App zur Kontaktnachverfolgung: IT-Sicherheitsbehörde prüft Luca-App

Das Bundesamt für Sicherheit in der Informationstechnik prüft die Luca-App, mit der mehrere Bundesländer die Kontakte von Infizierten nachverfolgen wollen. Experten kritisieren, die Länder hätten die App übereilt gekauft.

Schlüsselanhänger der Luca-App: »Derzeit mit mehreren Stellen des Bundes zur Luca-App im Austausch«

Foto: Marcus Brandt / dpa

Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.

Zwei Drittel der deutschen Bundesländer setzten auf die Check-in-App Luca, die in der Coronapandemie bei der Nachverfolgung von Infektionsketten helfen soll. Zusammengenommen haben die Länder – zu denen unter anderem Mecklenburg-Vorpommern, Bayern und Hessen gehören – mehr als 20 Millionen Euro für die App ausgegeben, wie Recherchen von Netzpolitik.org ergaben .

IT-Experten kritisieren allerdings seit Längerem, dass noch nicht alle Fragen zur IT-Sicherheit und zum Datenschutz der App geklärt seien und das System dennoch übereilt eingeführt worden sei. So hatte der Chaos Computer Club (CCC) in der vergangenen Woche ein sofortiges Moratorium  und ein Ende der steuerfinanzierten Unterstützung der App gefordert. Zuvor hatten IT-Sicherheitsexpertinnen und -experten eine Schwachstelle beim Check-in  mit den Luca-Schlüsselanhängern entdeckt, die alternativ zur Smartphone-App verwendet werden können. Durch die Schwachstelle hätte unter Umständen ein Bewegungsprofil aller besuchten Orte von Nutzerinnen und Nutzern der Luca-App erstellt werden können. (Lesen Sie hier mehr dazu.)

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun mitteilt, beschäftigt sich auch Deutschlands IT-Sicherheitsbehörde seit einiger Zeit mit der App: »Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt derzeit eine technische Prüfung der Luca-App vor«, heißt es von der Behörde auf SPIEGEL-Anfrage.

BSI im Austausch mit mehreren Stellen des Bundes zu Luca

Die Prüfung läuft offenbar bereits seit einiger Zeit. Sie habe bereits begonnen, bevor die Betreiber der Luca-App am vergangenen Donnerstag den Quellcode veröffentlicht hätten, heißt es von einem Behördensprecher. Wann genau mit einem Ergebnis zu rechnen ist, ließ das BSI zunächst offen. Die Behörde stünde jedoch »derzeit mit mehreren Stellen des Bundes zur Luca-App im Austausch«, teilte das BSI mit.

Das BSI prüft immer mal wieder Apps oder lässt sie prüfen, äußert sich aber selten zu konkret laufenden Vorgängen, da es meist um einzelne Firmen und Wirtschaftsunternehmen geht. Luca wird vom Berliner Start-up neXenio entwickelt.

Als Reaktion auf die in den vergangenen Wochen anhaltende Kritik von IT-Sicherheitsexperten hatten die Betreiber der Luca-App vergangenen Donnerstag den Quellcode ihrer App veröffentlicht. Die Sicherheitslücke mit den Schlüsselanhängern haben die Betreiber der App inzwischen geschlossen und sich in einer Stellungnahme zu den Vorwürfen des CCC  geäußert.