Drücken Sie „Enter“, um den Inhalte zu überspringen

Digitale Gästelisten: Das zentrale Problem von Luca

Die App Luca, mit der Länder wie Mecklenburg-Vorpommern und Berlin die Kontaktverfolgung für ihre Gesundheitsämter gewährleisten wollen, fällt in mehreren Punkten hinter ihre eigenen Sicherheitsversprechen zurück. Zu diesem Schluss kommen Forscher:innen der Universität EPFL in Lausanne nach einer Analyse des Sicherheitskonzeptes von Luca, die sie heute veröffentlicht haben. Das Paper der Forscher:innen ist auf einem so genannten Pre-Print-Server erschienen und wurde bisher noch nicht von unabhängigen Fachleuten überprüft.

„Das System ist im Kern ein vertrauensbasiertes System“, sagt Carmela Troncoso von der EPFL. Alle Sicherheitseigenschaften hingen davon ab, dass der zentrale Server von Luca und diejenigen, die darauf Zugriff haben, sich korrekt verhalten. Die Macher von Luca hatten das Sicherheitskonzept selbst Anfang März veröffentlicht, um für Vertrauen in ihre App zu werben. Die Analyse der Forscher:innen stützt sich ausschließlich auf die veröffentlichte Dokumentation, da der Quellcode von Luca noch nicht veröffentlicht wurde. Nach öffentlicher Kritik wollen die Macher der App das bis Ende März nachholen.

Wie viele Infizierte waren wo?

Die Analyse der Forscher:innen zeigt: Auf dem Server von Luca laufen wie auf einer Drehscheibe große Mengen an sensiblen Daten zusammen, die Nutzer:innen oder Veranstalter:innen in Luca ablegen. Dazu gehört etwa das Wissen darüber, wie viele Menschen sich zeitgleich an einem Ort aufhalten, wann sie dort angekommen oder wieder gegangen sind – sensible Informationen, die nicht nur für kommerzielle Zwecke wertvoll sind, sondern sich auch einsetzen ließen, um bestimmte Menschengruppen auf Basis ihrer politischen oder religiösen Zugehörigkeit zu überwachen, schreiben die Autor:innen.

Auch ließe sich über die Daten rekonstruieren, wie viele positiv auf Covid-19 getestete Personen in den vergangenen Tagen einen bestimmten Ort besucht haben, mit allen daran geknüpften Konsequenzen. Dieses Wissen könne etwa für die Erpressung von Veranstaltungsorten eingesetzt werden.

Ein weiterer Schwachpunkt betrifft die mögliche Deanonymisierung von Nutzer:innen. Dies rüttelt an einem der zentralen Versprechen von Luca: Alle Daten werden mehrfach verschlüsselt, erklärte zuletzt etwa der Rapper und Luca-Unterstützer Smudo bei Anne Will. Erst wenn ein Infektionsfall eintritt und ein Veranstalter auf Anfrage seine Gästeliste freigibt, könne das Gesundheitsamt und niemand sonst die persönlichen Daten von eingecheckten Gästen sehen.

Personen hinter den Pseudonymen identifizierbar

Die Forscher:innen weisen darauf hin, dass sich dieses Versprechen mit dem derzeitigen Aufbau des Systems nicht halten lässt. Weil Nutzer:innen bei einem Check-in mit Luca nicht nur verschlüsselte Daten an den Server schicken, sondern auch ihre IP-Adresse und andere Informationen über ihr Handy übermitteln, lasse sich mit großer Wahrscheinlichkeit rekonstruieren, welches Gerät und letztlich welche Person sich hinter einer pseudonymen Nutzer-ID verbirgt.

Die Macher von Luca oder Angreifer könnten über diesen Schritt auch nachvollziehen, wo jemand in den vergangenen Tagen eingecheckt hat – vom Fitnessstudio bis zum politischen Mobilisierungstreffen – und dadurch Bewegungsprofile von einzelnen Nutzer:innen erstellen. Diese Funktion wäre vor allem für Strafverfolgungsbehörden interessant. In der Vergangenheit hatte die Polizei für Ermittlungen bereits mehrfach auf die Papiergästelisten von Restaurants zurückgegriffen.

Diese Schwäche in der zentralen Architektur von Luca betrifft auch jene, die eine Infektion melden. Denn letztlich wisse der Server von Luca über diese Verknüpfungen auch, welche Nutzer:innen sich in der App positiv für Covid-19 gemeldet haben und welche Personen vom Gesundheitsamt kontaktiert wurden. Werden diese Informationen öffentlich, könne das zu einer Stigmatisierung von Nutzer:innen führen, Betroffene könnten mit dem Wissen erpresst werden.

„Uns macht Sorge, dass es sehr einfach ist, andere Funktionen für die Daten zu finden, sobald man einen solchen Haufen davon hat,“ sagt Troncoso. „Wir sprechen über Sicherheitsbehörden, aber man kann auch über Risikoanalysen für unterschiedliche Orte nachdenken. Wir wissen es nicht. Sobald die Daten vorhanden sind, ist die Vorstellungskraft nahezu unbegrenzt, was sich damit alles anstellen ließe.“

Und was ist mit dem Versprechen, dass positiv getestete Nutzer:innen selbst darüber entscheiden, ob sie ihre Check-In-Historie dem Gesundheitsamt freigeben? Die Forscher:innen zeigen, dass auch dies nicht haltbar ist: Da der Server Check-Ins mit Nutzer:innen verbinden kann und diese über mehrere Check-ins verfolgen kann, könnte er dieses Wissen auch ohne Zustimmung einer infizierten Person mit dem Gesundheitsamt oder wem auch immer teilen. Wieder basiere das Versprechen allein auf dem Vertrauen in den Server und dessen Betreiber. „Es stellen sich viele Fragen zu diesen Garantien“, die Luca gebe, sagt Troncoso. Seien es tatsächlich technologische Garantien oder lediglich Vorgehensweisen, die bei Bedarf auch wieder geändert werden könnten?

