Luca-App mit Datenschutzproblem

Durch eine Sicherheitslücke in der Luca-App können sich Benutzer ohne Verifizierung der Telefonnummer registrieren – fremde und frei erfundene Nummern sind möglich

10. März 2021, von
Claus Ruhe Madsen, Smudo oder doch Mickey Mouse? Eine Sicherheitslücke in der Luca-App erlaubt die Registrierung ungeprüfter Telefonnummern
Claus Ruhe Madsen, Smudo oder doch Mickey Mouse? Eine Sicherheitslücke in der Luca-App erlaubt die Registrierung ungeprüfter Telefonnummern

„Die da?“ Oder doch eine andere App? Ob in der Talkshow von Anne Will, in Radio- oder Zeitungsinterviews – als prominentes Aushängeschild wirbt Smudo seit einiger Zeit offensiv für eine neue, Luca genannte, App. Trotz Corona-Pandemie soll sie Öffnungen in Handel, Gastronomie und Veranstaltungen erlauben. Über ihre Fantastic Capital Beteiligungsgesellschaft UG sind die Rapper der Fantastischen Vier an dem Projekt beteiligt.

Luca-App dient der digitalen Kontaktnachverfolgung

Überall dort, wo in Corona-Zeiten Kontaktformulare ausgefüllt werden müssen, soll Luca zum Einsatz kommen. Benutzer registrieren sich einmal in der App, ihre persönlichen Daten werden lt. Entwicklern auf gesicherten Servern verschlüsselt gespeichert. Im Einzelhandel, Restaurant oder auf einer Veranstaltung können Nutzer der App über einen QR-Code auf ihrem Handy einchecken. Weder andere Gäste noch der Veranstalter können die persönlichen Daten sehen.

Die Kontaktnachverfolgung ist im Fall der Fälle trotzdem gesichert. Kommt es zu einer Infektion, kann der Betroffene seine Historie (wann war er wo) mit dem Gesundheitsamt teilen. Dieses fordert von den Veranstaltern die Listen der Personen an, die im relevanten Zeitraum ebenfalls vor Ort waren und kann diese entschlüsseln. So soll eine schnelle und effiziente Kontaktverfolgung möglich sein.

Mickey Mouse oder Darth Vader? Nur mit echter Telefonnummer!

„Mit der App auf dem Smartphone sind wir alle Gesundheitsamt“, wirbt auch der Rostocker Oberbürgermeister Claus Ruhe Madsen leidenschaftlich für die digitale Kontaktnachverfolgung mit der Luca-App. So ganz traut er seinen Schäfchen aber wohl nicht über den Weg. In Talkshows und Sitzungen hat er mehrfach betont, dass man sich zwar auch in der App mit falschen Daten anmelden kann, das Gesundheitsamt jedoch immer die korrekte Telefonnummer bekomme.

Bei den Papierformularen sollen Phantasiedaten zu Problemen bei der Kontaktnachverfolgung geführt haben. Wie oft dies in Rostock bislang tatsächlich der Fall war, konnte die Verwaltung trotz Nachfrage bisher nicht konkret beziffern.

Die App soll dieses Problem lösen, versprechen die Entwickler vollmundig auf ihrer Website: „Luca stellt sicher, dass Gäste niemals durch Falschangaben untertauchen können, da die Telefonnummer verifiziert wird.“

Das Problem mit der Luca-App

Doch genau diese Verifizierung ist es, die mit ein paar Programmierkenntnissen leicht umgangen werden kann. Neben einer Android- und iOS-Version gibt es Luca auch als WebApp, die direkt im Browser läuft. Über die Entwicklertools kann man sich den Javascript-Programmcode einfach anschauen und anpassen.

Um niemanden zum Nachahmen zu verleiten, sparen wir uns die Details an dieser Stelle. Nur so viel: Nachdem der Verifizierungsprozess mittels SMS und TAN abgeschlossen ist, werden die eigentlichen persönlichen Daten verschlüsselt, jedoch ohne weitere Absicherung übertragen. Ob die Telefonnummer in den persönlichen Daten mit der aus der Verifizierung übereinstimmt, wird nicht überprüft.

