Interview

Kritik an der Luca App: Geht Schwaben den richtigen Weg?

Viele Landkreise in Bayerisch-Schwaben nutzen für ihre Öffnungsstrategie bereits die Luca App. Doch die stößt auch auf Kritik. Peter Lachenmair, IT-Sachverständiger und Datenschutzauditor DSA-TÜV aus der Nähe von Augsburg, erklärt im Interview, weshalb viele IT-Experten die App ablehnen – und zu welcher Alternative er rät.

B4B WIRTSCHAFTSLEBEN SCHWABEN: Herr Lachenmair, vielerorts ist die Luca-App schon in Betrieb. Sie soll die Kontaktnachverfolgung bei Geschäften vereinfachen. Doch schon zum Start der App haben sich einige Sachverständige gegen Luca ausgesprochen und warnen vor Sicherheitslücken. Was steckt dahinter?

Peter Lachenmair: Es gibt gleich mehrere Schwachstellen. Und es werden immer noch weitere Schwachstellen gefunden. Hervorzuheben ist, dass die Kommunikationsmethode und der Umgang mit besagten Problemen sehr dürftig ist. Auf Hinweise zu Schwachstellen wurde vielmals nicht reagiert oder sie wurden zum Teil wegdiskutiert oder gar wegdelegiert.

Können Sie ein Beispiel geben?

Wir benötigen Ihre Zustimmung zum Laden dieser Anzeige!

Wir verwenden einen Drittanbieterdienst, um Anzeigen darzustellen, die möglicherweise Daten über Ihre Aktivität sammeln. Bitte überprüfen Sie die Details und akzeptieren Sie den Dienst, um diese Anzeige zu sehen.

Dieser Inhalt darf aufgrund von Trackern, die dem Besucher nicht bekannt gegeben werden, nicht geladen werden. Der Website-Eigentümer muss die Website mit seinem CMP einrichten, um diesen Inhalt in die Liste der verwendeten Technologien aufzunehmen.

powered by Usercentrics Consent Management Platform

Es wurde zum Beispiel eine Schwachstelle in der Check-in-App aufgedeckt, mit der Gesundheitsämter angegriffen werden können. Hier können über den Import Daten aus einer CSV-Tabelle gefunden werden. Diese kann zur Manipulation des Systems ausgenutzt werden. Denn damit können Daten ausgelesen und Malware zur Datenverschlüsselung injiziert werden.

Das bedeutet, die Probleme liegen auch im Datenschutz?

Allerdings. Bei Fragen des Datenschutzes hat sich der Bundesdatenschutzbeauftragte Dr. Ulrich Kelber zu Wort gemeldet: Er bat die Bundesländer darum die datensparsame und pseudonyme Kontaktbenachrichtigung zu prüfen. Denn beides sind Anforderungen der Datenschutzgrundverordnung. Im Vergleich zur Corona-Warn-App werden in der Luca-App die Datenbestände zentral vorgehalten. Das ist ein Problem.  

Inzwischen kann man mit der Corona-Warn-App auch über QR-Codes einchecken. Halten Sie dies für eine geschickte Alternative für Geschäfte der Region?

Wir benötigen Ihre Zustimmung zum Laden dieser Anzeige!

Wir verwenden einen Drittanbieterdienst, um Anzeigen darzustellen, die möglicherweise Daten über Ihre Aktivität sammeln. Bitte überprüfen Sie die Details und akzeptieren Sie den Dienst, um diese Anzeige zu sehen.

Dieser Inhalt darf aufgrund von Trackern, die dem Besucher nicht bekannt gegeben werden, nicht geladen werden. Der Website-Eigentümer muss die Website mit seinem CMP einrichten, um diesen Inhalt in die Liste der verwendeten Technologien aufzunehmen.

powered by Usercentrics Consent Management Platform

Absolut. Die Corona-Warn-App ist die datenschutzkonforme Alternative zur Luca-App. Hier wird eine dezentrale Datenhaltung umgesetzt, es wurden Sicherheitsexperten bei der Umsetzung zu Rate gezogen und der Quellcode veröffentlicht. Die entspricht dem „Public Money – Public Code“-Ansatz. Das bedeutet, dass das Projekt aus Staatsgeldern finanziert wurde und den Nutzer kostenlos zur Verfügung steht.

Kostenlos ist die Luca-App trotz allem aber auch…

Wir benötigen Ihre Zustimmung zum Laden dieser Anzeige!

Wir verwenden einen Drittanbieterdienst, um Anzeigen darzustellen, die möglicherweise Daten über Ihre Aktivität sammeln. Bitte überprüfen Sie die Details und akzeptieren Sie den Dienst, um diese Anzeige zu sehen.

Dieser Inhalt darf aufgrund von Trackern, die dem Besucher nicht bekannt gegeben werden, nicht geladen werden. Der Website-Eigentümer muss die Website mit seinem CMP einrichten, um diesen Inhalt in die Liste der verwendeten Technologien aufzunehmen.

powered by Usercentrics Consent Management Platform

Das ist zwar richtig. Allerdings ist der Knackpunkt, dass mehrere IT-Spezialisten bereits im April ihre Bedenken geäußert hatten. Auch der Chaos Computer Club, einer der weltweit größten Hackervereinigung und NGO in Fragen der PC-Sicherheit. Und obwohl die Corona-Warn-App eine datenschutzkonforme Alternative bietet, investierte der Freistaat Bayern schon mehrere Millionen Euro in die Luca-App. Für mich ist das unverständlich.

