Die Luca-App wurde in den vergangenen Wochen – auch durch das Werben von Ministerpräsident Laschet – in der öffentlichen Debatte regelmäßig als wichtiges Hilfsmittel zur Kontaktnachverfolgung und damit zur Bewältigung der Corona-Pandemie diskutiert. Zugleich nahmen die Sicherheitsbedenken durch IT-Fachleute stetig zu. So veröffentlichte der Chaos Computer Club (CCC) bereits am 13. April eine Stellungnahme, in der er das Ende der Luca-App insbesondere im öffentlichen Bereich forderte.
Wörtlich hieß es beim CCC: „In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt.“1 Kurz zuvor hatte auch die Berliner Datenschutzbeauftragte „beträchtliche Risiken“ beim Einsatz der Luca-App gesehen2.
Ende April warnten mehr als 70 Forscherinnen und Forscher aus dem Feld der IT-Sicherheit, die Risiken beim Einsatz der Luca-App seien „völlig unverhältnismäßig“3.
Am 28. Mai schließlich warnte auch das Bundesamt für Sicherheit in der Informationstechnik vor der Luca-App4. Es verwies dabei auf eine Sicherheitslücke, durch die eine sogenannte Code Injection die Übertragung einer Schadsoftware in die Systeme der Gesundheitsämter ermögliche.
Vor diesem Hintergrund frage ich die Landesregierung:
- In welchen Landesbehörden und ihren nachgeordneten Bereichen kommt die Luca-App zum Einsatz?
- In welchen Kommunen wird die Luca-App nach Kenntnis der Landesregierung eingesetzt?
- Seit wann erfolgt der unter Frage 1 und 2 abgefragte Einsatz jeweils?
- Haben Landesbehörden oder Kommunen nach Kenntnis der Landesregierung für den Einsatz der Luca-App geworben?
- Welche Fälle sind der Landesregierung bekannt, in denen öffentliche Einrichtungen ausschließlich unter Benutzung der Luca-App zugänglich sind oder waren?
1 https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse
4 https://www.zeit.de/2021-05/luca-app-it-sicherheit-bsi-corona-kontaktverfolgung-hackerangriff