26. Juni 2021

Berichtsantrag: „Luca“-App

Ergänzung des Berichtsantrags am 26. Juni 2021

Die „Luca“-App verspricht ein „sicheres“, digitales System, um die handschriftlichen Kontaktlisten in Geschäften oder Gastronomie abzulösen. Insbesondere vor dem Hintergrund der stufenweisen Öffnungen gewinnt die App damit an Relevanz. Die „Luca“-Betreiberfirma Nexenio setzt auf ein zentrales System: Mittels eingescannter QR-Kennungen, die mit einem Zeitstempel und Identifikationsschlüssel an einen Server übermittelt werden, können die gesammelten Check-in-Daten von Gesundheitsämtern – im Falle einer Infektion – über eine Schnittstelle abgerufen werden. Leider ist das System mit eklatanten Mängeln behaftet.

Berichtsantrag

  • Wie beurteilt der Kreisausschuss die Sicherheit und die Umsetzung von Anforderungen des Datenschutzes der Luca-App, nachdem die Ergebnisse der Prüfungen durch den Chaos Computer Club bekannt geworden sind?
  • Führt der Einsatz der Luca-App zu einer nachvollziehbaren Effizienzsteigerung in der Kontaktnachverfolgung durch das Gesundheitsamt des Rheingau-Taunus-Kreises? Wenn ja, wie sieht diese aus?
  • Wie viele Übermittlungen von Check-in-Daten über die „Luca“-Schnittstelle ans Gesundheitsamt wurden bislang verzeichnet? Waren die übermittelten Daten für die Kontaktnachverfolgung in den genannten Fällen von Nutzen? Ist eine verpflichtende Einführung der „Luca“-App für Kreisliegenschaften geplant?
  • Wurden andere Check-in-Apps gleichermaßen begutachtet und als Lösung erwogen? Wenn nein, wieso nicht?
  • Wie beurteilt der Kreisausschuss den Nutzen der offiziellen Corona-Warn-App des Bundes und beabsichtigt der Kreisausschuss, die Corona-Warn-App gleichrangig einzusetzen und zu bewerben?
  • Hat der Landkreis für die Verwendung oder auch Bewerbung der „Luca“-App finanzielle Mittel aufgewendet? Wenn ja, in welcher Höhe?
  • Gab es eine Korrespondenz zwischen der Kreisverwaltung und der „Luca“-Betreiberfirma Nexenio und wurden Werbematerialen von den „Luca“-Betreibern ausgehändigt?
  • Auf der Kreis-Website heißt es, „Luca“ sei ein dezentrales System. Woher stammt diese Information und wie wurde sie hinsichtlich ihres Wahrheitsgehalts überprüft?

Ergänzung der Fragen

  • Wie bewertet der Kreisausschuss die Auswirkungen des Beschlusses des Verwaltungsgerichts Osnabrück vom 15. Juni 2021, durch welchen dem Landkreis die einseitige Bewerbung der „Luca“-App untersagt wird?
  • Wie bewertet der Kreisausschuss die aufgedeckte Sicherheitslücke, die durch sogenannte CSV-Injections das Gesundheitsamt angreifbar macht?
  • Wann und durch wen hat der Kreisausschuss von dieser Sicherheitslücke erste Kenntnis erhalten?

Begründung

Seit mehreren Wochen weisen Sicherheitsexpert*innen auf fundamentale Mängel in der Umsetzung des von Nexenio betriebenen Check-in-Systems „Luca“ in.  Der Bundesdatenschutzbeauftrage Ulrich Kelber äußerte sich zudem kritisch gegenüber dem Nutzen von „Luca“.

Etliche Bundesländer haben trotz der nicht abreißenden Kritik und des zweifelhaften Nutzens sogenannte „Jahreslizenzen“ für die „Luca“-Schnittstelle erworben. Die Gesamtkosten werden derzeit auf circa 22 Millionen Euro geschätzt.

Ende März begann auch der Rheingau-Taunus-Kreis, offensiv für „Luca“ als Check-in-System zu werben (siehe Anlagen). Auf der Startseite der Website des Rheingau-Taunus-Kreises heißt es prominent: „RTK nutzt Luca-App“. In dem dahintersteckenden Text finden sich sachlich falsche Aussagen – unter anderen, dass das System dezentral sei. Dies widerspricht der Auffassung einer großen Anzahl unabhängiger IT-Sicherheitsexpert*innen.  

Am 29. April 2021 veröffentlichte eine Gruppe von 77 IT-Sicherheitsexpert*innen eine gemeinsame Stellungnahme zur „Luca“-App. In dieser heißt es resümierend: „Es gibt bereits Systeme, die in diesem Sinne die Risiken für Bürger:innen auf ein Minimum reduzieren. […] Die mit dem LUCA System verbundenen Risiken erscheinen völlig unverhältnismäßig, da sie den erwarteten Nutzen deutlich überwiegen.“ Die Stellungnahme wurde neben den Erst-Unterzeichner*innen mittlerweile von über 450 Unterstützer*innen aus den Bereichen Wissenschaft, Sicherheit und Politik unterzeichnet.

