Luca-App mit Datenschutzproblem

Durch eine Sicherheitslücke in der Luca-App können sich Benutzer ohne Verifizierung der Telefonnummer registrieren – fremde und frei erfundene Nummern sind möglich

10. März 2021, von
Claus Ruhe Madsen, Smudo oder doch Mickey Mouse? Eine Sicherheitslücke in der Luca-App erlaubt die Registrierung ungeprüfter Telefonnummern
Claus Ruhe Madsen, Smudo oder doch Mickey Mouse? Eine Sicherheitslücke in der Luca-App erlaubt die Registrierung ungeprüfter Telefonnummern

„Die da?“ Oder doch eine andere App? Ob in der Talkshow von Anne Will, in Radio- oder Zeitungsinterviews – als prominentes Aushängeschild wirbt Smudo seit einiger Zeit offensiv für eine neue, Luca genannte, App. Trotz Corona-Pandemie soll sie Öffnungen in Handel, Gastronomie und Veranstaltungen erlauben. Über ihre Fantastic Capital Beteiligungsgesellschaft UG sind die Rapper der Fantastischen Vier an dem Projekt beteiligt.

Luca-App dient der digitalen Kontaktnachverfolgung

Überall dort, wo in Corona-Zeiten Kontaktformulare ausgefüllt werden müssen, soll Luca zum Einsatz kommen. Benutzer registrieren sich einmal in der App, ihre persönlichen Daten werden lt. Entwicklern auf gesicherten Servern verschlüsselt gespeichert. Im Einzelhandel, Restaurant oder auf einer Veranstaltung können Nutzer der App über einen QR-Code auf ihrem Handy einchecken. Weder andere Gäste noch der Veranstalter können die persönlichen Daten sehen.

Die Kontaktnachverfolgung ist im Fall der Fälle trotzdem gesichert. Kommt es zu einer Infektion, kann der Betroffene seine Historie (wann war er wo) mit dem Gesundheitsamt teilen. Dieses fordert von den Veranstaltern die Listen der Personen an, die im relevanten Zeitraum ebenfalls vor Ort waren und kann diese entschlüsseln. So soll eine schnelle und effiziente Kontaktverfolgung möglich sein.

Mickey Mouse oder Darth Vader? Nur mit echter Telefonnummer!

„Mit der App auf dem Smartphone sind wir alle Gesundheitsamt“, wirbt auch der Rostocker Oberbürgermeister Claus Ruhe Madsen leidenschaftlich für die digitale Kontaktnachverfolgung mit der Luca-App. So ganz traut er seinen Schäfchen aber wohl nicht über den Weg. In Talkshows und Sitzungen hat er mehrfach betont, dass man sich zwar auch in der App mit falschen Daten anmelden kann, das Gesundheitsamt jedoch immer die korrekte Telefonnummer bekomme.

Bei den Papierformularen sollen Phantasiedaten zu Problemen bei der Kontaktnachverfolgung geführt haben. Wie oft dies in Rostock bislang tatsächlich der Fall war, konnte die Verwaltung trotz Nachfrage bisher nicht konkret beziffern.

Die App soll dieses Problem lösen, versprechen die Entwickler vollmundig auf ihrer Website: „Luca stellt sicher, dass Gäste niemals durch Falschangaben untertauchen können, da die Telefonnummer verifiziert wird.“

Das Problem mit der Luca-App

Doch genau diese Verifizierung ist es, die mit ein paar Programmierkenntnissen leicht umgangen werden kann. Neben einer Android- und iOS-Version gibt es Luca auch als WebApp, die direkt im Browser läuft. Über die Entwicklertools kann man sich den Javascript-Programmcode einfach anschauen und anpassen.

Um niemanden zum Nachahmen zu verleiten, sparen wir uns die Details an dieser Stelle. Nur so viel: Nachdem der Verifizierungsprozess mittels SMS und TAN abgeschlossen ist, werden die eigentlichen persönlichen Daten verschlüsselt, jedoch ohne weitere Absicherung übertragen. Ob die Telefonnummer in den persönlichen Daten mit der aus der Verifizierung übereinstimmt, wird nicht überprüft.

Schlimmer noch: Man kann auf die Verifizierung sogar komplett verzichten und den entsprechenden Code einfach auskommentieren. Dann wird weder eine SMS verschickt noch eine TAN benötigt und es kann eine beliebige Telefonnummer angegeben werden.

Eine Kontaktnachverfolgung ist mit solch einer erfundenen Telefonnummer nicht mehr möglich.

