Die Luca-App soll mit vereinfachter Kontaktverfolgung einen Weg aus dem Lockdown weisen – und wird dafür auch mit Steuergeldern in Millionenhöhe gefördert. Das soll jetzt aufhören, fordern die Experten des Chaos Computer Clubs (CCC). Als Grund nennen sie eine eklatante Sicherheitslücke in der QR-Code-Funktion der App.
Die soll eigentlich eine reibungslose Nutzung garantieren. Scannt man seinen persönlichen QR-Code an einem Veranstaltungsort, einem Restaurant oder einem Laden, gilt man als "eingecheckt". Die Betreiber können dann die Anzahl der Besucher im Auge behalten, im Falle eines Corona-Ausbruchs die Gäste informieren. Doch genau diese Code-Funktion sei enorm unsicher, stellte der CCC nun fest - und würde es erlauben, die Bewegungen des Nutzers nachzuverfolgen.
Luca verrät, wo der Nutzer schon war
Dazu reicht es nach Angaben der Hacker aus, den Code an einem speziellen Schlüsselanhänger einmal abzuscannen. Sie mussten dafür nicht mal Zugriff auf einen der Schlüsselanhänger haben, auf denen der Code Hunderttausendfach verteilt wurde. Ein Foto eines Anhängers reichte aus, berichtet die Gruppe, die sich selbst "LucaTrack" nennt, in einem Statement. Dann ließ sich mit "einfachen Programmierkenntnissen" der gesamte Besuchsverlauf aus dem vergangenen Monat über den Code auslesen.
Die Benutzer der Luca-App selbst sind nicht betroffen: Die Schlüsselanhänger sind vor allem für Personen gedacht, die kein eigenes Smartphone besitzen. Bei Benutzern der App ist das Vorgehen umgekehrt: Sie scannen selbst einen Code des Veranstaltungsortes ab. Ihre Bewegungs-Daten sind für Dritte nicht abrufbar. Das sollte nach Ansicht des CCC aber auch bei den Nutzern der Schlüssel-Anhänger nie möglich sein. "Diese Informationen sollten klar voneinander getrennt werden", fordert LucaTrack.
"Steuer-Millionengrab"
Die Hacker gehen entsprechend hart mit der App ins Gericht. CCC-Sprecher Linus Neumann bescheinigt "Smudos Steuer-Millionengrab" gar eine "nicht abreißende Serie von Sicherheitsproblemen". Ihre Forderung: Es sollten keine Steuermittel mehr in die App gesteckt werden. "Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit", so Neumann.
Das sieht er auch als grundsätzliches Problem: Die App erfülle "keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von 'Contact Tracing'-Apps", wettert Neumann. Dass es auch anders geht, zeigte letztes Jahr die Corona-Warn-App: Die habe tatsächlich alle Prüfsteine erfüllt, musste ein leicht zerknirscht wirkender Neumann damals zugeben.
Entwickler geben Fehler zu
Die Entwickler der App, das Start-up Nexino, gibt den Fehler zu. Es sei möglich, "dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten", sagten sie der "DPA". Man habe die Funktion umgehend deaktiviert. Das Unternehmen betont, dass es nie möglich gewesen sei, auf persönliche Daten wie die Adresse oder die Telefonnummer zuzugreifen. Trotzdem raten sie dazu, keine Bilder des eigenen Anhängers zu verbreiten, um "böswilligen Missbrauch zu vermeiden."
Die Luca-App wird in einem guten Dutzend Bundesländern mit Steuermitteln unterstützt, insgesamt kommen so etwa 20 Millionen Euro aus Steuerhand zusammen. In den letzten Wochen war die von den Rappern Smudo und Michi Beck von den Fantastischen 4 unterstützte App aber immer wieder in Kritik geraten. So wurde kritisiert, dass die App auch einen Check-In erlaubt, wenn man gar nicht vor Ort ist. Jan Böhmermann nutzte das, um sich nachts im Osnabrücker Zoo anzumelden, eine virtuelle Party meldete gar mehr als 600.000 Gäste. Trotzdem setzen die Politik und immer mehr Unternehmen auf die App Luca, wie der Möbelgigant Ikea oder die Buchhandlungen von Thalia.
