SENDETERMIN Mi., 09.06.21 | 21:45 Uhr | Das Erste

LUCA-App – mehr Kosten als Nutzen?

PlayDas Symbol der Luca-App
LUCA-App – mehr Kosten als Nutzen? | Video verfügbar bis 09.06.2022 | Bild: picture alliance/dpa / Christoph Soeder

  • Die LUCA-App zur Kontaktnachverfolgung wurde vollmundig angekündigt; inzwischen große Skepsis bei Datensicherheit
  • Über App konnten hochsensible Daten der Gesundheitsämter gehackt werden – vom Gewicht der Kinder bis Leichenschau
  • IT-Experten finden ständig neue Risiken, weil Grundproblem nicht behoben wird
  • App-Entwickler räumen Gefahren ein
  • 13 Bundesländer haben 21 Millionen Euro in App investiert

Wer die LUCA-App oder den LUCA-Schlüsselanhänger nutzt, spart sich den Schreibkram im Restaurant oder bei einer Veranstaltung. Wie auf dem Papier werden Name und andere Daten des Besuchs gespeichert und an die Gesundheitsämter weitergeleitet, damit sie bei Corona-Kontakten aktiv werden können. Doch klappt das wirklich so reibungslos? Inzwischen warnen immer mehr IT-Experten vor Sicherheitsproblemen mit der App.

Die LUCA-App — sie sollte alle Probleme mit der Nachverfolgung von Infektionsketten lösen. Und die Zettelwirtschaft beenden. Haufenweise handschriftliche Belege sammeln, mit ungeprüften Angaben? Das sollte der Vergangenheit angehören. Stattdessen einfach QR-Code scannen, einloggen und bei Bedarf nachverfolgen und Andere warnen. Fleißig beworben von Promis zur besten Sendezeit.

Smudo — bei Anne Will am 28.02.2021: "Ich gehe mit LUCA in die Bahn, piep, check ein, check aus. Gehe zur Freundin, privates Treffen check ein, check aus. Dann gehe ich ins Restaurant piep, piep."

Und mit reichlich Fans aus der Politik. Michael Müller, SPD, Regierender Bürgermeister Berlin: "Ich will jetzt auch endlich diese LUCA-App haben."

Skepsis nach großer Werbekampagne

Wir fahren nach Aachen — zu normalen Zeiten ein Touristenmagnet mit Weltkulturerbe. Auch hier haben die Hoteliers und Gastronomen unter dem monatelangen Lockdown gelitten. Und für das Gesundheitsamt war die Kontaktnachverfolgung eine der wichtigsten Aufgaben. Der Leiter Michael Ziemons geriet unter Zugzwang.

"In der Gesellschaft gab es natürlich, insbesondere nach den Fernsehinterviews und den Talkshow-Auftritten, einen starken Druck, diese LUCA-App zu installieren.“, so Dr. Michael Ziemons, Gesundheitsdezernent der Städteregion Aachen.

Aber bei näherem Hinsehen überwog dann doch die Skepsis und deshalb wurde die App in Aachen nicht eingeführt.

Ziemons: "Wir haben sehr schnell gesehen, dass wir den Mehrwert da nicht sehen, aber viele Gefahren."

Hacker zielen auf hochsensible Daten der Ämter

Zumal seine Behörde zuvor schon häufig von Hackern angegriffen wurde. Und das ist hochgefährlich. Denn auf den Servern der Gesundheitsämter sind die sensibelsten Daten der Bevölkerung gespeichert.

Die Luca-App ermöglicht eine verschlüsselte Kontaktdatenübermittlung. Das Einchecken erfolgt über einen QR-Code.
Das Prinzip ist einfach: QR-Code scannen, einloggen und bei Bedarf nachverfolgen und andere warnen. | Bild: picture alliance/dpa/dpa-Zentralbild / Jens Büttner

Er sagt: "Wir haben hier jede Einstellungsuntersuchung auf dem Server, wir haben hier jede Leichenschau auf dem Server, wir haben hier die Impfungen auf dem Server. Wie dick die Kinder sind, welchen Zahnstatus sie haben. All das ist in so einem Gesundheitsamt gespeichert, sensiblere Daten finden sie kaum in einer Verwaltung."

