Schlagwort: Luca

Sicherheitsexperten kritisieren Luca-App

3. Mai 2021

Nachdem bereits die Datenschutzkonferenz des Bundes und der Länder (DSK) der Luca-App Mängel attestiert hatte, hat sich nun auch eine Gruppe führender IT-Sicherheitsexpertinnen und -experten kritisch über die App geäußert, welche bereits durch einige Bundesländer erworben wurde und die Kontaktnachverfolgung in der Corona-Pandemie erleichtern soll. Die App weise demnach derart schwerwiegende Defizite auf, dass die mit der Nutzung einhergehenden Risiken gegenüber dem Nutzen der Anwendung „völlig unverhältnismäßig“ seien.

Wesentliche Prinzipien seien nicht erfüllt

In der gemeinsamen Stellungnahme kritisieren die Expertinnen und Experten nicht das Vorhaben der technischen Kontaktnachverfolgung per se, dieses könne – wenn richtig eingesetzt – ein wirksames Mittel zur Pandemie-Bekämpfung darstellen, indem die Arbeit der Gesundheitsämter vereinfacht wird. Jedoch erfülle die Luca-App nicht die sicherheitsrelevanten Prinzipien der Zweckbindung, Offenheit/Transparenz, Freiwilligkeit und Risikoabwägung.

Intransparent, unfreiwillig und unsicher?

Zweckbindung bedeute im Rahmen der Kontaktnachverfolgung, dass die erhobenen Daten nur zum Zwecke der Pandemiebekämpfung eingesetzt werden dürfen. Weil jedoch bereits weitere Geschäftsmodelle mit der App als Basis diskutiert würden, sei dieses Kriterium nicht erfüllt. In diesem Zusammenhang wird auch die Gewinnerzielungsabsicht des Betreibers kritisch betrachtet. Zudem wird der Entwicklungsprozess des Systems als intransparent bezeichnet und dem Entwickler vorgeworfen, dass „selbst leicht zu findende Sicherheitslücken“ erst im laufenden Betrieb entdeckt wurden. Schließlich könne auch nicht mehr von einer freiwilligen Nutzung gesprochen werden, wenn die Verwendung der App zur Voraussetzung der Teilhabe am gesellschaftlichen Leben gemacht wird.

Besonders kritisiert wird die mangelhafte Nutzen-Risiko-Abwägung. Einerseits sei bereits der Nutzen für die Gesundheitsämter fraglich, wenn die Auswertung weiterhin manuell erfolge. Zudem könnte auch die App mit falschen Daten gefüttert bzw. manipuliert werden. Sicherheitsrisiken bestünden auch hinsichtlich der erhobenen Daten selbst. Diese seien besonders sensibel, würden aber zentralisiert und auf Vorrat gespeichert. Bereits aus Metadaten ließen sich Bewegungsprofile erstellen, sodass auch eine doppelte Verschlüsselung keinen vollständigen Schutz biete. Ohnehin seien die zentral gespeicherten Daten kaum vor Angriffen zu schützen. Insgesamt seien somit die mit der Nutzung verbundenen Risiken „völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.“

Betreiber weisen Kritik zurück

Patrick Hennig, Geschäftsführer der der Culture4Life GmbH, die das Luca-System betreibt, wies die geäußerte Kritik zurück. Die App sei transparent und werde den Nutzern nicht aufgezwungen. Auch sei das System sicher, trotz der zentralisierten Struktur. Dies sei auch bei vielen anderen Systemem – wie im Finanzsystem, der Gesundheitsakte oder bei den Gesundheitsämtern – üblich, und durch eine umfassende dezentrale Verschlüsselung seien die Daten nicht durch eine einzige Partei lesbar.

Kategorien: Allgemein · Coronavirus
Schlagwörter: ,

DSK: Kontaktverfolgung durch Apps sicher gestalten und regeln

7. April 2021

Die Nachverfolgung persönlicher Kontakte wird seit Beginn der Covid-19-Pandemie als ein wirksames Mittel zur Pandemiebekämpung betrachtet. Nachdem das Robert-Koch-Institut die Corona-Warn-App veröffentlichte, machten sich auch private Anbieter an die Entwicklung entsprechender Apps, wie beispielsweise die App Luca. In einer Stellungnahme vom 26. März hat sich die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – zu diesen Thema geäußert.

Öffentliche Stellen wollen privat betriebene Apps nutzen

Hintergrund der Stellungnahme ist, dass nunmehr einige Länder und Landkreise die Absicht bekundet hätten, private entwickelte Apps zu nutzen und auch eine Verbindung zu den lokalen Gesundheitsämtern zu ermöglichen. Dabei weist die DSK noch einmal darauf hin, dass ein solches Vorgehen datenschutzkonform erfolgen müsse. Dies sei in datensparsamer Weise aber nur dann möglich, wenn es bundesweit auf einheitliche Regelungen gestützt werde. Solche gesetzliche Regelung fehlten jedoch, so die DSK.

DSK zu den Anforderungen an die Datensicherheit

Auch fasst die DSK noch einmal zusammen, welche Funktionen eine App zur Gewährleistung der Datensicherheit aufweisen sollte: Ende-zu-Ende-Verschlüsselung (sodass auch der Betreiber nicht auf die Daten zugreifen kann), automatisierte fristgemäße und datenschutzkonforme Datenlöschung, sichere Wege zur Datenübermittlung von Nutzer/Veranstalter zum Gesundheitsamt (anstatt E-Mail oder Fax), strikte Zweckbindung der Daten (sichergestellt durch entsprechende technische und organisatorische Maßnahmen) sowie unverzügliche Information über das Infektionsrisiko. Aus organisatorischer Sicht müsse die datenschutzrechtliche Verantwortung klar verteilt werden, Betroffenenrechte seien transparent und eindeutig zu regeln und die Freiwilligkeit der digitalen Erhebnung sicherzustellen.

Auch Luca-App habe noch Anpassungsbedarf

In Bezug auf die App Luca seien bereits wesentliche Punkte sichergestellt, jedoch identifiziert die DSK auch hier noch notwendige Anpassungen. So sieht die DSK die derzeit implementierte zentrale Speicherung aller erhobenen Daten kritisch und möchte hier auf eine dezentrale Speicherung hinwirken. Problematisch sei zudem, dass der Schlüssel zur Entschlüsselung der Daten (es gebe nur einen Schlüssel für alle Gesundheitsämter) bei dem Anbieter liege. Hier könne beispielsweise ein Hacker-Angriff alle erhobenen Daten in Gefahr bringen.

DSK: Orientierungshilfe für Betreiber und Appell an Gesetzgeber

Schließlich betont die DSK die Verantwortung der zuständigen Aufsichtsbehörden, die Systemsicherheit zu überprüfen und mit den Anbietern entsprechender Apps im Gespräch zu bleiben. Zur Unterstützung werde die DSK eine Orientierungshilfe für die App-Betreiber erarbeiten und kurzfristig veröffentlichen. Gleichzeitig appelliere die DSK an die Gesetzgeber des Bundes und der Länder, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen. Dabei sei auch zu prüfen, inwieweit mit datensparsameren Verfahren das Ziel der Kontaktnachverfolgung im Rahmen der aktuellen Pandemiebekämpfung erreicht werden kann.