Imageverlust Luca-App: Was bedeutet die gefundene Sicherheitslücke für die Zukunft des Luca-Systems?
von Svenja Koch
Seit März 2021 ist die Luca-App verfügbar. Mit dieser App ist durch eine Registrierung von Aufenthaltsorten eine Kontaktnachverfolgung im Falle einer Infizierung mit COVID-19 möglich. Die Bundesregierung favorisierte ein digitales System, da dies eine lückenlose Informationsübergabe ohne Zeitverzögerung erlaubt. So besitzt die Luca-App auch eine Anbindung an die Gesundheitsämter. Nun hat eine Gruppe mit der Bezeichnung LucaTrack eine gravierende Sicherheitslücke in der App entdeckt und öffentlich gemacht. Was bedeutet das für Nutzer der Anwendung und inwieweit droht durch Ausnutzung der Sicherheitslücke ein Datenmissbrauch?
Die Ziele der Luca-App
Die Luca-App funktioniert nach dem Prinzip der Überschneidung von Daten. Die App wird auf einem Smartphone installiert. Der Nutzer meldet sich mit seinen persönlichen Daten und der Mobilfunknummer an. Auf Basis dessen erstellt die Luca-App einen QR-Code. Dieser dient als eindeutiges und individuelles Identifizierungsmerkmal. Für Personen ohne Smartphone gibt es einen Schlüsselanhänger. Dieser besitzt bereits einen QR-Code, so dass eine zusätzliche Erstellung über die App entfällt.
Die Funktionsweise des Schlüsselanhängers unterscheidet sich von der App. Der Besitzer eines solchen Anhängers registriert sich separat mithilfe einer Seriennummer, die auf dem Schlüsselanhänger zu finden ist. Dabei hinterlegt der Eigentümer seinen Namen und seine Telefonnummer. Auf diese Weise ist der vorgedruckte QR-Code mit einer bestimmten Person verbunden.
Betritt eine Person mit dem so preparierten Schlüsselbund eine Lokalität, wie etwa einen Friseur oder eine Sportveranstaltung, registriert ein System vor Ort die Person. Die Anwendung speichert den Ort sowie die Uhrzeit in einem Kontakttagebuch. Bei der Luca-App erfolgt die Speicherung lokal auf dem Smartphone, die Informationen des Schlüsselanhängers übermittelt das System an einen zentralen Server des Betreibers. Wird nun eine Person, die die Luca-Plattform nutzt, positiv auf das Coronavirus getestet, erfolgt ein Kontaktabgleich über die Datenbank, wenn die betroffene Person sein Kontaktdatenbuch mit dem Gesundheitsamt teilt. So wird ein Abgleich möglich, wann die infizierte Person wo mit anderen Menschen Kontakt hatte, die ebenfalls die Luca-App nutzen und sich am selben Zeitpunkt am gleichen Ort aufgehalten haben.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Durch die Anbindung an die Gesundheitsämter ist über das System also eine Kontaktnachverfolgung möglich. So kann das Gesundheitsamt potenziell infizierte Personen finden und diese direkt kontaktieren. Die sich daran anschließenden Schritte bestehen aus der Durchführung eines Coronatests beziehungsweise der Aufforderung durch das Gesundheitsamt, dass sich die betroffene Person vorsorglich in Quarantäne begeben möge. Somit ist eine Isolierung möglich, bevor von der möglicherweise infizierten Person selbst ein Infektionsrisiko ausgeht. Auf diese Weise unterstützt die App die Gesundheitsbehörden bei den Bemühungen zur Unterbrechung der Covid-19 Infektionskette.
