Obwohl die Corona-Warn-App Funktionen wie Impfnachweis, Schnelltest-Ergebnisse und Check-In bietet, ist der Siegeszug der Luca-App anscheinend nicht aufzuhalten. Die Betreiber jubeln: 20 Millionen Nutzerinnen und Nutzer ermöglichten der Software „ein neues Level der Datentransparenz in der Pandemiebekämpfung“, schreiben sie. Das seien neun Millionen mehr als noch vor vier Wochen.

Auf der anderen Seite gibt es darüber Kopfschütteln. Der Chaos Computer Club (CCC) forderte bereits eine Notbremse. Ein sinnvoller Beitrag zur Pandemiebekämpfung lasse sich auch mit viel Kreativität nicht konstruieren, schrieben die IT-Spezialisten um den Sprecher Linus Neumann. Erst Ende Juni kam eine weitere Sicherheitslücke der Luca-App zutage. Der Umgang der Verantwortlichen damit fiel aus, wie von Neumann erwartet: „Wie immer wurde das Risiko heruntergespielt und die Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient.“

Es ist nicht die erste Sicherheitslücke und so spricht der CCC davon, die Bundesländer seien auf ein „in Windeseile zusammengebasteltes Konzept“ hereingefallen. Ohr Forderung: „Es wird langsam Zeit, die Verträge wegen mangelhafter Leistung abzuwickeln und die Luca-App zu beerdigen.“

Über die jüngste Sicherheitslücke war es für kurze Zeit möglich, Schadcode zu injizieren. Nach rund 2,5 Stunden sei die Lücke geschlossen worden, wie die Macher der Luca-App Ende Mai auf eigenen Website veröffentlichten.

Die Journalistin Eva Wolfangel hatte als erste auf Zeit Online auf diese Möglichkeit hingewiesen und war auf taube Ohren gestoßen. Über spezielle Sonderzeichen in den Datenbankeinträgen, etwa dem Namen, könnte eine böswillige Befehlskette zum Gesundheitsamt gelangen, bewies kürzlich der Sicherheitsforscher Marcus Mengs. Die Luca-Macher der Nexenio GmbH stritten die Lücke zunächst ab. Experten empfehlen, mindestens die Eingabe bestimmter Sonderzeichen zu verhindern, wie das etwa beim Online-Banking üblich ist. Doch Nexenio winkt ab. Auch der IT-Sicherheitsexperte Manuel Atug zeigt sich entsetzt. Manipulierte Einträge könnten die ganze Datenbank löschen und andere Datensätze auslesen, sagt er. „Deshalb gehört es zum Einmaleins der IT-Sicherheit, es nicht zuzulassen, dass ungeprüfte Daten übernommen werden.“ Er warnt die Gesundheitsämter davor, Luca zu nutzen, solange nicht klar sei, wie diese Daten der Nutzer technisch validiert und gefiltert würden. Die Entwickler widersprechen den Darstellungen. Man wende Filter an, die im Vorfeld die Zeichen scannen. Zuvor hatten sie gesagt, die Daten seien Ende-zu-Ende verschlüsselt.

„Wenn die Ende-zu-Ende-Verschlüsselung sichergestellt ist, können beliebige Nutzereingaben bis zum Gesundheitsamt durchlaufen“, stellt Mengs fest. In verschlüsselte Daten könne auch keine Software Einsicht nehmen, um Schadcode festzustellen. Er sagt: „Dem Risiko von Schadcode-Eingaben muss auf Empfängerseite Rechnung getragen werden.“ Der Verweis der Luca-Macher auf die zugrundeliegende Software-Bibliothek React, die solche Eingaben ausschließe, lässt Mengs nicht gelten. „React ist nicht dafür da, Angriffe zu verhindern. Im Gegenteil, das bietet neue Angriffsflächen. Sogenannte Template-Injections nutzten etwa Schwachstellen in der React-Bibliothek aus, erklärt er. In einem späteren Statement schieben die Luca-Entwickler den Mitarbeitern der Gesundheitsämter den schwarzen Peter zu und verweisen auf die BSI-Empfehlungen für die Behörden. Das BSI hatte ebenfalls vor längerer Zeit vor dem Einsatz der Luca-App gewarnt. Auch eine Gruppe von 70 führenden Sicherheitsexperten hatte sich in einer gemeinsamen Stellungnahme gegen das Luca-System ausgesprochen.

