Weitere Schwachstelle entdeckt Chaos Computer Club fordert Stopp von Luca

Über die Luca-Schlüsselanhänger – eine Alternative zur App für Menschen ohne Smartphone – ließen sich unter Umständen Bewegungsprofile auslesen. Die Entdecker und der CCC werfen den Entwicklern schwere Versäumnisse vor.
Luca-Nutzerin in Berlin: Die App setzt auf Scans von QR-Codes

Luca-Nutzerin in Berlin: Die App setzt auf Scans von QR-Codes

Foto: Christoph Soeder / dpa

Die Reihe der Schwachstellen im Check-in-System von Luca setzt sich fort: IT-Sicherheitsexpertinnen und -experten haben entdeckt, dass die Bewegungshistorie im Luca-Schlüsselanhänger schlecht geschützt war und sich von Fremden auslesen ließ, sofern jemand den QR-Code auf dem Anhänger einscannen konnte. Dafür reichte ein Foto vom Anhänger.

Im Einzelnen ließ sich damit die vollständige Historie der Luca-Check-ins einer Person der vergangenen 30 Tage einsehen, außerdem die Geo-Koordinaten und Adressen der entsprechenden Locations sowie der genaue Zeitpunkt der Check-ins an allen Locations. Das geht aus der Kurzanalyse  der Gruppe hervor, die sich Team LucaTrack nennt. Sie hat nach eigenen Angaben die Luca-Entwickler und die zuständige Berliner Datenschutzbeauftragte am 13. April über ihre Erkenntnisse informiert.

Die Schlüsselanhänger sind innerhalb des Check-in-Systems von Luca eine Alternative zur App für Menschen, die kein Smartphone haben oder Luca nicht auf ihrem Gerät verwenden wollen. Sie sind etwas kleiner als eine typische Chipkarte und haben einen aufgedruckten QR-Code. Zum Einchecken in einem Geschäft, Restaurant oder zu einer Veranstaltung wird der QR-Code am Einlass vom Personal eingelesen. Bei der App ist es umgekehrt, Nutzerinnen und Nutzer scannen ihrerseits den QR-Code der Location mit ihrem Smartphone.

Namen, Telefonnummern und andere personenbezogene Daten waren durch die Schwachstelle nicht einsehbar, wie auch die Luca-Macher selbst in ihrem Statement vom Donnerstag schreiben. Darin heißt es: »Wir wurden heute im Rahmen einer Meldung darauf aufmerksam gemacht, dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten. Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung.« Um Missbrauch zu vermeiden, empfehlen die Entwickler, »den persönlichen Schlüsselanhänger mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen«.

Luca wird vom Berliner Start-up neXenio entwickelt und unter anderem von Smudo von den Fantastischen Vier beworben. Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Bayern, Sachsen-Anhalt, Hamburg und das Saarland setzen auf Luca und geben laut Recherchen von netzpolitik.org  insgesamt fast 20 Millionen Euro dafür aus, einschließlich der Kosten für die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Nutzerinnen und Nutzer von Luca.

Der Chaos Computer Club (CCC) fordert nun, keine Steuermittel mehr für Luca auszugeben . Linus Neumann, einer der CCC-Sprecher, verwies auf eine »nicht abreißende Serie von Sicherheitsproblemen«. Die von Team LucaTrack entdeckte Schwachstelle nannte er »offensichtlich und unnötig«, sie zeuge »von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit«.

»Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen«, heißt es im CCC-Statement weiter. Der Club fordere »ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs. Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbietet sich der ländersubventionierte Roll-out ungeprüfter Software von selbst.«

Update: Am Mittwochabend haben sich die Luca-Macher in einer Stellungnahme zu den Vorwürfen des Chaos Computer Clubs geäußert. Zur Sicherheitslücke in den Schlüsselanhängern heißt es darin etwa: "Im vorgeworfenen Beispiel hat ein Dritter sich Besitz über einen Schlüsselanhänger verschafft. Daher konnte der Angreifer die Historie dieses einen Schlüsselanhängers herausfinden, jedoch nicht die Kontaktdaten. Wir haben zur Sicherheit diese Möglichkeit abgeschaltet." Das komplette Statement der Firma findet sich hier. 

pbe