Schlimmer noch: Man kann auf die Verifizierung sogar komplett verzichten und den entsprechenden Code einfach auskommentieren. Dann wird weder eine SMS verschickt noch eine TAN benötigt und es kann eine beliebige Telefonnummer angegeben werden.

Eine Kontaktnachverfolgung ist mit solch einer erfundenen Telefonnummer nicht mehr möglich.

Reaktion der Entwickler: Der Client wird’s schon richten

Mit dem Problem konfrontiert, erklärt Philipp Berger, CTO des verantwortlichen Softwareunternehmens neXenio, die Telefonnummernverifizierung „wird durch die Clients sichergestellt“. In einer idealen Welt mag das durchaus funktionieren, Sicherheitslücken wären dort kein Problem. Die reale Welt jedoch ist anders, ein wenig zumindest.

Das eigentliche Problem liegt auf der Serverseite. Es gibt eine Funktion, die ungeprüft persönliche Daten entgegennimmt. Diese kann man mit einem manipulierten Client oder auch ganz ohne App direkt aufrufen. Der Server vertraut darauf, korrekte Daten vom Client zu bekommen.

„Die Telefonnummernverifizierung ist nicht hart verdrahtet mit der Registrierung selbst, um die Verbindung zur Telefonnummer und somit zu deiner Identität zu verschleiern“, erläutert Berger den Ansatz der Entwickler, der jedoch zu den beschriebenen Problemen führt.

Wir alle sind Claus Ruhe Madsen

Die Sicherheitslücke sorgt für ein weiteres Problem. Man kann nicht nur erfundene Daten eingeben, sondern sich auch mit den echten Angaben einer realen Person registrieren, einschließlich ihrer Telefonnummer – vorausgesetzt, man kennt sie. Bei einem Infektionsfall kann so eine völlig unbeteiligte Person ins Visier des Gesundheitsamts geraten und ggfs. in Quarantäne geschickt werden. Einen derartigen Identitätsdiebstahl aufzuklären, dürfte nicht ganz einfach werden.

Da der SMS-Versand deaktiviert wurde, bekommt diese Person davon nichts mit. Für ein und dieselbe Telefonnummer sind sogar beliebig viele Registrierungen möglich. Die Daten sind komplett verschlüsselt, Luca hat keine Chance, das zu erkennen.

Wir registrieren uns jetzt selbstverständlich nicht alle mit den Daten unseres Stadtoberhaupts – wir sind ja verantwortungsbewusst. Dass sich möglicherweise andere Personen bei Luca für euch ausgegeben haben, solltet ihr jedoch im Hinterkopf behalten, falls sich das Gesundheitsamt irgendwann meldet und ihr gewisse Zweifel hegt.

Datenschützer überprüfen Luca-App

Die Überprüfung der Luca-App läuft aktuell noch, erklärt Heinz Müller, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern. Der Untersuchung wolle er nicht vorgreifen, doch es sei „sehr zeitnah“ mit Ergebnissen zu rechnen.

Das Land hat gerade 440.000 Euro für Lizenz und Betrieb der Luca-App für ein Jahr in Mecklenburg-Vorpommern ausgegeben.

Höchste Ansprüche an die Sicherheit oder alles kein Problem?

Ist es tragisch, wenn ein paar Leute die Luca-App mit einer nicht existierenden Telefonnummer verwenden? Das Gesundheitsamt kann sie nicht erreichen, das war mit Kontaktdaten auf Papier auch schon der Fall. Versprochen wurde es allerdings anders.

Wandert jemand mit fremden Daten durchs Luca-App-Land, stört das schon eher. Dass dies überhaupt möglich ist, hinterlässt einen faden Beigeschmack. Eine Anwendung, die Bewegungs- und Gesundheitsdaten von Millionen Menschen verwalten möchte, sollte in jeder Hinsicht besonders sicher sein.

