Luca: Neuer Signierungsprozess soll Datendiebstahl verhindern
Die Sicherheit der App Luca wurde von einer Datenschutzbehörde kritisiert, nun bessert das Entwicklerstudio nach. Theoretisch könnten Angreifer mit eigenen Schlüsseln die Tagesschlüssel der Anwendung ersetzen. Dadurch ließen sich Personen individualisieren. Anbieter Nexenio räumt ein, dass es eine solche Möglichkeit gibt, ein Hacker allerdings hierfür die vollständige Kontrolle über die Backend-Infrastruktur von Luca bräuchte. Mit einem zusätzlichen Signierungsprozess via D-Trust soll auch dieses Restrisiko verschwinden. Diesen habe man im Juli in die Wege geleitet.
Datenschutzbehörde: Bedenken gegenüber Luca
Luca soll bald sicherer werden
Nexenio
Neben der Corona-Warn-App und CovPass ist Luca die meistgenutzte Anwendung im Zusammenhang mit der Pandemie. Umso wichtiger ist es, dass die weitergegebenen Daten vertraulich bleiben. Diesbezüglich hat die Berliner Datenschutzbeauftragte Maja Smoltczyk noch Zweifel, wie Golem berichtet. Ihre Datenschutzbehörde führte Ende Februar 2021 ein Prüfverfahren gegen Culture4Life durch, welche sich neben Nexenio für Luca verantwortlich zeichnen. Man habe „eine Reihe von Mängeln festgestellt“, so die Behörde.
Hinsichtlich des Kryptokonzepts attestierte das Organ zwar, dass es „im Wesentlichen dem Stand der Technik“ entspräche, die Wirksamkeit würde allerdings von der Effizienz der eingesetzten Schlüssel abhängen. Derzeit könne „eine Kompromittierung von einzelnen IT-Systemen des Betreibers zu einem Verlust der Vertraulichkeit der verwendeten Schlüssel“ führen, heißt es weiter. Würde es ein Angreifer schaffen, Lucas System zu kompromittieren, ließen sich über Anwesenheitsdaten Personen zuordnen und individualisieren.
Nexenio führt bereits neue Schutzmaßnahme ein
Das Entwicklerstudio gab zu, dass es eine geringe Chance für Hacker gibt, sich in das System einzuschleusen und dieses zu manipulieren. Mit einem zusätzlichen Signierungsprozess soll das Ersetzen der Schlüssel aber unmöglich werden. Hierbei handelt es sich um Zertifikate von D-Trust, einer Tochterfirma der Bundesdruckerei. Der Prozess wurde im Juli eingeleitet. Bislang hätten 300 von 319 an Luca angeschlossene Gesundheitsämter ihre Schlüssel mit D-Trust signiert. Nexenio geht davon aus, dass bis Mitte September alle Institutionen aufgerüstet haben.
Dies dürfte bei besorgten Nutzern für Erleichterung sorgen. Und User gibt es viele. Allein in den letzten 28 Tagen wurden vom Anbieter 53,5 Millionen Check-ins verzeichnet. Abseits der Verschlüsselung prangert der Spiegel den Umgang mit dem QR-Code an. So würde es keine Rolle spielen, wie groß eine Räumlichkeit sei, es gäbe immer nur einen Code. Sinnvoller wäre es, diesen an Tische oder Bereiche zu binden.
Übrigens: Das Ministerium lehnt eine Prüfung von Luca ab.