Chaos Computer Club fordert: «Keine Steuermittel mehr für Luca-App»

Berlin (dpa) - Die europäische Hackervereinigung Chaos Computer Club
(CCC) hat gefordert, keine Steuermittel mehr für die Luca-App zur
Corona-Kontaktnachverfolgung auszugeben. Club-Sprecher Linus Neumann
verwies am Mittwoch auf eine «nicht abreißende Serie von
Sicherheitsproblemen» bei dem Luca-System.

Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den
Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone
gedacht sind. «Wer den QR-Code (eines Schlüsselanhängers) scannt,
kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch
einsehen, wo Sie bisher so waren», kritisierte Neumann. Er verwies
dabei auf Recherchen, die im Netz unter dem Titel «Lucatrack»
veröffentlicht wurden. «Die Schwachstelle ist offensichtlich und
unnötig. Sie zeugt von einem fundamentalen Unverständnis
grundlegender Prinzipien der IT-Sicherheit.»

Der Entwickler der App, das Berliner Start-up neXenio, räumte ein,
«dass Dritte, die unbefugt im Besitz des QR-Codes auf dem
Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen
konnten». «Wir haben diese Möglichkeit sofort nach der erfolgten
Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten
zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder
Telefonnummer abgerufen werden.»

Die Macher der Luca-App empfahlen, den persönlichen Schlüsselanhänger

mit QR-Code nur zum Check-in in dafür vorgesehenen Betrieben zu
verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers
im Internet zu veröffentlichen, um einen «böswilligen Missbrauch zu
vermeiden».

Die Luca-App, für die unter anderem Hip-Hop-Sänger Smudo von den
«Fantastischen Vier» geworben hatte, wird in Mecklenburg-Vorpommern,
Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz,
Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern,
Sachsen-Anhalt und Hamburg aus Steuermittel finanziert. Die
eingesetzten Mittel summieren sich nach Recherchen des Portals
Netzpolitik.org auf insgesamt 20 Millionen Euro. Dieses Geld wird für
die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den
SMS-Service zur Validierung der Telefonnummern der Anwender
verwendet.

Der Chaos Computer Club forderte ein «umgehendes Moratorium» beim
Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern
müssten durch den Bundesrechnungshof überprüft werden. Niemand dürf
e
gezwungen werden, die App zu verwenden, um am öffentlichen Leben
teilzunehmen. «Für den Umgang mit hochsensiblen Gesundheits- und
Bewegungsdaten verbietet sich der ländersubventionierte Roll-Out
ungeprüfter Software von selbst.»