Alle Gesundheitsämter an die LUCA-App angeschlossen — das melden Hessen, Baden-Württemberg, Bayern und zehn weitere Bundesländer.

"Eine Datenautobahn in die Gesundheitsämter", heißt es. Aber: Das sei auch eine Schnellstraße für Hacker, mahnen IT-Sicherheitsexperten wie Manuel Atug. Schon seit Monaten warnen er und andere vor Problemen in der LUCA-Architektur. 

Manuel Atug, HiSolutions IT-Sicherheitsberatung: "Wenn man dann Sicherheitslücken aufzeigt und das Unternehmen erst alles abwiegelt, auf andere schiebt und relativiert. Und anschließend immer nur das konkrete Problem versucht zu beheben und nicht die Ursache des Problems, dann eiert man halt ewig und drei Tage an den Auswirkungen rum."

Erst Großrechner lahm legen – dann Erpressung

Nachdem die Macher von LUCA, die Berliner Firma nexenio, in einem Pressebericht massive Sicherheitslücken bei der Datenabfrage durch Gesundheitsämter ausgeschlossen hatten, demonstrierten die IT-Experten diese mögliche Gefahr. Mit einem Video im Netz.

"Marcus manipuliert seinen eigenen Datensatz, packt in seinen Namen, Nachname, Adresse und so weiter beispielsweise diese Schadsoftware. Und die kann ich dann da einspeisen, durch LUCA durchschleusen, in das Gesundheitsamt. Und das führt es aus und ist anschließend eben kompromittiert.", erklärt Dipl.-Informatiker Manuel Atug.

Eine solche Attacke — ein Alptraum für jede Firma und Behörde. Die Rechner und Server werden komplett lahmgelegt. Und nur für ein hohes Lösegeld wieder freigeschaltet.

"Das Szenario ist so realistisch, wie Täter oder Angreifergruppen das auch durchziehen wollen. Wenn die da den Bedarf sehen und sagen, wir können Gesundheitsämter erpressen, und das ist für uns ein Business-Case, mit dem können wir maximalen Profit rausholen, dann werden die nicht zögern sondern zugreifen.", so Atug.

Die Folgen für die Ämter und die Bürger wären dramatisch.

Dr. Michael Ziemons, Gesundheitsdezernent Städteregion Aachen: "Wenn hier bei uns der Server lahm liegt, dann können wir keine Kontakte mehr nachverfolgen, dann können wir keine Menschen in Quarantäne schicken, dann können wir auch keine Gesundheitsbetreuung mehr gewährleisten. Es wäre keine Neueinstellung mehr möglich, denn hier sitzen ja die Amtsärzte, die am Ende kontrollieren, bevor eine Einstellung möglich ist. Also die gesamte gesundheitliche Versorgung von Trinkwasserkontrolle bis zu den Untersuchungen in den unterschiedlichsten Kontexten, die hier stattfinden, wäre nicht mehr möglich."

App-Entwickler bestätigen Sicherheitslücke

Kein Statement vor der Kamera von den Entwicklern der LUCA-App — der Firma nexenio. Aber sie bestätigen schriftlich, dass die Gefahr eines Angriffs real war. "Auch wenn (...) unserer Kenntnis nach keines der 313 Gesundheitsämter tatsächlich betroffen war, war dies eine klare Sicherheitslücke, für die wir mit Nachdruck um Entschuldigung bitten und die Verantwortung übernehmen.", so nexenio.

Die Sicherheitslücke wurde kurz nach der Veröffentlichung des Angriffsszenarios behoben. Aber dann tauchte gleich das nächste Problem auf: Man konnte nun die Software in den Gesundheitsämtern über Nutzerdaten ganz abstürzen lassen.

