Nach Sicherheits-Panne

Dortmund: Einsatz der Luca-App zur Corona-Nachverfolgung – mit einem Trick

Die Stadt Dortmund will Corona-Infektionen bald per Luca-App nachverfolgen. Die Software hatte zuletzt mit einer Daten-Panne für Kritik gesorgt. Die Stadt trifft daher besondere Vorkehrungen.

Dortmund – „Es könnt‘ alles so einfach sein“, heißt es in einem Song der Fantastischen Vier, deren Mitglied Smudo mit an der Luca-App gewerkelt hat. „Isses aber nicht“, geht der Song weiter. Denn nach einer Daten-Panne steht das Programm erneut in der Kritik. Trotzdem will die Stadt Dortmund die Software künftig nutzen – aber nur mit besonderen Sicherheitsvorkehrungen.

ProgrammLuca-App
NutzenCorona-Nachverfolgung
Downloadsca. 10 Millionen

Dortmund will Luca-App zur Corona-Nachverfolgung nutzen: mehr Sicherheit nach Daten-Panne

An sich ist die Luca-App eine feine Sache: Man geht zum Konzert oder ins Restaurant und hält sich an die Corona-Regeln. Statt an der Tür Namenslisten auszufüllen, checkt man ein und die App kümmert sich um die Nachverfolgung, sollte ein Besucher sich später doch als mit dem Coronavirus infiziert herausstellen. Zudem zeichnet sie auf, wer sich wie lange wo aufgehalten hat.

Die kostenlose Luca-App wurde mittlerweile nach Angaben der Entwickler mehr als 10 Millionen mal heruntergeladen. Mehr als 300 Gesundheitsämter sollen die Software demnach bereits nutzen.

Die Entwickler versprechen auf der Internetseite unter anderem eine Benachrichtigung im Infektionsfall, „höchste Datenschutzstandards“ sowie „lückenlose Nachverfolgung“. Das Problem dabei: Mindestens eine Lücke gab es zuletzt. Und die gefährdete ausgerechnet die Behörden, denen die App eigentlich Arbeit abnehmen soll – die Gesundheitsämter.

Sicherheitslücke bei Luca-App: Gefahr für Gesundheitsämter – Entwickler wiegeln ab

Der Programmierer Marcus Mengs hatte die Sicherheitslücke Ende Mai aufgedeckt. In einer Versuchsumgebung war es ihm gelungen, Nutzerdaten über die Luca-App abzufragen. Zudem hätte er darüber auch Schadcode ans Gesundheitsamt übertragen können. Hätte ein Mitarbeiter die Datei dort geöffnet und ein paar Warnmeldungen weggeklickt, hätte er mit einem sogenannten Erpressungstrojaner (Ransomware) auch das Netzwerk lahmlegen können.

Der Musiker Smudo ist das Gesicht hinter der Luca-App.

Die Entwickler reagierten nach eigenen Angaben sofort und schlossen die Lücke. Dass ein entsprechender Vorgang tatsächlich in einem Gesundheitsamt ausgelöst werden könne, halten sie jedoch für „unwahrscheinlich“. Auf der Internetseite schreiben sie zu dem Datenleck: „Durch weitere Maßnahmen, die heute im Luca-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch in Zusammenhang mit Makros in Excel verhindert.“

Dortmund will Corona-Apps nutzen: „Sie sind gehyped – und haben erhebliche technische Probleme“

Auch im Gesundheitsamt Dortmund betrachtet man derartige Sicherheitspannen bei Corona-Apps offenbar mit Sorge. „Den Apps ist gemein, dass sie gehyped werden. Aber auch, dass es erhebliche technische Probleme gibt“, sagte Dr. Frank Renken, Leiter des Gesundheitsamts am Dienstag (8. Juni) bei einer Pressekonferenz.

Die Apps sind an Software im Hochsicherheitsbereich angebunden und es sei „gar nicht so schwierig“, dort Viren einzuschleusen. Das gelte es zu vermeiden, warnte Renken. Trotzdem will die Stadt Dortmund die Luca-App nutzen. Man wolle damit arbeiten – aber sicher. Dazu wird derzeit das Gateway "Iris" in den Kommunalverwaltungen eingerichtet.

An diese Schnittstelle können Apps wie „Luca“ andocken, die Datensicherheit wäre dann gewährleistet. Man sei damit bereits „in den Endzügen“, sagte Renken. Über „Iris“ können rund 60 andere Programme wie die Corona-Warn-App mit ihrer neuen Check-in-Funktion gefahrlos Daten ans Gesundheitsamt übermitteln. Unklar ist allerdings noch, was dabei am Ende herumkommt, sagt Renken: „Welche Daten wir da bekommen, da sind wir selber gespannt.“

Rubriklistenbild: © Axel Heimken/dpa

Mehr zum Thema