Weitere Artikel zum Gleichen Thema
Interview

Kritik an der Luca App: Geht Schwaben den richtigen Weg?

Viele Landkreise in Bayerisch-Schwaben nutzen für ihre Öffnungsstrategie bereits die Luca App. Doch die stößt auch auf Kritik. Peter Lachenmair, IT-Sachverständiger und Datenschutzauditor DSA-TÜV aus der Nähe von Augsburg, erklärt im Interview, weshalb viele IT-Experten die App ablehnen – und zu welcher Alternative er rät.

B4B WIRTSCHAFTSLEBEN SCHWABEN: Herr Lachenmair, vielerorts ist die Luca-App schon in Betrieb. Sie soll die Kontaktnachverfolgung bei Geschäften vereinfachen. Doch schon zum Start der App haben sich einige Sachverständige gegen Luca ausgesprochen und warnen vor Sicherheitslücken. Was steckt dahinter?

Peter Lachenmair: Es gibt gleich mehrere Schwachstellen. Und es werden immer noch weitere Schwachstellen gefunden. Hervorzuheben ist, dass die Kommunikationsmethode und der Umgang mit besagten Problemen sehr dürftig ist. Auf Hinweise zu Schwachstellen wurde vielmals nicht reagiert oder sie wurden zum Teil wegdiskutiert oder gar wegdelegiert.

Können Sie ein Beispiel geben?

Wir benötigen Ihre Zustimmung zum Laden dieser Anzeige!

Wir verwenden einen Drittanbieterdienst, um Anzeigen darzustellen, die möglicherweise Daten über Ihre Aktivität sammeln. Bitte überprüfen Sie die Details und akzeptieren Sie den Dienst, um diese Anzeige zu sehen.

Dieser Inhalt darf aufgrund von Trackern, die dem Besucher nicht bekannt gegeben werden, nicht geladen werden. Der Website-Eigentümer muss die Website mit seinem CMP einrichten, um diesen Inhalt in die Liste der verwendeten Technologien aufzunehmen.

powered by Usercentrics Consent Management Platform

Es wurde zum Beispiel eine Schwachstelle in der Check-in-App aufgedeckt, mit der Gesundheitsämter angegriffen werden können. Hier können über den Import Daten aus einer CSV-Tabelle gefunden werden. Diese kann zur Manipulation des Systems ausgenutzt werden. Denn damit können Daten ausgelesen und Malware zur Datenverschlüsselung injiziert werden.

Das bedeutet, die Probleme liegen auch im Datenschutz?

Allerdings. Bei Fragen des Datenschutzes hat sich der Bundesdatenschutzbeauftragte Dr. Ulrich Kelber zu Wort gemeldet: Er bat die Bundesländer darum die datensparsame und pseudonyme Kontaktbenachrichtigung zu prüfen. Denn beides sind Anforderungen der Datenschutzgrundverordnung. Im Vergleich zur Corona-Warn-App werden in der Luca-App die Datenbestände zentral vorgehalten. Das ist ein Problem.  

Inzwischen kann man mit der Corona-Warn-App auch über QR-Codes einchecken. Halten Sie dies für eine geschickte Alternative für Geschäfte der Region?

Wir benötigen Ihre Zustimmung zum Laden dieser Anzeige!

Wir verwenden einen Drittanbieterdienst, um Anzeigen darzustellen, die möglicherweise Daten über Ihre Aktivität sammeln. Bitte überprüfen Sie die Details und akzeptieren Sie den Dienst, um diese Anzeige zu sehen.

Dieser Inhalt darf aufgrund von Trackern, die dem Besucher nicht bekannt gegeben werden, nicht geladen werden. Der Website-Eigentümer muss die Website mit seinem CMP einrichten, um diesen Inhalt in die Liste der verwendeten Technologien aufzunehmen.

powered by Usercentrics Consent Management Platform

Absolut. Die Corona-Warn-App ist die datenschutzkonforme Alternative zur Luca-App. Hier wird eine dezentrale Datenhaltung umgesetzt, es wurden Sicherheitsexperten bei der Umsetzung zu Rate gezogen und der Quellcode veröffentlicht. Die entspricht dem „Public Money – Public Code“-Ansatz. Das bedeutet, dass das Projekt aus Staatsgeldern finanziert wurde und den Nutzer kostenlos zur Verfügung steht.

Kostenlos ist die Luca-App trotz allem aber auch…

Wir benötigen Ihre Zustimmung zum Laden dieser Anzeige!

Wir verwenden einen Drittanbieterdienst, um Anzeigen darzustellen, die möglicherweise Daten über Ihre Aktivität sammeln. Bitte überprüfen Sie die Details und akzeptieren Sie den Dienst, um diese Anzeige zu sehen.

Dieser Inhalt darf aufgrund von Trackern, die dem Besucher nicht bekannt gegeben werden, nicht geladen werden. Der Website-Eigentümer muss die Website mit seinem CMP einrichten, um diesen Inhalt in die Liste der verwendeten Technologien aufzunehmen.

powered by Usercentrics Consent Management Platform

Das ist zwar richtig. Allerdings ist der Knackpunkt, dass mehrere IT-Spezialisten bereits im April ihre Bedenken geäußert hatten. Auch der Chaos Computer Club, einer der weltweit größten Hackervereinigung und NGO in Fragen der PC-Sicherheit. Und obwohl die Corona-Warn-App eine datenschutzkonforme Alternative bietet, investierte der Freistaat Bayern schon mehrere Millionen Euro in die Luca-App. Für mich ist das unverständlich.

Weitere Artikel zum Gleichen Thema
nach oben