Dass die kryptographischen Verfahren sauber implementiert wurden, die Schlüssel an sicheren Stellen generiert und gespeichert werden und es zumindest bald eine saubere Public Key Infrastructure (PKI) geben soll, können wir nur glauben. Überprüfen lässt es sich nicht. Bislang ist Luca ein Closed-Source-Projekt.

Verwaltung ist weiter von Luca überzeugt

Und was sagt die Verwaltung in Rostock dazu? „Natürlich kann man auch bei Nutzung der Luca-App Mittel und Wege finden, den eigentlichen Zweck der App zu umgehen“, erklärt Pressesprecher Ulrich Kunze. „Wir gehen jedoch fest davon aus, dass der übergroße Teil der Menschen, die Luca verwenden, das nicht vorhat.“

Über 800 Einrichtungen und Orte in und um Rostock wurden in der Luca-App schon nach wenigen Tagen eingerichtet, freut sich Oberbürgermeister Claus Ruhe Madsen. „Damit sind wir Vorreiter-Stadt in Deutschland für Menschen und Unternehmen, die smarte Lösungen für ihren Alltag brauchen.“

Schlagwörter: Coronavirus (134)Datenschutz (12)Digitalisierung (5)Luca-App (2)

Das könnte dich auch interessieren:

13 Kommentare

  • Jens B. sagt:

    Die hier beschriebenen Makel der App finde ich ziemlich problematisch und bin überrascht, dass die Verwaltung in Rostock das so lapidar kommentiert; möglicherweise ist man dort einfach nicht amused, dass sie bereits Kohle für die Lizenz eines Produktes hingelegt haben, bei dem sich jetzt hinterher so einige Haare in der Suppe zeigen. Und wer gibt schon selbst gerne zu, dass augenscheinlich die Technik dieses Produkts entweder nicht ausreichend (und kompetent) abgecheckt wurde.

    In meinen Augen sollten die Entwickler bei den beschriebenen Problemen zügig nacharbeiten; denn im Kern ist die App wirklich ein spannender Ansatz.

  • Ck sagt:

    Ich möchte von einem Amt eine möglichst reale Information bei einem Risiko bekommen, trage mich deshalb korrekt in nötige Listen ein, muss dieses nicht mit Ausweis beglaubigen und brauche mir jetzt mit Luca, für das alles, auch keinen Stempel mehr anschaffen.
    Mehr darf man von einer App in diesem Bereich nicht erwarten.
    Ein Donald Duck hat und wird es immer erreichen in Entenhausen zu wohnen.

  • Joci sagt:

    Ich will von einem Amt, eine korrekte Information, bei einem tatsächlichen Risiko. Deshalb trage ich mich selbst und natürlich genervt, aber mit meinen wirklichen Daten, in viele, viele, nötige Listen ein.

    Von einer App in diesem Bereich wird erwartet, alles für konkrete Kontaktaufnahme zusammenzustellen. Alle persönlichen Info’s möchte niemand mit Ausweis beglaubigen müssen.
    Jede Form von Datenpreisgabe ist heikel, aber mit Luca brauche ich mir keinen Datenstempel mehr anschaffen.

    Ein Donald Duck wird immer, mit oder ohne Verifizierung, weil er genau das auch will, in Entenhausen wohnen.

  • Noni sagt:

    Verschiedene Social Media Plattformen sind auch nicht sicher – werden aber bedenkenlos genutzt.
    Meine Meinung: Besser als gar nichts! Besser, als noch Monate voller Diskussionen und Prüfungen abwarten. Wer beschummeln will, findet immer einen Weg.
    Die „offizielle“ Corona App kann ich eh nicht nutzen, da ich mobile Daten, Standortbestimmungen und was es sonst so alles auf dem Handy gibt grundsätzlich ausgeschaltet habe und nur bei Bedarf einschalte.
    Ich bin schon ein Angsthase beim Thema Datenklau, fühle mich aber bei der App ausreichend sicher.
    Bei einem Restaurantbesuch im vergangenen Jahr hat mich übrigens ein anderer Gast angesprochen: Ach, Sie sind auch aus B… ? Er hat meinen Adresse auf dem „Registrierungszettel“ gelesen …

