Sicherheitsexperten kritisieren Luca-App
Nachdem bereits die Datenschutzkonferenz des Bundes und der Länder (DSK) der Luca-App Mängel attestiert hatte, hat sich nun auch eine Gruppe führender IT-Sicherheitsexpertinnen und -experten kritisch über die App geäußert, welche bereits durch einige Bundesländer erworben wurde und die Kontaktnachverfolgung in der Corona-Pandemie erleichtern soll. Die App weise demnach derart schwerwiegende Defizite auf, dass die mit der Nutzung einhergehenden Risiken gegenüber dem Nutzen der Anwendung “völlig unverhältnismäßig” seien.
Wesentliche Prinzipien seien nicht erfüllt
In der gemeinsamen Stellungnahme kritisieren die Expertinnen und Experten nicht das Vorhaben der technischen Kontaktnachverfolgung per se, dieses könne – wenn richtig eingesetzt – ein wirksames Mittel zur Pandemie-Bekämpfung darstellen, indem die Arbeit der Gesundheitsämter vereinfacht wird. Jedoch erfülle die Luca-App nicht die sicherheitsrelevanten Prinzipien der Zweckbindung, Offenheit/Transparenz, Freiwilligkeit und Risikoabwägung.
Intransparent, unfreiwillig und unsicher?
Zweckbindung bedeute im Rahmen der Kontaktnachverfolgung, dass die erhobenen Daten nur zum Zwecke der Pandemiebekämpfung eingesetzt werden dürfen. Weil jedoch bereits weitere Geschäftsmodelle mit der App als Basis diskutiert würden, sei dieses Kriterium nicht erfüllt. In diesem Zusammenhang wird auch die Gewinnerzielungsabsicht des Betreibers kritisch betrachtet. Zudem wird der Entwicklungsprozess des Systems als intransparent bezeichnet und dem Entwickler vorgeworfen, dass “selbst leicht zu findende Sicherheitslücken” erst im laufenden Betrieb entdeckt wurden. Schließlich könne auch nicht mehr von einer freiwilligen Nutzung gesprochen werden, wenn die Verwendung der App zur Voraussetzung der Teilhabe am gesellschaftlichen Leben gemacht wird.
Besonders kritisiert wird die mangelhafte Nutzen-Risiko-Abwägung. Einerseits sei bereits der Nutzen für die Gesundheitsämter fraglich, wenn die Auswertung weiterhin manuell erfolge. Zudem könnte auch die App mit falschen Daten gefüttert bzw. manipuliert werden. Sicherheitsrisiken bestünden auch hinsichtlich der erhobenen Daten selbst. Diese seien besonders sensibel, würden aber zentralisiert und auf Vorrat gespeichert. Bereits aus Metadaten ließen sich Bewegungsprofile erstellen, sodass auch eine doppelte Verschlüsselung keinen vollständigen Schutz biete. Ohnehin seien die zentral gespeicherten Daten kaum vor Angriffen zu schützen. Insgesamt seien somit die mit der Nutzung verbundenen Risiken “völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.”
Betreiber weisen Kritik zurück
Patrick Hennig, Geschäftsführer der der Culture4Life GmbH, die das Luca-System betreibt, wies die geäußerte Kritik zurück. Die App sei transparent und werde den Nutzern nicht aufgezwungen. Auch sei das System sicher, trotz der zentralisierten Struktur. Dies sei auch bei vielen anderen Systemem – wie im Finanzsystem, der Gesundheitsakte oder bei den Gesundheitsämtern – üblich, und durch eine umfassende dezentrale Verschlüsselung seien die Daten nicht durch eine einzige Partei lesbar.
