit eine enorme Verantwortung für die Sicherheit der Nutzer:innendaten. Umgekehrt müssen diese sich stark auf die Versprechen von NeXenio verlassen – ein Ausmaß an Vertrauen, das die jetzt bekannt gewordene Sicherheitslücke nicht steigern dürfte. Sicherheitsforscher:innen hatten immer wieder darauf hingewiesen, dass allein die Metadaten, die Luca sammelt, für Unternehmen, Kriminelle, aber auch für Geheimdienste ausgesprochen interessant sind.

13 Bundesländer haben inzwischen Lizenzvereinbarungen für den Einsatz von Luca abgeschlossen. Die Kosten belaufen sich auf mindestens 20 Millionen Euro, wie netzpolitik.org recherchierte. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million. Eine Ausschreibung hat nur in Bayern stattgefunden, alle anderen Bundesländer verweisen auf Ausnahmen von den Vergaberegeln in Zeiten der Pandemie.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

17 Ergänzungen

    1. Hallo,
      ich frage mich bei dem ganzen Desaster, ob irgendeine Behörde / Auftraggeber vor Bezahlen der Lizenz für die LUCA ihren DSB gefragt hat. Oder dürfen sich die DSBs nur nach Anschaffung wundern und dies sub-optimal finden.
      Hätte hier nicht auch eine DSFA (Datenschutzfolgenabschätzung) erfolgen müssen? Da gehen die Datenschutzaufsichtsbehörden mit gutem Beispiel voran.

  1. Bericht der Stadt Weimar zum Modellprojekt. Ab Seite 26/Punkt 5 geht es um Luca.

    https://stadt.weimar.de/fileadmin/redaktion/Dokumente/corona/Evaluation_des_Weimarer_Modells_final_Stand20210412_1523.pdf

    Die Stadt Weimar sieht den Luca-Hersteller offensichtlich als „Fachverfahrenshersteller“.

    Da bin ich mal sehr gespannt, wann sich endlich ein Konsens unter den Datenschutzbehörden der Länder zur datenschutzrechtlichen Verantwortlichkeit beim Einsatz der Luca-App bildet.

  2. Es ist wirklich unglaublich.

    Warum wird nicht die Corona Warnapp genau dafür verwendet statt LUCA?
    Die Bundesregierung hat bereits viel Geld für die WarnApp ausgegeben und jetzt noch zusätzlich für LUCA ?
    Erweiterungen der WarnApp um weitere nützlichen Features wären mit Sicherheit möglich.

    Aber leider, wie vieles was Corona tangiert : Ein Flickwerk

    Ein digitaler Müllhaufen entsteht, statt konsequente Weiterentwicklung einer von der Bundesregierung teuer bezahlten und hoch gelobten Corona WarnAPP.

    1. „Die Bundesregierung hat bereits viel Geld für die WarnApp ausgegeben und jetzt noch zusätzlich für LUCA ?“

      Das Geld für Luca geben aber gerade die LANDESregierungen aus. Weil die verantwortlichen Politiker zwar fast ein Jahr lang nichts dergleichen voran gebracht haben, aber dann zufällig diese App mal bei ARD gesehen haben. (Ich würde mir immer noch Aufklärung darüber wünschen wie genau es Luca/Smudo damit zu Anne Will geschafft haben …)

      1. Die Landesregierungen schließen die Verträge mit den Beitreibern von Luca bzw. regeln das über den IT-Dienstleister Dataport. Der Bund hat zugesagt, die Kosten für die ersten anderthalb Jahre zu übernehmen.

    2. Es ist noch viel unglaublicher.

      Zusätzlich zu den Millionen für die Luca-Lizenzen wird derzeit die Corona Warn App um ein Feature erweitert, dass genau diese Erfassung anonymisiert und dezentralisiert auf Basis der bestehenden CWA-Infrastruktur liefert.

      Allerdings verlangt das Infektionsschutzgesetz derzeit noch eine namentliche Erfassung der Gäste, weshalb die Corona Warn App zur Kontaktverfolgung in Läden und Restaurants nicht zugelassen ist. Aber wir haben in den letzten Tagen ja gelernt, dass man das Infektionsschutzgesetz ändern kann. Außerdem werden soweit ich weiß die Daten so gut wie nie vom Gesundheitsamt angefordert, da die Ansteckung unter diesen Umständen eher unwahrscheinlich ist und eine aufgrund der Kontaktlisten ausgesprochene Massenquarantäne für alle Besucher unverhältnismäßig wäre.

