Luca App | Schon wieder desaströse Sicherheitslücke

Quelle: Netzpolitik Markus Reuter

Die Kette von Sicherheitslücken bei der Luca App hört nicht auf. Ein Hacker hat nun gezeigt, wie er als Luca-Nutzer die Daten anderer Nutzer:innen der App stehlen kann.

Schon vor drei Wochen hatte Eva Wolfangel auf Zeit Online auf die Möglichkeit einer Code Injection hingewiesen. Der Vorstand von Nexenio, der Firma hinter der App, hatte eine Sicherheitslücke damals abgestritten. Kurz danach hatten die Entwickler allerdings Änderungen am Code vorgenommen, um eine Code Injection zu vermeiden. Das jedoch ohne Erfolg, wie der aktuelle Hack zeigt.

Lange Kette von Fehlern

Die neuerliche Sicherheitslücke reiht sich ein in eine lange Kette von Fehlern, die das Unternehmen gemacht aber nie zugegeben hat. Auf eine Anfrage von netzpolitik.org zur seit Wochen bekannten Sicherheitslücke antwortete der Luca-App-Sprecher Markus Bublitz: „Haben auch erst heute davon erfahren, wir schauen uns das gerade an.“ Er kündigte für später ein längeres Statement an.

Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), hat genau die Reaktion erwartet und kann es kaum fassen, wie er gegenüber netzpolitik.org sagt: „Wie immer wurde das Risiko herunter gespielt und die Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient.“

„Verträge wegen mangelhafter Leistung abwickeln“

Die Häufung von eklatanten Fehler zeige, dass die Bundesländer hier auf ein in Windeseile zusammen gebasteltes Konzept hereingefallen seien. „Es wird langsam Zeit, die Verträge wegen mangelhafter Leistung abzuwickeln und die Luca App zu beerdigen“, so Neumann weiter. Die ganze Sache sei eine Blamage für jedes einzelne Bundesland, das Verträge mit den Betreibern der Luca App geschlossen habe.

Der CCC hatte schon vor mehr als einem Monat dazu aufgerufen, aufgrund der Mängel, Schwächen und Sicherheitslücken, die Notbremse zu ziehen und das Projekt zu stoppen.

Grundsätzliches Problem von Luca ist die zentrale Architektur der App. Auch das große Versprechen der App, die Arbeit der Gesundheitsämter zu erleichtern ist nicht eingelöst, denn diese nutzen Luca kaum. Die Bundesländer haben bislang Verträge in Höhe von fast 22 Millionen Euro für eine einjährige Lizenz zur Nutzung der Luca App abgeschlossen.