Ist die Luca-App sicher? Innenministerium lehnt genauere Prüfung durch BSI ab
Die Luca-App hat zuletzt die Marke von 20 Millionen Nutzer:innen erreicht. Im Juni sollen neun Millionen Menschen die App heruntergeladen haben. Bei Sicherheitsexpert:innen sorgte die Nachricht für Kopfschütteln. Der Chaos Computer Club (CCC) etwa forderte angesichts zahlreicher Sicherheitsmängel, „die Luca-App zu beerdigen“. Bisher haben 13 Bundesländer Lizenzen für Luca gekauft. Kostenpunkt: über 20 Millionen Euro. Auch Hessen hatte zugeschlagen. Jetzt wollte das Bundesland eine Überprüfung des Systems in Auftrag geben – vergeblich.
BSI darf Luca-App nicht unter die Lupe nehmen
Wie Spiegel Online zuerst berichtete, hat das Bundesinnenministerium dem dafür angefragten Bundesamt für Sicherheit in der Informationstechnik (BSI) die von Hessen gewünschte umfassende Prüfung von App und System untersagt. Das ist möglich, weil das BSI dem Innenministerium unterstellt ist. Gegenüber dem Spiegel bestätigte das Innenministerium die Ablehnung. Die Erklärung: Die Länder seien Vertragspartner der Luca-App. Und die Gewährleistung der IT-Sicherheit sei Gegenstand der Leistung des Herstellers.
Im Klartext: Hessen müsste eine solche Prüfung direkt von den Luca-App-Macher:innen verlangen. Golem zufolge könnten solche Quellcode-Prüfungen oder Penetrationstests von entsprechend spezialisierten Firmen vorgenommen werden, die auch BSI-zertifiziert sein können. Diese Leistung könnte die hinter der Luca-App stehende Firma Culture4Life beauftragen. Dieses Verfahren würden auch andere Bundesbehörden nutzen.
BSI-Kritik an Umgang mit Sicherheitsmängeln
Allerdings hatte das BSI die Luca-App schon einmal unter die Lupe nehmen lassen. Laut Golem sei dies aber lediglich im Zusammenhang mit dem App-Testing-Portal der Behörde erfolgt – von externen Anbietern. Im Mai hatte das BSI den Umgang der Luca-App-Betreiber:innen mit immer wieder auftretenden Schwachstellen öffentlich kritisiert. Das Amt erklärte aber später dazu, dass es seine Ressourcen „weiterhin auf die intensive und entwicklungsbegleitende Prüfung der Corona-Warn-App“ konzentriere, wie Golem schreibt. Die Corona-Warn-App hat mit der am Montag vorgestellten Version 2.7 neue Funktionen erhalten. So prüft die App jetzt, ob die Zertifikate echt sind.
Mal eine Frage zum Schreibstil: ist das so kompliziert und (zeit-)aufwendig, statt Nutzer:innen das bisherig genutzte Nutzerinnen und Nutzer zu tippen/schreiben?
Überall wird die deutsche Sprache mit diesem gendern vergewaltigt und die diversen sind trotzdem noch ausgegrenzt.
Das macht es ja noch schlimmer – ich finde „Nutzer:innen“ zwar hässlich, aber doch weniger hässlich als „Nutzerinnen und Nutzer“. Das Ganze kann ohnehin nicht „korrekt“ funktionieren ohne eine geschlechterneutrale Form, sonst bräuchten wir ja Konstrukte wie „d* Bürger:innen*Meister:in*“ – und das dürfte auch kaum jemanden glücklich machen, oder?