Reaktion der Entwickler: Der Client wird’s schon richten

Mit dem Problem konfrontiert, erklärt Philipp Berger, CTO des verantwortlichen Softwareunternehmens neXenio, die Telefonnummernverifizierung „wird durch die Clients sichergestellt“. In einer idealen Welt mag das durchaus funktionieren, Sicherheitslücken wären dort kein Problem. Die reale Welt jedoch ist anders, ein wenig zumindest.

Das eigentliche Problem liegt auf der Serverseite. Es gibt eine Funktion, die ungeprüft persönliche Daten entgegennimmt. Diese kann man mit einem manipulierten Client oder auch ganz ohne App direkt aufrufen. Der Server vertraut darauf, korrekte Daten vom Client zu bekommen.

„Die Telefonnummernverifizierung ist nicht hart verdrahtet mit der Registrierung selbst, um die Verbindung zur Telefonnummer und somit zu deiner Identität zu verschleiern“, erläutert Berger den Ansatz der Entwickler, der jedoch zu den beschriebenen Problemen führt.

Wir alle sind Claus Ruhe Madsen

Die Sicherheitslücke sorgt für ein weiteres Problem. Man kann nicht nur erfundene Daten eingeben, sondern sich auch mit den echten Angaben einer realen Person registrieren, einschließlich ihrer Telefonnummer – vorausgesetzt, man kennt sie. Bei einem Infektionsfall kann so eine völlig unbeteiligte Person ins Visier des Gesundheitsamts geraten und ggfs. in Quarantäne geschickt werden. Einen derartigen Identitätsdiebstahl aufzuklären, dürfte nicht ganz einfach werden.

Da der SMS-Versand deaktiviert wurde, bekommt diese Person davon nichts mit. Für ein und dieselbe Telefonnummer sind sogar beliebig viele Registrierungen möglich. Die Daten sind komplett verschlüsselt, Luca hat keine Chance, das zu erkennen.

Wir registrieren uns jetzt selbstverständlich nicht alle mit den Daten unseres Stadtoberhaupts – wir sind ja verantwortungsbewusst. Dass sich möglicherweise andere Personen bei Luca für euch ausgegeben haben, solltet ihr jedoch im Hinterkopf behalten, falls sich das Gesundheitsamt irgendwann meldet und ihr gewisse Zweifel hegt.

Datenschützer überprüfen Luca-App

Die Überprüfung der Luca-App läuft aktuell noch, erklärt Heinz Müller, Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern. Der Untersuchung wolle er nicht vorgreifen, doch es sei „sehr zeitnah“ mit Ergebnissen zu rechnen.

Das Land hat gerade 440.000 Euro für Lizenz und Betrieb der Luca-App für ein Jahr in Mecklenburg-Vorpommern ausgegeben.

Höchste Ansprüche an die Sicherheit oder alles kein Problem?

Ist es tragisch, wenn ein paar Leute die Luca-App mit einer nicht existierenden Telefonnummer verwenden? Das Gesundheitsamt kann sie nicht erreichen, das war mit Kontaktdaten auf Papier auch schon der Fall. Versprochen wurde es allerdings anders.

Wandert jemand mit fremden Daten durchs Luca-App-Land, stört das schon eher. Dass dies überhaupt möglich ist, hinterlässt einen faden Beigeschmack. Eine Anwendung, die Bewegungs- und Gesundheitsdaten von Millionen Menschen verwalten möchte, sollte in jeder Hinsicht besonders sicher sein.

Dass die kryptographischen Verfahren sauber implementiert wurden, die Schlüssel an sicheren Stellen generiert und gespeichert werden und es zumindest bald eine saubere Public Key Infrastructure (PKI) geben soll, können wir nur glauben. Überprüfen lässt es sich nicht. Bislang ist Luca ein Closed-Source-Projekt.

Verwaltung ist weiter von Luca überzeugt

Und was sagt die Verwaltung in Rostock dazu? „Natürlich kann man auch bei Nutzung der Luca-App Mittel und Wege finden, den eigentlichen Zweck der App zu umgehen“, erklärt Pressesprecher Ulrich Kunze. „Wir gehen jedoch fest davon aus, dass der übergroße Teil der Menschen, die Luca verwenden, das nicht vorhat.“

Über 800 Einrichtungen und Orte in und um Rostock wurden in der Luca-App schon nach wenigen Tagen eingerichtet, freut sich Oberbürgermeister Claus Ruhe Madsen. „Damit sind wir Vorreiter-Stadt in Deutschland für Menschen und Unternehmen, die smarte Lösungen für ihren Alltag brauchen.“

Schlagwörter: Coronavirus (200)Datenschutz (14)Digitalisierung (7)Luca-App (4)