Sicherheitslücken bei der Luca-App

Die Luca-App wurde in den vergangenen Wochen – auch durch das Werben von Ministerpräsident Laschet – in der öffentlichen Debatte regelmäßig als wichtiges Hilfsmittel zur Kontaktnachverfolgung und damit zur Bewältigung der Corona-Pandemie diskutiert. Zugleich nahmen die Sicherheitsbedenken durch IT-Fachleute stetig zu. So veröffentlichte der Chaos Computer Club (CCC) bereits am 13. April eine Stellungnahme, in der er das Ende der Luca-App insbesondere im öffentlichen Bereich forderte.

Wörtlich hieß es beim CCC: „In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt.“¹ Kurz zuvor hatte auch die Berliner Datenschutzbeauftragte „beträchtliche Risiken“ beim Einsatz der Luca-App gesehen².

Ende April warnten mehr als 70 Forscherinnen und Forscher aus dem Feld der IT-Sicherheit, die Risiken beim Einsatz der Luca-App seien „völlig unverhältnismäßig“³.

Am 28. Mai schließlich warnte auch das Bundesamt für Sicherheit in der Informationstechnik vor der Luca-App⁴. Es verwies dabei auf eine Sicherheitslücke, durch die eine sogenannte Code Injection die Übertragung einer Schadsoftware in die Systeme der Gesundheitsämter ermögliche.

Vor diesem Hintergrund frage ich die Landesregierung:

1. Seit wann verfügt die Landesregierung über jeweils welche Sicherheits- und Gefährdungsanalyse hinsichtlich der Luca-App und ihres Einsatzes?
2. Welche Konsequenzen hat die Landesregierung aus der jeweiligen Sicherheits- und Gefährdungsanalyse gezogen?
3. Wie hat die Landesregierung die Landesbehörden, die nachgeordneten Bereiche und die Kommunen über die jeweils aktuelle Sicherheits- und Gefährdungsanalyse hinsichtlich der Luca-App und ihres Einsatzes informiert?
4. Wie hat die Landesregierung die Bürgerinnen und Bürger über die jeweils aktuelle Sicherheits- und Gefährdungsanalyse hinsichtlich der Luca-App und ihres Einsatzes informiert?
5. Sollten aus Sicht der Landesregierung öffentliche Stellen die Luca-App einsetzen, ihre Verwendung empfehlen oder bei Nutzung öffentlicher Infrastrukturen voraussetzen?

1 https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse

2 https://www.tagesspiegel.de/berlin/betraechtliche-risiken-bei-corona-software-berlins-datenschutzbeauftragte-warnt-vor-luca-app/27079224.html

3 https://www.zeit.de/digital/datenschutz/2021-04/luca-app-sicherheitsluecken-datenschutz-kritik-corona

⁴ https://www.zeit.de/2021-05/luca-app-it-sicherheit-bsi-corona-kontaktverfolgung-hackerangriff