Die Sicherheitslücke der Luca-App
Die Sicherheitslücke der Luca-Plattform bezieht sich auf den QR-Code. Die Gruppe um LucaTrack hatte rausgefunden, dass ein Foto des QR-Codes ausreicht, um sich Zugang zu den gespeicherten Daten des Kontakttagebuchs zu verschaffen. Hinter dem Team LucaTrack stehen unter anderem Bianca Kastl und Tobias Ravenstein, die ihre IT Security Erfahrungen in diesen Bereich eingebracht haben. Laut Team LucaTrack betrifft die Lücke jedoch nur die Schlüsselanhänger, da diese Daten extern und zentral auf einem Server gespeichert sind. Bei der Luca-App, die auf einem Smartphone installiert ist, existiert diese Sicherheitslücke hingegen nicht, weil die Daten lokal auf dem Mobiltelefon verbleiben.
Mit dem Foto des QR-Codes war es möglich, sich Zugang zur Software von Luca zu verschaffen. Tobias Ravenstein vom Team LucaTrack gab an, dass minimale Kenntnisse im Bereich der Programmierung ausreichten, um die IT Sicherheit des Systems auszuhebeln. Dies gibt auch den Weg zu den gespeicherten Informationen im Kontakttagebuch frei. Somit hat jeder, der es schafft, den QR-Code einer Person zu fotografieren, potenziell Zugriff auf die Bewegungsinformationen dieser Person. Die Anwendung speichert alle Interaktionen mit der App innerhalb der letzten 30 Tage, was bereits kritisch im Hinblick auf den Datenschutz ist. Zu den gespeicherten Informationen gehört der Ort, an dem der QR-Code gescannt wurde, sowie der Zeitpunkt. Ebenfalls ist eine Information über die Art der Veranstaltung oder den Ort, der besucht wurde, gespeichert. Da sich der QR-Code auch nicht ändern lässt, bleibt der Zugriff bestehen. So haben Angreifer die Möglichkeit, Bewegungen einer Person sogar in Echtzeit zu tracken.
Konsequenzen und weitere Gefahren – das sagen Experten über die IT Security der App
Potenziell sind etwa Hunderttausend Nutzer von der Luca-Sicherheitslücke betroffen, denn diese Anzahl an Schlüsselanhängern ist zum Zeitpunkt des Bekanntwerdens der Lücke im Umlauf. Das Scannen des QR-Codes ist ein alltäglicher Vorgang, der beispielsweise bei jeder Authentifizierung in einem Laden durchgeführt wird. In diesem Moment hat der Ladenbesitzer die Möglichkeit, den QR-Code dieser Person zu speichern. Darüber ist es - mit etwas krimineller Energie - dann möglich, Zugang zu dem Kontakttagebuch der betreffenden Person zu erhalten.
Dieser einfache Zugang erhöht die Gefahr der Sicherheitslücke, da selbst bei vorsichtigem Umgang mit dem Luca-Schlüsselanhänger der eigene Datenschutz nicht gewährleistet ist. Die vergleichsweise leichte Nutzbarkeit öffnet den Weg für einen potenziellen Datenmissbrauch. Dies betrifft auch Stalker und andere Personen, die gezielt einen Menschen auswählen. Es reicht aus, in einem unbeobachteten Moment ein Foto des QR-Codes zu machen, um so die Sicherheitslücke auszunutzen. In einem solchen Fall ist dann auch eine personenbezogene Identifizierung möglich, da der Inhaber des Luca-Schlüsselanhängers bekannt ist. Gleiches gilt auch für Besitzer von Einrichtungen, wo sich Besucher scannen. Oftmals haben die Eigentümer und Organisatoren Zugang zu persönlichen Informationen des Kunden, wie etwa dem Namen oder der Adresse. Über die Sicherheitslücke selbst ist nämlich laut dem Team LucaTrack ein Zugriff auf die persönlichen Informationen nicht möglich.