Unsere Anfrage dazu wurde von der Betreiberfirma nicht kommentiert.

Manuel Atug, HiSolutions IT-Sicherheitsberatung: "In dem Flickenteppich, den die gebaut haben, führt auch jede kleine Behebung zu weiteren Löchern, die sie aufreißen. Das ist quasi wie eine Hydra: Einen Kopf abschlagen, zwei neue sind da. Und das wird wahrscheinlich noch die nächsten Monate so weiter gehen."

21 Millionen für Dauerbaustelle LUCA-App

Für diesen Ärger wurde viel Geld investiert. 13 Bundesländer haben zusammen 21 Millionen Euro für die LUCA-App ausgegeben. Nur Thüringen, Sachsen und Nordrhein-Westfalen haben sie nicht angeschafft und arbeiten an Alternativen.

Auch weil Zweifel an der Datenqualität des LUCA-Systems bestehen. IT-Experte Max Kiehnscherf demonstriert, wie man sich mit einem gefälschten QR-Code aus dem Internet in Geschäfte mit der LUCA-App einloggen kann.

Max Kiehnscherf, Software-Entwickler Symbiolab GmbH: "Wenn Sie dann versuchen, diesen Datensatz auf Seiten der Gesundheitsämter zu entschlüsseln, dann stellen sie fest: Da steht gar nichts drin, das ist kein valider Datensatz."

Trickserei wie bei Zetteln zur Kontaktverfolgung möglich

So lässt sich das System ganz einfach austricksen. Aber der Programmierer kann sich auch mit falschem Namen — in diesem Fall Hans Dampf — falscher Adresse und falscher Telefonnummer bei LUCA anmelden. Die Verifizierung per SMS bei einer Neuanmeldung lässt sich leicht umgehen. Mit einer beliebigen Zahlenreihe statt der persönlichen TAN.

Kiehnscherf sagt: "Es hätte also jede Telefonnummer und jeder Name sein können, den wir uns ausdenken. Eine Validierung hat da nicht stattgefunden und die Daten, so wie wir sie eingegeben haben, landen dann auch beim Gesundheitsamt."

Besucher stehen am Einlass zur Gilde Parkbühne und registrieren sich über die Luca-App.
Inzwischen warnen immer mehr IT-Experten vor Sicherheitsproblemen mit der App. | Bild: picture alliance/dpa / Moritz Frankenberg

Datenmüll. Kontaktnachverfolgung unmöglich — wie bei falsch ausgefüllten Handzetteln. Genau das hatte Max Kiehnscherf schon vor einigen Wochen im rbb Fernsehen moniert. Behoben wurde die Sicherheitslücke seitdem nicht. "LUCA wird ja verkauft als Werkzeug für die Gesundheitsämter. In der aktuellen Ausarbeitung ist es so, dass sehr viel Arbeit auf die Gesundheitsämter ausgelagert wird, die LUCA selber machen könnte. Bei den invaliden Telefonnummern, da muss das Gesundheitsamt aktiv werden, um rauszufinden, ist das eine echte Telefonnummer, das ist für die ja gar nicht erkenntlich."

Die LUCA-App: ein einträgliches Covid-Glücksrittertum?

Von den LUCA-Machern heißt es, man wolle auch diese Sicherheitslücke nun wirklich bald beheben: "Das entsprechende Konzept ist fertig und mit den Datenschutzbehörden abgestimmt und wird in den nächsten Wochen implementiert. Bei diesem Thema zeigt sich der nicht immer leicht lösbare Zielkonflikt zwischen Missbrauchsmöglichkeiten und datensparsamen Systemen."

Nach so vielen potenziellen Gefahren und schleppenden Korrekturen kommen Kritiker zu einem wenig schmeichelhaften Urteil:

Manuel Atug, IT-Sicherheitsexperte HiSolutions: "Das sieht eher nach Covid-Glücksrittertum und Einsammeln von vielen Millionen Euro aus, als dass es eine ernsthafte Umsetzung einer Pandemie-Kontaktverfolgung ist."

