Gravierende Luca-App-Sicherheitslücke wird zur Gefahr für Gesundheitsämter

„Langsam fragt man sich, was noch passieren muss, bis Länder und Landkreise die Kooperation mit der Luca App beenden“, erklärt Anke Domscheit-Berg, netzpolitische Sprecherin der Fraktion DIE LINKE.

Seit Wochen werden immer neue Sicherheitslücken bei der Luca App bekannt, die offensichtlich dilettantisch und unter Missachtung grundlegender IT-Sicherheitsstandards entwickelt wurde. Als unfertiges Produkt wurden den Bundesländern bisher 22 Millionen Euro für zwölf Monate Nutzungsrecht abgeknöpft. Statt der versprochenen Entlastung könnte eine nun eindeutig nachgewiesene, besonders gravierende Sicherheitslücke zur Einschleusung von Schadsoftware auf die IT-Systeme von Gesundheitsämtern und zum Beispiel zur Verschlüsselung der Daten durch sogenannte Ransomware (Erpressersoftware) führen. Die zahlreichen Hinweise und Warnungen der IT-Sicherheitsforscher hat das Unternehmen Nexenio bisher kleingeredet oder sogar geleugnet.

Der Sicherheitsforscher Marcus Mengs wies nun in einem Demo-Video anschaulich nach, dass eine bereits Anfang Mai bekanntgewordene Sicherheitslücke weiterhin besteht und sich entgegen der Behauptungen von Nexenio auch tatsächlich ausnutzen lässt für einen Angriff mit Schadsoftware. Domscheit-Berg weiter:

„Ständig gibt es neue Informationen zu Sicherheitslücken, und es ist längst offensichtlich, dass hier ein Start Up die Pandemiekrise ausnutzte, um ein schlechtes, unfertiges aber eben auch gefährliches Produkt für viele Millionen Steuergeld zu verticken und sich nebenbei ein Plattform-Monopol aufzubauen, das zig Millionen Einwohner*innen und praktisch die gesamte Kultur-, Gastronomie und Eventinfrastruktur bis hin zu öffentlichen Einrichtungen als Kunden umfasst.

Diese Art Goldgräbergeschäft ist nur möglich, weil staatliches Versagen in der Pandemiebekämpfung hinter Aktionismus versteckt werden muss und es zu wenig IT-Kompetenz bei staatlichen Stellen mit Entscheidungsgewalt gibt. Über 20 Millionen Euro Steuergeld sind für ein Jahr Nutzungsrecht bereits für die funktional kaputte Luca App geflossen, aber: Lieber ein Ende mit Schrecken als ein Schrecken ohne Ende - daher sollte man dieses Geld einfach abschreiben, Fehler eingestehen, die Verträge kündigen und vor allem die Infektionsschutzverordnungen der Länder so ändern, dass die Check-In Funktion der Corona-Warn-App um optionale Papierkontaktlisten ergänzt ausreicht, um als gastgebende Location den gesetzlichen Anforderungen gerecht zu werden.“