Diese Sicherheitslücke in der App ist auch in anderer Hinsicht kritisch. Wie oben ausgeführt, sind die persönlichen Informationen durch die systembedingte Lücke in der IT Security ungeschützt, somit ist ein 100%er Datenschutz nicht gewährleistet. Selbst Ermittlungsbehörden stehen damit Daten offen, die sie sonst nicht ohne Weiteres erhalten würden. Auch diesen Punkt sprach Tobias Ravenstein in seiner Analyse der Sicherheitslücke an. So kam bereits ein Vorstoß der CDU-Fraktion des Landes Baden-Württemberg, Teilnehmer von Demonstrationen über die Luca-App zu registrieren. In Kombination mit der bekannten Sicherheitslücke des Systems haben die Polizeibehörden dann die Möglichkeit, die genaue Identität von Teilnehmern solcher Veranstaltungen festzustellen.
Der persönliche Datenschutz ist durch solche Lücken noch auf anderen Ebenen bedroht. Beispielsweise steht Unbefugten ein Profil der Luca-Nutzer zur Verfügung, das persönliche Interessen und Mitgliedschaften offenbart. Dieses Profil entsteht durch die Analyse der besuchten Orte. Dies können auch beispielsweise der Besuch bestimmter religiöser Veranstaltungen, politischer Treffen oder sogar von Selbsthilfegruppen sein. Auf diese Weise ist ein direkter Datenmissbrauch möglich, der zu Erpressungen oder ähnlichen kriminellen Aktivitäten führen kann. Laut Entwickler der Luca-App ist die Möglichkeit, die Kontakthistorie über das Internet abzurufen, inzwischen abgeschaltet, um so einen Datenmissbrauch zu verhindern.
Das hält jedoch verschiedene Gruppe nicht davon ab, weiterhin vor der Nutzung der Plattform zu warnen. Der CCC (Chaos Computer Club), der seit Jahrzehnten für seine Aktivitäten im Bereich der IT Security bekannt ist, forderte einen sofortigen Stopp der Luca-Plattform. Der CCC spricht vor allem die eklatanten Schwächen des Systems an, die innerhalb kürzester Zeit durch die Sicherheitslücke der Schlüsselanhänger sichtbar wurden. Laut einem Sprecher des Chaos Computer Clubs deutet dies darauf hin, dass dem Entwickler das Verständnis für die Grundlagen der IT Security fehlt. Eine solche Plattform ist dementsprechend ungeeignet für das bundesweite Tracking von Nutzer- und Bewegungsdaten.
Ähnliche Forderungen und Bedenken kommen auch von dem Team LucaTrack, das die Lücke in der IT Security aufdeckte. Wie auch der CCC weist LucaTrack vor allem auf weitere Schwachstellen und potenzielle Gefahren der Plattform hin. In puncto Datenschutz kritisieren die Experten aus dem Bereich der IT Security vor allem die zentrale Speicherung von Nutzerdaten. Auch eine Gruppe von Forscherinnen und Forschern aus der Schweiz bemängelt diesen Punkt. Die Speicherung aller Nutzerdaten auf einem zentralen Server birgt laut den Experten ein großes Sicherheitsrisiko. Gelingt es Kriminellen, die IT Security dieses Servers zu überwinden, sind alle gespeicherten Nutzerdaten ungeschützt. Dies beinhaltet die besuchten Orte der letzten 30 Tage sowie die persönlichen Kontaktinformationen. Bei der Menge an Personen, die inzwischen die Luca-Plattform nutzen und der hohen Verbreitung bei Veranstaltungen, stellt dieses Szenario eine grobe Verletzung des Datenschutzes dar.
Geofencing - was hat es damit auf sich?
Die Plattform steht außerdem wegen einer weiteren Funktion in der Kritik, dem sogenannten Geofencing*. Auch hier steht der Datenschutz im Fokus, den die App teilweise ohne das Wissen des Nutzers unterwandert. Die App ist in der Lage, den Nutzer automatisch an einer bestimmten Veranstaltung abzumelden. Für die Kontaktnachverfolgung ist der Zeitraum, an dem sich eine Person an einem bestimmten Ort aufgehalten hat, interessant. Durch das Geofencing nimmt die App automatisch eine Abmeldung vor, sobald der Nutzer den Bereich verlässt. Für diese Funktion ist jedoch eine laufende Positionserfassung notwendig. Experten des Datenschutzes sehen diese Eigenschaft kritisch, da zumindest theoretisch eine Ortsüberwachung der Nutzer in Echtzeit möglich ist. Dieses Geofencing ist bei der iOS-Version von Luca automatisch aktiviert. Android hingegen bietet diese Funktion nicht, sodass Nutzer hier einen höheren Datenschutz haben.