  • Haddy sagt:

    Ja Noni
    Dan werden sie jetzt nicht mehr nach dem Wohnort gefragt werden, sondern, ach sie gehen auch dort und dort einkaufen und dort gerne essen und das am liebsten Donnerstags.
    Diese App ist fast wie ein Chip, Überwachung Schrittweise.
    Und nur Gut weil ein Promi, Rapper da mitmacht. Rapper, da stöst mir auch noch was auf.
    Die offizielle Corona App haben viele abgelehnt. Und in so eine private App geben jetzt alle ihre Daten Preis?
    Das Geld hätten sie lieber den Hausärzten geben sollen und endlich impfen.

  • Helmut Jürchott sagt:

    Um dem Datenschutz gerecht zu werden, nehmen wir lieber Tote, Schwerkranke und weitere Lockdowns in Kauf.
    Wir leben mit einer Pandemie, da sollten (müssen!) private Probleme hinten anstehen.
    Freundlichst aus Rostock

  • Haddy sagt:

    Na Herr Jürchott
    gibt es da nicht ein Sprichwort: Privat kommt vor Katastropfe
    Obwohl ich ihnen Grundlegend zu stimme.
    Aber die Coronaapp ablehnen. und so eine privaten zusammen geklickten Mist vertrauen.
    Eine App schützt nicht vor einer Ansteckung. Da könne wir noch etliche ausprobieren.
    Und Lockdown

    Der gilt aber nur für den Kleinen, die Großen kaufen sich frei, siehe Profisport. Obwohl Sport stimmt ja auch nicht, Profifußball und Formel 1 haben mit Sport ja nichts gemein. Die sind ja selbst in der Pandemie unfair. Die richtigen Sportler sitzen ja zu Hause.

  • überlegt sagt:

    Lassen wir mal kurz das Problem beiseite, dass man recht einfach selbst einen Fantasienamen eintragen kann oder eben die Variante mit der falschen Nummer…

    Was aber doch klar wird, wenn man das PR blabla mal beiseite nimmt, Luca macht die Nachverfolgung freiwillig, denn der Gastgeber kann ja nichts mehr prüfen, also keine Haftung. Das ist ja okay, aber dann sollen sie es auch so sagen! Nur… dann interessiert es die Gastgeber auch nicht mehr, wenn ich rufe, ich habe Luca… damit wird es keine Nachverfolgung mehr geben. Und dafür gibt man Geld aus???

  • Bremer sagt:

    Noni schrieb:
    „Die „offizielle“ Corona App kann ich eh nicht nutzen, da ich mobile Daten, Standortbestimmungen und was es sonst so alles auf dem Handy gibt grundsätzlich ausgeschaltet habe und nur bei Bedarf einschalte.“

    das geht: Die App braucht keine mobilen Daten, sondern nur ab und zu mal ein Update, das geht auch im heimischen WLAN.
    Was die Standortbestimmung angeht: Damit habe ich auch ein Problem! Auch wenn ich glaube, dass die CWA die wirklich nur fuer die Bluetooth Funktionen braucht (warum eigentlich?!), ist das fuer mich wie ein Freund, der sagt: „Klar kann ich Deine Blumen giessen, aber Du musst die Tuer offen lassen“…
    Meine Loesung: Ein GPS Faker! Damit ist die App zufrieden, ihre Funktionalitaet nicht eingeschraenkt und ich gebe meinen wirklichen Standort nicht preis.

