Kommentar

Deinstalliert die Luca-App! (Update)

Ein zweifelhaftes Geschäftsmodell, mangelnde Softwarequalität und konzeptionelle Schwächen – so könnte das kurze Fazit zur Luca-App lauten. In den vergangenen Tagen konnte man das Gefühl bekommen die Macher treten von einem Fettnäpfchen ins das nächste – und daran sind sie auch selbst schuld.

Vor einigen Wochen fragte mich eine Freundin, ob ich die Luca-App schon installiert habe. Dies war noch bevor sich inzwischen 13 Länder dazu entschlossen haben, die Kontaktverfolgung per App zu lizensieren. Ich hatte zwar davon gehört, auch das Smudo von den Fantastischen Vier als Investor und Galionsfigur mit an Bord ist, aber zum damaligen Zeitpunkt war ein Checkin-System in meinen Augen noch wenig sinnvoll, da es strickt vermieden werden sollte überhaupt Kontakte zu pflegen. Mein persönliches Leben findet zu 99 % in den eigenen vier Wänden und dem eventuell noch vorhandenen Garten statt.

Aber ich wollte der Freundin auch einen Rat geben und empfahl ihr, die Luca-App wieder zu deinstallieren. Ein privates Unternehmen mit zum damaligen Zeitpunkt nicht erkennbaren Geschäftsmodell war nichts, was ich als sinnvoll nutzbar angesehen habe – zumal am Horizont bereits abzusehen war, dass die Corona-Warn-App eine ähnliche Funktion erhalten sollte. Inzwischen ist genau dies der Fall.

Aber es wurde noch viel schlimmer, denn von da an überschlugen sich die Ereignisse. Die ersten Bundesländer kauften Lizenzen für die Luca-App. Das Versprechen: Eine anonyme und sichere Kontaktverfolgung mit Anbindung an die Gesundheitsämter. Eigentlich eine gute Idee, aber die Umsetzung zeigte die ersten Schwächen.

Zunächst wollten die Luca-Macher maximale Transparenz beweisen und zumindest Teile der App in einer Open-Source-Lizenz veröffentlichen. Dies tat man auch, allerdings unter einer Lizenz, die Sicherheitsprüfungen fast unmöglich machten. Aufgrund der Kritik an diesem Vorgehen änderten die Entwickler die Lizenz zu einer Gnu General Public License 3, wie sie häufig für freie Software genutzt wird. Aber bereits hier konnte man den Eindruck bekommen, dass eine Veröffentlichung des Quellcodes nicht als Teil eines Sicherheits- und Vetrauenszugewinns gesehen wurde, sondern mehr oder weniger als unliebsame Pflichtaufgabe. Bis heute ist nur ein Teil des Quellcodes öffentlich. Eine vertrauensbildende Transparenz sieht anders aus. Ganz anders dagegen die Corona Warn App, die sowohl in ihrer Client- als auch Serverkomponenten vollständig einsehbar ist.

Aber selbst wer sich die App installiert, kann schon bei der Registrierung die ersten Schwachstellen erkennen. Aufgrund einer fehlerhaften Implementierung mittels SMS TAN ist die dazugehörige Validierung unwirksam und es können beliebig viele Fake-Accounts erstellt werden. Eine Validierung mittels SMS TAN sorgt auch für immense Kosten bei den Bundesländern, die diese einsetzen wollen.

In der Folge wurde bekannt, dass es über ein einfaches Foto eines QR-Codes möglich war, sich in Veranstaltungen einzuloggen, auch wenn man hunderte Kilometer entfernt war. Ein öffentlich gemachter QR-Code kann so ganz einfach mit Fake-Checkins zugespammt werden. Inzwischen kursieren auch einige Fake-Luca-Apps (z.B. der Luca app Helper im Google Play Store) und im Internet kursieren Skripte, die haufenweise Datenmüll erzeugen und die von der App übertragenen Daten damit unbrauchbar machen. Die Manipulation lässt sich erst feststellen, wenn das Gesundheitsamt versucht, auf die Daten zuzugreifen. Mit solchen Maßnahmen versuchen einige Corona-Leugner die Pandemiebekämpfung zu stören.

Als Gegenmaßnahme haben die Entwickler und Betreiber der Luca-App damit begonnen, solche Veranstaltungen, die zugespammt werden, wieder zu löschen. Dies ist aber auch nur möglich, da ihnen durch den zentralen Datenansatz ein Monitoring sämtlicher Check-In-Vorgänge in Echtzeit möglich ist. Sogar wenn Checkins als "privat" gekennzeichnet sind, werden die Daten übertragen und sind einsehbar.

Die Macher der Luca-App versprachen zudem, dass Nutzer ohne Smartphone von der Kontaktverfolgung profitieren können und ihre Freiheit zurückgewinnen sollen. Dazu wurden Schlüsselanhänger mit QR-Codes verteilt. Aber auch hier stellte sich schnell heraus, dass diese QR-Codes natürlich fotografiert und weiterverteilt werden können. Es gab aber noch mehr Schwachstellen bei der Nutzung des Schlüsselanhängers. So können die gespeicherten Registrierungsinformationen des Nutzers ausgelesen werden. 

Noch gravierender ist, dass es möglich war, die Check-in-Historie des Schlüsselanhängers aus den letzten 30 Tagen einzusehen. Zumindest die letztgenannte Lücke haben die Macher der Luca-App inzwischen geschlossen, es ist aber aufgrund der Konzeption der App weiterhin möglich, sich an entfernten Orten einzuchecken und auch der private QR-Code des Schlüsselanhängers ist nur so lange privat, wie man ihn nicht in der Öffentlichkeit verwendet – dies ist aber Sinn und Zweck des Schlüsselanhängers.