Nordrhein-Westfalen ist eines der drei Bundesländer, die bei der LUCA-App nicht mitgemacht haben. Jan Kus hat in Köln eine Plattform (wirfuerdigitalisierung.de) mit 25 anderen Anbietern installiert. Seine Meinung: "Das Thema Kontaktdatenerfassung ist kein Geschäftsmodell, sondern wir versuchen ein politisches Problem zu lösen. Und deswegen kann man sich da auch gegenseitig updaten."

Sichere Alternativen ohne Festlegung für Nutzer

Ein offenes und lernendes System, bei dem es keine Rolle spielt, für welchen App-Anbieter sich ein Gastwirt entschieden hat. Mit einer Art Türsteher vor den Servern der Gesundheitsämter namens IRIS. Damit können alle Anbieter — nicht nur einer — mit den Gesundheitsämtern kommunizieren und Kontaktnachverfolgung ermöglichen. Und Hackern wird der direkte Zugang auf die Server der Gesundheitsämter versperrt.

Auch das Aachener Amt setzt inzwischen auf dieses Modell.

Dr. Michael Ziemons, Gesundheitsdezernent Städteregion Aachen: "Das ist ein bundesweites Projekt. Das ist genau der richtige Weg. Schnittstellen entwickeln und nicht einheitliche Softwarelösungen vorgeben."

Offizielle Warn-App inzwischen doch besser als gedacht?

Eine ganz andere Lösung gibt es übrigens auch noch. Die lange geschmähte, aber inzwischen nachgebesserte offizielle Corona-Warn-App. Für vielen Millionen entwickelt und inzwischen auch mit Check-in-Funktion. Sie warnt bei möglichen Risikokontakten ohne den Umweg über die Gesundheitsämter. Das kann sogar von Vorteil sein.

"Weil sie warnt autonom die anderen Menschen: Du könntest möglicherweise Kontakt gehabt haben, geh dich bitte testen lassen. Und nimmt damit den Gesundheitsämtern wirklich Arbeit ab. Eine Datei mit 500 Adressen durchzutelefonieren und zu fragen, ob man zufällig der erkrankten Person begegnet ist, kostet stundenlang Zeit. Und die wird kaum ein Gesundheitsamt auf dem auf dem Höhepunkt einer Pandemie haben.", so Ziemons.

Aktuell stehen die Zeichen zwar auf Entspannung. Aber je besser alle gerüstet sind, desto leichter lässt sich eine mögliche vierte Welle verhindern.

Ein Beitrag von Jörn Kersten

Onlinebearbeitung: Ute Kunsmann

Der Beitrag wurde produziert vom Saarländischen Rundfunk (SR) für "Das Erste".

Stand: 11.06.2021 10:15 Uhr

29 Bewertungen
Kommentare
Bewerten

Kommentare

Kommentar hinzufügen

Bitte beachten: Kommentare erscheinen nicht sofort, sondern werden innerhalb von 24 Stunden durch die Redaktion freigeschaltet. Es dürfen keine externen Links, Adressen oder Telefonnummern veröffentlicht werden. Bitte vermeiden Sie aus Datenschutzgründen, Ihre E-Mail-Adresse anzugeben. Fragen zu den Inhalten der Sendung, zur Mediathek oder Wiederholungsterminen richten Sie bitte direkt an die Zuschauerredaktion unter info@daserste.de. Vielen Dank!

*
*

* Pflichtfeld (bitte geben Sie aus Datenschutzgründen hier nicht Ihre Mailadresse oder Ähnliches ein)

Kommentar abschicken

Ihr Kommentar konnte aus technischen Gründen leider nicht entgegengenommen werden

Kommentar erfolgreich abgegeben. Dieser wird so bald wie möglich geprüft und danach veröffentlicht. Es gelten die Nutzungsbedingungen von DasErste.de.

Sendetermin

Mi., 09.06.21 | 21:45 Uhr
Das Erste

Produktion

Saarländischer Rundfunk
für
DasErste