  • Nachdenken sagt:

    Es geht hier um ein Grundverständnis zu Gesundheit und Leben. Vor lauter Panik und regierungsgesteuerter Angst verkennen wir ein Grundproblem. Wenn es heute für Corona nötig ist seine Daten im öffentlichen Raum anzugeben , ist es morgen für Haemophilus und dann für Influenza im Winter und für Adenovirus im Sommer etc. Es wurde noch nie eine Maßnahme zb der Terrorismusbekämpfung zurückgenommen, am Flughafen wird weiter gescannt. Nur echte Gefahren werden kaum damit angewendet. Es ist zu bedenken wollen wir weiterhin in die Totalüberwachung schlittern oder frei selbstbestimmte Entscheidungen für Aufenthalt, Impfen, Schutzdedarf , Kontaktbedürfniss, Bildung und so weiter treffen. Sie denken zu kurz. Es wird nichts wieder abgeschafft, da können sie sicher sein. Beschäftigen Sie sich mit den schon Jahre bekannten Bestrebungen der Regierung zur Überwachung. Unser Gesetz hat das bisher verhindert, aktuell ist es außer Kraft und wir in Angst. Ich wünsche so ein Leben für mich und meine Familie nicht und bitte alle inständig darüber nachzudenken. Am Tod lässt sich leider nichts ändern, nur das Leben davor zählt. Danke für Ihre Aufmerksamkeit

  • Hans-Joachim Reiß sagt:

    Ihr kleinmütigen Zweifler,
    wir leben in einer tödlichen Pandemie! Ich bin 64 Jahre alt und – wenn ich mir das Virus einfange- habe ich gute Chancen auf einen schweren Krankheitsverlauf.
    Was nützt mit ein übertriebener Datenschutz, wenn ich an dem Virus versterbe?
    Wo kann es eine Totalüberwachung geben, wenn ich die Luca-App nach der Pandemie einfach wieder lösche?
    Zur Erinnerung oder falls es einige noch nicht mitbekommen haben: Wir leben glücklicherweise in einer funktionierenden Demokratie und einem Rechtsstaat!
    Diejenigen, die von etwas anderem faseln (Diktatur, Merkel-Diktatur etc.) sollen einfach die Klappe halten.
    Und denjenigen, die ihre Freiheitsrechte eingeschränkt sehen, sei gesagt, daß mit der Corona-App bzw. der Luca-App – ungeachtet der erwartbaren anfänglichen Kinderkrankheiten – versucht werden soll, wesentliche Freiheitsrechte zurückzugeben.
    Mit den besten Grüßen aus dem Rheinland
    Hans-Joachim Reiß

  • Reinhard sagt:

    @Hans-Joachim Reiß

    Der Weg aus der Pandemie ist die Impfung. Vielleicht auch noch die Impfung oder die Impfung, aber ganz sicher keine App!

    Einen schweren Krankheitsverlauf bekommen wir (ich bin auch ü60) mit oder ohne App. Dass diese irgendwelche Infektionsketten schnell genug durchbrechen kann, ist bislang eine reine Behauptung.

    Jetzt, wo die Impfung in den nächsten Wochen für die meisten greifbar wird, muss ich nicht – wie gerade in Rostock – ins Stadion oder auf Teufel komm raus shoppen.

    Das Risiko, dass sich eine neue Mutation bildet oder verbreitet, gegen die Impfstoffe nicht wirken, ist viel zu gfroß. Dann geht alles wieder von vorne los, auch in den Pflegeheimen!

    Auf Mallorca wurde die brasilianische Mutation gerade nachgewiesen, aber man muss natürlich über Ostern dort hinfliegen und vielleicht gar noch ohne Test zurückkommen dürfen.

    Und zur Luca-App: Es besteht die Sorge, dass sie für bestimmte Veranstaltungen verpflichtend wird und man das nach der Pandemie (wann genau ist das?) vorsichtshalber beibehält.

    Aber hier wird ja erstmal eine Sicherheitslücke beschrieben. Ob Du Luca löscht oder nie benutzt hast – jeder, der deine Daten kennt, kann sich in Luca als du ausgeben!

  • Linke, Christian sagt:

    Also Identitätsdiebstahl ist Mi dieser App möglich? Dann gehe ich nicht in Geschäfte, die diese App vorschreiben. Abstimmung mit denFüßennennt man das.

Hinterlasse einen öffentlichen Kommentar

Hiermit stimme ich der Veröffentlichung meines Kommentars sowie der Speicherung und Verarbeitung meiner Daten incl. meiner IP-Adresse gemäß der Datenschutzerklärung zu.