Auch ein interessanter Artikel:  Digitale Kontaktverfolgung: Fast 20 Millionen Euro für Luca

Eine dezentrale Alternative

Für die meisten dieser Szenarien müsste das System nicht mal von einem Angreifer modifiziert werden, schreiben die Autor:innen um Troncoso. Wer auf den Server von Luca zugreifen kann, etwa durch Erpressung der Betreiber oder mit einer richterlichen Anordnung, könne all diese Dinge im ganz normalen Betrieb erfahren, ohne eine Entdeckung fürchten zu müssen. „Der Server erfährt sehr viele Informationen über Nutzer:innen und Orte“, sagt Troncoso, „selbst wenn er sich nicht falsch verhält.“

Troncoso forscht an der EPFL Lausanne zum Thema Privatsphäre und ist eine der Köpfe hinter dem Protokoll DP-3T für eine dezentrale Kontaktverfolgung, auf dem auch die Deutsche Corona-Warn-App aufbaut. Gemeinsam mit Kolleg:innen hat sie im vergangenen Herbst ein weiteres Verfahren namens CrowdNotifier entwickelt. Es funktioniert wie Luca über einen Check-in per QR-Code. Jedoch kommt das System ohne einen zentralen Datenspeicher aus. Wie schon im Fall der Corona-Warn-App bleiben alle Daten auf dem Telefon der Nutzer:innen. Wird später bekannt, dass eine positiv auf Covid-19 getestete Person zeitgleich am selben Ort eingecheckt war, wird man gewarnt – dezentral und ganz ohne Zutun des Gesundheitsamtes.

Die Funktionalität wird derzeit von SAP auch in die Corona-Warn-App übernommen und soll ab der kommenden Version „zeitnah nach Ostern“ verfügbar sein, so das Bundesgesundheitsministerium. Expert:innen hatten die Check-in-Funktion bereits lange gefordert, um die Gefahr einer Infektion durch Aerosole zu berücksichtigen. Nach dem Update wird nicht nur gewarnt, wer sich in der Nähe einer infizierten Person befand, sondern auch, wer zeitgleich über längere Zeit im selben Raum war und dort über Aerosole mit dem Virus in Kontakt gekommen sein könnte.

Patrick Hennig, Geschäftsführer von NeXenio, dem Start-up hinter Luca, sagte auf Anfrage, die Analyse sei „sinnvoll und gut recherchiert, aber ist unserer Meinung nach, was die Risikoabschätzung angeht, kein Showstopper.“ Viele der angesprochenen Punkte seien den Machern durchaus bewusst und sollen demnächst mit weiteren Sicherheitsvorkehrungen verhindert werden. So solle etwa eine unabhängige Instanz die Schlüssel verwalten und damit Missbrauch verhindern. Zur zentralen Kritik der Identifizierbarkeit über die IP-Adresse sagt er: „Wir machen das nicht, aber das ist ein valider Punkt.“ CrowdNotifier und Luca seien „inhaltlich einfach andere Konzepte“, weil Luca zur Kommunikation mit dem Gesundheitsamt dient. „Beide haben unserer Ansicht nach eine Berechtigung, sollten aber nicht vermischt werden.“

Berlin und weitere Bundesländer von Luca überzeugt

Bereits vor der Veröffentlichung der Analyse hatten Fachleute in den vergangenen Tagen auf technische Fehler in Luca hingewiesen. So hatten sich Journalist:innen in Hamburg mit einem abfotografierten QR-Code erfolgreich in ein Geschäft in Rostock eingeloggt, das zu diesem Zeitpunkt geschlossen war. Auch der automatische Check-out aus Orten, eine weitere Funktion, mit der Luca wirbt, funktioniert offenbar noch nicht auf Android-Geräten. Dies könnte dazu führen, dass Nutzer:innen, die sich zum kritischen Zeitpunkt gar nicht mehr in einem Laden aufgehalten haben, vom Gesundheitsamt in Quarantäne geschickt werden.

In Berlin lässt sich Oberbürgermeister Michael Müller davon nicht beirren. Über das Wochenende hatte er bekannt gegeben, dass er die App bereits bestellt habe. Wie Tagesspiegel Background heute berichtet, zahlt Berlin für den Einsatz über das kommende Jahr 1.168.000 Euro, später solle der Bund die Kosten übernehmen, der Vertrag sei schon unterschrieben. Als erstes Bundesland hatte Mecklenburg-Vorpommern Anfang März einen Vertrag mit Luca abgeschlossen. Seit vergangenem Freitag können Geschäfte, Hotels oder Behörden die App zur Übermittlung von Gästelisten ans Gesundheitsamt einsetzen. Auch weitere Bundesländer wie Bremen, Hamburg und Rheinland-Pfalz haben sich zusammengeschlossen, um Luca gemeinsam zu beschaffen.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Hier weiter lesen...