Nexenio verspricht den Gesundheitsämtern verifizierte Nutzerdaten. Tatsächlich überprüft Luca nur die Telefonnummer und auch diese Prüfung lässt sich leicht umgehen. Zudem dürfen Nutzer in die Felder Vorname, Name und Adresse eingeben, was sie wollen. „Allein mehrere Tausend Datensätze mit sehr langen Nutzernamen können ein älteres Serversystem im Gesundheitsamt lahmlegen“, warnt Manuel Atug. Auch das Problem, dass sich beliebig viele Fake-Accounts und gefälschte Event-Registrierungen anlegen lassen, bleibt bestehen. Nexenio-CEO Patrick Hennig sagte, die Pandemie stelle keinen Wettlauf dar, um Systeme wie Luca zu sabotieren, und setzt auf die Vernunft der Bürger. Der Gesundheitsdezernent der Städteregion Aachen, Michael Ziemons hat andere Erfahrungen gemacht. Er sagte gegenüber Zeit Online, die Städteregion erlebe permanent Hackerangriffe – auch im Zusammenhang mit der Pandemie. „Als das Impfzentrum eröffnete, gab es eine DDoS-Attacke. Immer, wenn wir Corona-Maßnahmen in den Medien hatten, wurden unsere Systeme angegriffen.“ Ziemons erzählt von Sabotage-Anleitungen zur Luca-App in Querdenker-Foren bei Telegram.

Der entscheidende Unterschied zur Corona-Warn-App liegt darin, dass diese aus Datenschutzgründen nicht mit den Systemen der Gesundheitsämter verknüpft ist. Sie warnt ihre Nutzer unabhängig von den Ämtern, wenn es einen Positivfall etwa im selben Lokal gegeben hat, in dem sie sich zeitgleich befunden haben. Luca hingegen übermittelt Namen und Telefonnummern an die Gesundheitsämter. Das sieht die Nexenio-Führung als positives Alleinstellungsmerkmal. Mittlerweile zementiert sich allerdings der Eindruck, dass in der Praxis kaum eine Behörde die Anbindung nutzt. Sie war als Argument genommen worden, um die App für Millionen von Euro im Eilverfahren und ohne Ausschreibung anzuschaffen.

In einer Umfrage bei den beteiligten 137 Gesundheitsämtern hatten im April nur drei angegeben, das System zur Kontaktnachverfolgung je eingesetzt zu haben. In Aurich gab es zwei Abrufe, in Lübeck „mehrere“ und in Bielefeld 17. Der IT-Sicherheitsforscher Ralf Rottmann hat eine eigene Seite eingerichtet, in der man den Abruf von Trace-ID nachverfolgen kann. Das Problem: Der Zähler kann nicht zwischen Test- und Real-Läufen unterscheiden. Zudem habe Luca begonnen, gefälschte Werte unterzumischen. Damit wollen die App-Macher es erschweren, dass man die Check-Historien von Nutzer:innen und deren Identität rekonstruieren kann – eine von vielen Schwachstellen, die IT-Forscher fanden. Allerdings verraten die Luca-Verantwortlichen nicht, wie viele Fake-ID sie in das System einspeisen, monieren Kritiker.

Rottmann hat in der Vergangenheit auf ein weiteres Problem hingewiesen: Geschäfte, Cafés und Gaststätten setzen Luca ein, ohne dass die Gesundheitsämter vor Ort überhaupt eingebunden sind. Die Kontaktdaten, die sie sammeln, können im Infektionsfall gar nicht zugestellt werden, weil das jeweilige Amt nicht in der Lage ist, sie zu entschlüsseln und die Kundinnen und Kunden zu informieren. Damit fallen die Betreiber in eine rechtliche Falle: Sie erfüllen nicht die Auflagen der Corona-Schutzverordnung, die vorschreibt, die Kontaktdaten zu sammeln. Das ließe sich einfach umgehen, wenn die Postleitzahl zur Freischaltung der Geschäftsaccounts genutzt würde. Luca geht einen anderen Weg: Die App weist zwar auf die fehlende Bindung hin, fordert jedoch auf, trotzdem schon einmal eine Registrierung durchzuführen. Anschließend können die Geschäftsleute QR-Codes erstellen, ausdrucken und auslegen – für sie hat sich der Fall damit erledigt. Viele gehen davon aus, dass das System korrekt funktioniert. Mit der Verbreitung in der Gastronomie setzt der kommerzielle Anbieter zusätzlich die Behörden unter Druck – die App wird trotz eklatanter Einsprüche zum Quasi-Standard.