Besserer Datenschutz

Luca: Neuer Signierungsprozess soll Datendiebstahl verhindern

Bei verschie­denen Loka­litäten sorgt die App Luca für einen simplen Check-in, der Daten­schutz sei gut, aber noch nicht perfekt. Mit einer D-Trust-Signie­rung soll das Verfahren angriff­sicher werden.
Von

Die Sicher­heit der App Luca wurde von einer Daten­schutz­behörde kriti­siert, nun bessert das Entwick­ler­studio nach. Theo­retisch könnten Angreifer mit eigenen Schlüs­seln die Tages­schlüssel der Anwen­dung ersetzen. Dadurch ließen sich Personen indi­vidua­lisieren. Anbieter Nexenio räumt ein, dass es eine solche Möglich­keit gibt, ein Hacker aller­dings hierfür die voll­stän­dige Kontrolle über die Backend-Infra­struktur von Luca bräuchte. Mit einem zusätz­lichen Signie­rungs­pro­zess via D-Trust soll auch dieses Rest­risiko verschwinden. Diesen habe man im Juli in die Wege geleitet.

Daten­schutz­behörde: Bedenken gegen­über Luca

Luca soll bald sicherer werden Luca soll bald sicherer werden
Nexenio Neben der Corona-Warn-App und CovPass ist Luca die meist­genutzte Anwen­dung im Zusam­men­hang mit der Pandemie. Umso wich­tiger ist es, dass die weiter­gege­benen Daten vertrau­lich bleiben. Dies­bezüg­lich hat die Berliner Daten­schutz­beauf­tragte Maja Smolt­czyk noch Zweifel, wie Golem berichtet. Ihre Daten­schutz­behörde führte Ende Februar 2021 ein Prüf­ver­fahren gegen Culture4Life durch, welche sich neben Nexenio für Luca verant­wort­lich zeichnen. Man habe „eine Reihe von Mängeln fest­gestellt“, so die Behörde.

Hinsicht­lich des Kryp­tokon­zepts attes­tierte das Organ zwar, dass es „im Wesent­lichen dem Stand der Technik“ entspräche, die Wirk­sam­keit würde aller­dings von der Effi­zienz der einge­setzten Schlüssel abhängen. Derzeit könne „eine Kompro­mit­tie­rung von einzelnen IT-Systemen des Betrei­bers zu einem Verlust der Vertrau­lich­keit der verwen­deten Schlüssel“ führen, heißt es weiter. Würde es ein Angreifer schaffen, Lucas System zu kompro­mit­tieren, ließen sich über Anwe­sen­heits­daten Personen zuordnen und indi­vidua­lisieren.

Nexenio führt bereits neue Schutz­maß­nahme ein

Das Entwick­ler­studio gab zu, dass es eine geringe Chance für Hacker gibt, sich in das System einzu­schleusen und dieses zu mani­pulieren. Mit einem zusätz­lichen Signie­rungs­pro­zess soll das Ersetzen der Schlüssel aber unmög­lich werden. Hierbei handelt es sich um Zerti­fikate von D-Trust, einer Toch­ter­firma der Bundes­dru­ckerei. Der Prozess wurde im Juli einge­leitet. Bislang hätten 300 von 319 an Luca ange­schlos­sene Gesund­heits­ämter ihre Schlüssel mit D-Trust signiert. Nexenio geht davon aus, dass bis Mitte September alle Insti­tutionen aufge­rüstet haben.

Dies dürfte bei besorgten Nutzern für Erleich­terung sorgen. Und User gibt es viele. Allein in den letzten 28 Tagen wurden vom Anbieter 53,5 Millionen Check-ins verzeichnet. Abseits der Verschlüs­selung pran­gert der Spiegel den Umgang mit dem QR-Code an. So würde es keine Rolle spielen, wie groß eine Räum­lich­keit sei, es gäbe immer nur einen Code. Sinn­voller wäre es, diesen an Tische oder Bereiche zu binden.

Übri­gens: Das Minis­terium lehnt eine Prüfung von Luca ab.

Mehr zum Thema Datensicherheit Smartphone