Immer mehr Sicherheitslücken wurden bekannt und nur teilweise können diese geschlossen werden. Der Grund dafür liegt in der grundsätzlichen Konzeption der App. Umgesetzt wurde eine zentrale Datenhaltung. Genau ein solches Konzept konnte für die Corona-Warn-App verhindert werden – aus gutem Grund. Die Infrastruktur skaliert im Zweifel nicht in dem Maße, wie sie es sollte und das Missbrauchspotenzial ist offensichtlich vorhanden.

Aber auch ein weitere Aspekte kommen hinzu. Die Gesundheitsämter sollen die Daten für die Kontaktverfolgung über die neue SORMAS-Software bekommen. An diese Schnittstelle wollen die Luca-Macher ihre App anbinden. SORMAS wurde vom Bund angeschafft und es wurden 5 Millionen Euro zur Verfügung gestellt, um die Gesundheitsämter damit auszustatten. Aber: SORMAS läuft noch bei kaum einem Gesundheitsamt und insofern können die Daten noch gar nicht vollständig übertragen werden. Dem gegenüber stehen etwa 20 Millionen Euro für ein Jahr Lizenzgebühr für die Luca-App, die sich inzwischen 13 Bundesländer ans Bein gebunden haben. Am Nutzen der App kann man im aktuellen Zustand also aus vielerlei Hinsicht Zweifel haben.

An der Vergabe der Lizenzen durch 13 Bundesländer gibt es ebenfalls massive Kritik. Obwohl bereits absehbar war, dass die Corona Warn App um die Check-In-Funktion erweitert werden wird, wurden Lizenzen der Luca-App gekauft. Warum zahlt der Staat für zwei Apps, die den gleichen Zweck erfüllen sollen? Es gibt auch gewisse Kriterien für die Vergabe, die offenbar nicht eingehalten wurde, nur um die eigenen Handlungsfähigkeit vorweisen zu können und keineswegs war die Luca-App dabei alternativlos. Mit Smudo hatte man nur einen sehr guten Fürsprecher.

Der Chaos Computer Club und 70 Sicherheitsforschende haben inzwischen eine Stellungnahme veröffentlicht und raten darin dazu an, die Anschaffung und Einbindung der Luca-App in entsprechende Verordnungen zu überdenken. Weiterhin heißt es hier: "Es ist nicht zu erwarten, dass dies einem Start-Up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendem Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte."

Ich kann die Menschen verstehen, die sich mehr Freiheiten erhoffen. Auch der Einzelhandel und die Gastronomie sehen in der Luca-App natürlich eine Chance zumindest in einer Phase der teilweisen Öffnung wieder am Geschäftsleben teilhaben zu können. In der Form, wie die Luca-App umgesetzt wurde, schaffen wir uns aber mehr Probleme, als dies eine Lösung bedeutet. Ich für meinen Teil kann nach all den Dingen, die hier vorgefallen sind, nur eine Konsequenz ziehen: Die Luca-App nicht zu installieren und dies auch keinem anzuraten!

Ein Kommentar von Andreas Schilling. Die Ausführungen spiegeln nicht zwangsläufig die Meinung der gesamten Redaktion wider.

Update:

In den vergangenen Wochen hat sich nicht viel getan in Sachen Luca-App. In einigen Bundesländern ist sie weiterhin Pflicht, wenn bestimmte öffentliche Lokalitäten besucht werden sollen. Aber es sind auch noch mehr Sicherheitslücken aufgetaucht, doch die Entwickler beharren auf dem Standpunkt, dass die Luca-App eine sichere Software sei.

Die neueste Sicherheitslücke betrifft die vermeintlich sichere Kommunikation zwischen der Luca-App und den Gesundheitsämtern. Und zwar ist es einem Nutzer möglich die Daten, die eigentlich nur den Gesundheitsämtern vorliegen sollten auszulesen. Dazu wird mittels Code Injection der Schadcode den Daten hinzugefügt, die dann vom Gesundheitsamt geöffnet werden. Geschieht dies, werden die eigentlich geschützten Daten an den Angreifer zurückgesendet. Bei den Daten handelt es sich um die persönlichen Informationen anderer Nutzer. Enthalten sind die Klarnamen, Adressen, Telefonnummer, E-Mail-Adressen und die Aufenthaltsorte – also ein komplettes Bewegungsprofil für die Nutzung der Luca-App.

In dieser ersten Stufe werden einfach nur die Daten zurückgesendet, die im Zusammenhang mit einer Kontaktverfolgung stehen. Es ist dem Angreifer aber auch möglich den Rechner des Mitarbeiters des Gesundheitsamtes komplett zu übernehmen. Von hier aus wäre eine Infizierung der kompletten Infrastruktur denkbar.

Die Entwickler der Luca-App wurden bereits vor drei Wochen auf die Möglichkeiten der Code Injection hingewiesen, stritten aber ab, dass diese Lücke tatsächlich eine Gefahr sei. Nun zeigt sich aber, dass es durchaus möglich ist Schadcode vom Client-System in die Gesundheitsämter einzuschleusen.

Es zeigt sich einmal mehr, dass die Luca-App aufgrund ihrer vielen Fehler keine adequate Lösung für eine Kontaktverfolgung darstellt. Viel mehr noch: Sie stellt eine Gefahr für die persönlichen Daten der Nutzer und die Gesundheitsämter dar.