*Bei dem Begriff Geofencing dreht sich alles um die Beziehung zwischen der Position eines mobilen Geräts und einem vorbestimmten Ort. Verlässt oder betritt dieses Objekt das vorher von einem Empfänger definierte Gebiet, wird eine Aktion ausgelöst. Ermittelt wird die Position beispielsweise durch GPS, RFID-Systeme oder Mobilfunk- und WLAN-Netze. Man kann sich einen solchen „Geozaun“ als eine unsichtbare digitale Grenze vorstellen, die bei Überquerung Geräte im eigenen Bereich registriert und aufzeichnet.
Fazit zur Sicherheitslücke in der Luca-App
Eine Plattform wie Luca, die für die breite Kontrolle von Kontakten und Bewegungsinformationen konzipiert ist, muss selbstverständlich höchste sicherheitstechnische und datenschutzrechtliche Anforderungen erfüllen. Die aufgedeckte Sicherheitslücke zeigt erneut, welchen Gefahren digitale Systeme im Alltag ausgesetzt sind. Besonders die zentrale Speicherung von personenbezogenen Informationen sorgt schnell für Situationen, in denen ein Datenmissbrauch möglich ist. Denn die Hacker von heute sind kreativ und versiert. Dementsprechend erkennen sie Schwachstellen in der IT Security von Systemen sehr schnell und nutzen diese für ihre Zwecke. Aus diesem Grund darf es bei Plattformen wie Luca in Bezug auf den Datenschutz sowie die IT Security keine Kompromisse geben.
Haben Sie Fragen zum Schutz Ihrer personenbezogenen Daten oder anderen IT Security Themen?
Kontaktieren Sie unsere Experten - wir beraten Sie gerne!
Zum Thema passende Artikel
Das vergangene Jahr 2022 lässt sich knapp umschreiben: wenig vorhersehbar. Eine herausfordernde Wirtschaftslage, politische Umwälzungen, die mit sich rapide ändernden Rahmenbedingungen einhergehen, Inflation, Fachkräftemangel und steigende Energiepreise haben zu einem nicht gekannten Unsicherheitsgefühl geführt, dessen Auswirkungen auch in der IT Security Branche deutlich zu spüren sind. Wo werden in den nächsten 12 Monaten die zentralen Herausforderungen liegen? Wir haben uns hierzu einige Gedanken gemacht und diese anhand der folgenden 9 Punkte zusammengefasst, denn eines ist schon jetzt absehbar: Die Gefahrenlage bleibt hoch und wird sich in 2023 weiter verschärfen.
Weiterlesen … IT Security Ausblick 2023: Zeiten der Unsicherheit, 9 Prognosen
QR-Codes gibt es bereits seit fast 30 Jahren. Heute scannen wir die viereckigen Codes ganz selbstverständlich mit unserem Smartphone, um Bankaufträge freizugeben, einen digitalen Impfnachweis zu erstellen oder Gutscheine abzurufen. Da QR-Codes jedoch auch von Cyberkriminellen für betrügerische Zwecke genutzt werden, sollten Sie den kleinen Quadraten nicht grenzenlos vertrauen. Vorsicht ist vor allem dann geboten, wenn Sie einen QR-Code per E-Mail erhalten: Dahinter könnte sich ein raffinierter Phishing-Angriff verstecken. Wir zeigen Ihnen, wie Sie Quishing-Attacken erkennen und sich vor ihnen schützen können.
Weiterlesen … Vorsicht, Quishing: Kriminelle nutzen QR-Codes für Phishing-Attacken