Ähnlich äußerte sich am 13. April 2021 der Chaos Computer Club (CCC) in einer ausführlichen Stellungnahme mit dem Titel „Luca-App: CC fordert Bundesnotbremse“.

Weiterhin verfügt seit dem 21. April 2021 auch die offizielle und aus Steuergeldern finanzierte „Corona-Warnapp“ über eine Check-in-Funktion. Da diese dezentral funktioniert, gilt sie allgemein als sicher. Dennoch findet sich auf der Startseite des Rheingau-Taunus-Kreises bis heute (30.04.2021) kein Hinweis auf die „Corona-Warnapp“. Einzig auf der Unterseite zum Coronavirus ist unten ein kurzer Hinweis auf die „Corona-Warnapp“ zu finden.

Ergänzung der Begründung

Seit mehr als vier Wochen warnen IT-Sicherheitsexpert*innen vor einer schwerwiegenden Sicherheitslücke im „Luca“-System, durch die Gesundheitsämter angreifbar sind. Zunächst hatte Eva Wolfangel für die ZEIT am 26. Mai von der Lücke berichtet. Daraufhin wies Nexenio sämtliche Verantwortung zurück und betonte, dass die Gesundheitsämter ihre Mitarbeiter derart schulen sollen, dass sie den Angriff frühzeitig erkennen und vereiteln können. Das BSI widersprach Nexenio am 28. Mai: „Wir sind der Auffassung, dass die Betreiber einer App für die Integrität übermittelter Daten verantwortlich sind.“ Dieser Auffassung schloss sich auch der Chaos Computer Club an: „Die Sicherheit der Gesundheitsämter bei der Verarbeiung von Luca-Daten darf nicht davon abhängen, dass Excel eine Warnung ausgibt. Luca muss sichere Daten liefern.“

In einem Hotfix versuchte Nexenio, die allgemein als kritisch angesehene Lücke zu schließen. Eine Code-Analyse des Experten Marcus Mengs vom 16. Juni offenbarte allerdings, dass dieser Hotfix unzureichend war. Nach ie vor besteht über die CSV-Datei, die vom Gesundheitsamt ausgelesen wird, eine Angriffsmöglichkeit. Marcus Mengs hat diese und zahlreiche weitere Sicherheitslücken ausführlich auf GitHubdokumentiert. Trotz mehrmalige Hinweise hielt sich Nexenio nach Aussagen von Mengs nicht an Rsponsible-Disclosure-Bst-Practices und spielte Fixes aus, ohne auf die vollständige Fehler-Dokumentation zu warten.

Das Angriffsszenario (auch Angriffsvektor genannt) lässt sich wie folgt veranschaulichen: Ein*e Angreifer*in kann bei der Registrierung für „Luca“ anstelle z. B. ihrer Postleitzahl eine Formel angeben, durch die bei Auslesen in Excel eine Aktion – ein sogenanntes Makro – ausgeführt wird. Derdie Angreiferin kann nun mit seinem manipulierten Konto in etlichen Bars und Restaurants einchecken. Sobald ein Corona-Fall auf eine dieser Locations zurückverfolgt wird, ruft das Gesundheitsamt die Daten der dort Eingecheckten ab – darunter die Daten des*der Angreifer*in, die den Schadcode beinhalten. Das Gesundheitsamt exportiert die Daten über die „Luca“-Schnittstelle und ruft diese in Excel auf. Dabei wird eine Warnmeldung ausgeben. Wird diese Warnmeldung ignoriert und die Datei dennoch geöffnet, wird der Schadcode ausgeführt. Über den Schadcode könnte bspw. ein Trojaner heruntergeladen und auf dem System des Gesundheitsamts installiert werden, der alle Systeme verschlüsselt und die dort gespeicherten personenbezogenen Daten an den*die Angreifer*in übermittelt. In Anbetracht der Sensibilität der dort gespeicherten Daten wäre dies der GAU, dessen Eintreten es aktiv zu verhindern gilt.

Hinsichtlich der einseitigen Bewerbung der „Luca“-App durch einen Landkreis hat das Verwaltungsgericht Osnabrück der Beschwerde eines Mitbewerbers stattgegeben.Dem Landkreis Osnabrück ist es untersagt vorrangig die „Luca“-App zu bewerben, da er damit sein Neutralitätsgebot verletze: „In der Rubrik zur LUCA-App werde darüber hinaus deutlich gemacht, dass es vom Antragsgegner gewünscht sei, die LUCA-App flächendeckend und ausschließlich zu nutzen. Damit bleibe der Antragsgegner nicht neutral, sondern betreibe aktiv Werbung für die LUCA-App, die dadurch im Ergebnis eine Alleinstellung erhalte.“ Der Landkreis Osnabrück hatte die „Luca“-App ähnlich wie der Rheingau-Taunus-Kreis prominent auf seiner Website und in Pressemitteilungen beworben.