      Ich erwarte genauso wie der CCC eine Prüfung des Ausschreibungs- und Beschaffungsvorgangs der Luca-Lizenzen auch vor diesem Hintergrund.

      Vielleicht hätten wir für die Corona Warn App auch einen coolen Rapper als Markenbotschafter anstellen sollen …

      1. Unter den 655 vom Gesundheitsamt im Projektzeitraum von den Veranstaltern abgerufenen Kontaktdaten war kein einziger relevanter Kontakt.
        Siehe oben verlinkter Projektbericht der Stadt Weimar (Seite 32).

    3. Bundes- und Landesregierungen sehen sich primaer als Wirtschaftsfoerderungseinrichtungen, also wird jedenfalls Steuergeld privatisiert, wo moeglich. Dann wollen sie moeglichst viel Ueberwachungsdaten generieren und im Zugriff haben, da ist die CWA leider wenig geeignet. Und dann wollen sie so viele Funktionen wie irgendmoeglich demokratischer Kontrolle entziehen und in die Privatwirtschaft verlagern, auch da ist die CWA leider wenig geeignet.

      Man darf unsere Regierungen nicht von der Gesellschaft oder Demokratie aus denken.

        1. Den habe ich als durchaus couragiert und kompetent erlebt, von daher bin ich durchaus etwas verwundert.

          Allerdings ist die Frage bei Luca mE weniger der Datenschutz, als die generelle Sinhaftigkeit des Ansatzes: Luca o.ae. ist ohne massive Senkung der Inzidenz kontraproduktiv, egal ob datenschutzkonform oder nicht. Die ganze Diskussion ist so gesehen eine Ablenkung auf der einen Seite, und generell ein Angriff auf den Datenschutz auf der anderen.

          1. @hs: um so schlimmer ist es, wenn solche Angriffe auf den Datenschutz auch noch von einer Datenschutzbehörde gefördert werden.
            https://www.baden-wuerttemberg.datenschutz.de/lfdi-brink-unterstuetzt-nutzung-der-luca-app/

            Die Aussagen des Herrn Brink sind m.E. nicht für die Öffentlichkeit geeignet. Er hat später auf Nachfrage erläutert, dass er für die Prüfungen der Luca-App durch seine Behörde den Ansatz gewählt hat, dass die App nur das rechtliche Verhältnis zwischen Veranstalter und Luca-Betreiber betrifft und an so eine App deshalb nicht die Anforderungen wie an staatliches Handeln zu stellen sind. Seine Aussagen sind deshalb nur in diesem konstruieren Kontext zu sehen. Das mag in juristischen Kreisen üblich und zulässig sein, ist m.E. aber nicht für die öffentliche Kommunikation einer Datenschutzbehörde geeignet.

    4. Der Bund setzte doch auf zwei Pferde…

      Auch Entwicklung für LUCA wurde schon in großen Ganzen durch den Bund finanziert (obwohl steht suggeriert wird, dass es sich um ein kleines Berliner StartUp-Unternehmen handelt). Das wird jedoch in der Öffentlichkeit diskret verschwiegen. Landesmittel fließen also im großen Stil für ein aus Bundesmitteln finanziertes Projekt, der Steuerzahler blutet quasi zweimal.

      Da der LUCA-Server zudem bei der Bundesdruckerei steht, ist eine nachrichtendienstliche Nutzung seitens des Bundes auch nicht hundertprozentig auszuschließen.

  3. Befürchtungen…

    Eincheckdatum: 1. April 1337 13:37
    Auscheckdatum: 17. April 2021 13:37
    Ort: IKEA

    Sie werden befragt. Die Ermittler haben sich die Mühe gemacht, sämtliche Dorf- Stadt- und Straßennamen der geographischen Umgegend seit dem Checkindatum zu ermitteln. Da Sie positiv getestet wurden, gelten Sie nun als „Patient Null“ – juristisch auf dem Klageweg durchgesetzt von den Ermittlungsbehörden. Es gab bereits erste Festnahmen von „Coronaleugnern“ aus Laborkreisen.

  4. Habe den Schlüsselanhänger hier in Rostock seit 5 Wochen in Benutzung. Noch kein einziger Laden hatte ein Gerät um den Anhänger abzuscannen. Die Diskussion ist redundant, weil kein Laden abscannen kann.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.