Geplante Datenlücke? Mit Luca-App können Gesundheitsämter angegriffen werden

Brandgefährliche Luca App (Bild: shutterstock.com/Von Wirestock Creators)
Brandgefährliche Luca App (Bild: shutterstock.com/Von Wirestock Creators)

Die vom System-Rappers Smudo vermarktete Luca-App sollte helfen, Infektionen zurückzuverfolgen. Nachdem kurz nach Einführung bereits vor den gravierenden Sicherheitslücken der Trackingsoftware gewarnt wurde, hat nun ein Sicherheitsforscher eine weitere kritische Lücke aufgezeigt, mit der Angreifer an Nutzerdaten kommen und das Gesundheitsamt infizieren können. 

Aber vielleicht ist das genau so gewollt, schließlich geht es dem Gesundheitsstaat um Totalkontrolle.

Durch eine Sicherheitslücke in der Luca-App können Angreifer (auch staatliche?) persönliche Daten von Luc-App-Nutzern – unter anderem Namen, Adressen und Besuchszeiten aller Personen, die sich mit Luca in einer Location – zum Beispiel einem Restaurant oder bei einer Veranstaltung – eingecheckt haben – abgreifen oder sogar Trojaner in das Netzwerk von Gesundheitsämtern laden. Das zeigt der Sicherheitsforscher Marcus Mengs im nachfolgenden YouTube-Video:

Auf seiner Website hat Nexenio, das Unternehmen hinter der die hoch angriffsanfällige Luca-App des Tausendsasser Smudo steckt, eine ausführlichere Stellungnahme veröffentlicht. Hier schreibt Nexenio unter anderem, dass das Unternehmen „durch Medienanfragen und per Twitter“ von den „möglichen Missbrauchen im Zusammenhang mit der Verwendung von Luca und Microsoft Excel“ erfahren habe.

Luca-App: CCC forderte bereits vor einem Monat „Bundesnotbremse“

Bereits während dem Mainstream-Jubeltanz rund um die App Anfang April äußerten IT-Experten schwere Bedenken bezüglich der Datensicherheit. Selbst das Team des öffentlich-rechtlichen Möchte-gern-Satirikers Jan Böhmermann war in der Lage, sich aus der Ferne nachts im Osnabrücker Zoo einchecken zu lassen.

Der renommierte Chaos-Computer-Club (CCC) meldete sich zu Wort und fordert eine „Bundesnotbremse“. In einer Presseaussendung von CCC hieß es dazu:

„Mit nur einem Bild eines beliebigen Schlüsselanhängers, der im «Luca App»-System
verwendet wird, lässt sich mit einfachen Programmierkenntnissen unbemerkt das
Bewegungsprofil der Nutzer:in des Anhängers auslesen. In einem technischen Machbarkeitsnachweis weist eine Gruppe verschiedener IT- und Netzexpert:innen aus der Community unter Nutzung frei zugänglicher Schnittstellen eine strukturelle Sicherheitslücke des Luca-Systems nach.

Das Unternehmen und die zuständige Berliner Beauftragte für Datenschutz und
Informationsfreiheit wurden am 13. April 2021 darüber in Kenntnis gesetzt.
Die Konsequenzen der Sicherheitslücke sind gravierend. Dementsprechend fordert die
Gruppe die Verantwortlichen dazu auf, über 100.000 bereits im Umlauf befindliche
Luca-Schlüsselanhänger sofort aus dem Verkehr zu ziehen, um die Ausnutzung dieser
Sicherheitslücke zu verhindern.“

Des Weiteren wurde die als „zwielichtig“ bezeichnete Vergabepraxis kritisiert, die bestenfalls von der Strahlkraft des Rappers Smudo zeugte, der bisher nicht als Programmierer oder Datenschützer aufgefallen war: Dem Investor der culture4life GmbH, die die Luca-App in Windeseile aus dem Boden gestampft hat, ist es binnen Monaten gelungen, Millionen für ein unreifes und untaugliches Produkt einzuwerben. Dabei vergisst Investor Smudo gern zu erwähnen, dass er mit über 22% am Unternehmen beteiligt ist, also nicht ohne beträchtlichen Eigennutz für die Luca-App wirbt.

„Die Luca-App ist nicht der einzige Fall, bei dem COVID-Glücksritter weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen”, sagte Linus Neumann. „Die Maskenaffäre wurde gerade erst erfolgreich unter den Teppich gekehrt. Um einem weiteren Vertrauensverlust in die Politik Einhalt zu gebieten, muss nun lückenlos aufgeklärt werden, wie es zu der zweifelhaften Vergabe kam”, so Neumann weiter.

CCC fordert den sofortigen Stopp und lückenlose Aufklärung.

Der „sofortige Stopp“ wie auch eine lückenlose Aufklärung blieben bislang aus und es ist nicht davon auszugehen, dass die stümperhaft zusammengestöpselte Trackingsoftware des Systemrappers Smudo dort landet, wo sie hingehört: Auf dem Corona-Müllhaufen.

Denn: Die „Luca-App-Macher“ verkündeten am Mittwoch: Es sei „unwahrscheinlich, dass Schaden durch einen derartigen Angriff entstanden ist, wenn Mitarbeiter:innen nicht aktiv die Sicherheitswarnungen des Systems missachtet haben. Uns ist kein dementsprechender Sicherheitsvorfall im Zusammenhang mit dem luca-System bekannt. Durch weitere Maßnahmen, die heute im luca-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch in Zusammenhang mit Makros in Excel verhindert.“ Na dann ist ja alles gut! (SB)