BSI kritisiert Luca-App wegen „offenkundiger“ Schwachstelle

»Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemän­gelt den Umgang der Luca-App-Betreiber mit immer wie­der auf­tre­ten­den Schwachstellen ihrer Anwendung.

Das BSI schät­ze das Angriffs-Szenario einer Code-Injection über das Luca-System abhän­gig von der kon­kre­ten Einsatzumgebung als plau­si­bel ein, ließ die Behörde via Twitter ver­lau­ten. In einem kur­zen Thread woll­te das BSI den vie­len Anfragen begeg­nen, denen es nach eige­nem Bekunden in letz­ter Zeit aus­ge­setzt ist…

BSI sieht Betreiber in der Verantwortung

Eine akti­ve Ausnutzung der Schwachstelle sei bis­lang nicht bekannt, twit­tert die Behörde. Generell ver­tre­te das BSI indes die Auffassung, dass die Betreiber einer App für die Integrität der über­mit­tel­ten Daten ver­ant­wort­lich sind. Das bedeu­tet, dass die Betreiber poten­zi­ell gefähr­li­che Feldinhalte pro­gramm­lo­gisch hät­ten unter­bin­den müssen.

Schutzmaßnahmen Dritter hin­ge­gen stel­len aus Sicht des BSI kei­ne aus­rei­chen­de Sicherheitsmaßnahme dar. Damit spielt die Behörde dar­auf an, dass Nutzer von Microsoft Office die Ausführung von Programmcode in der Software unter­bin­den kön­nen, indem sie die Berechtigung abschal­ten, Makros – also auf­ge­zeich­ne­te oder codier­te Befehlsfolgen – aus­zu­füh­ren. Das BSI sei viel­mehr der Ansicht, dass offen­kun­di­ge Schwachstellen durch App-Betreiber unver­züg­lich und kon­se­quent beho­ben wer­den sollten.

BSI stellt Prüfauftrag klar

Offenbar sah sich das BSI selbst eini­ger Kritik aus­ge­setzt, weil man­cher annahm, dass die Möglichkeit der Code-Injection im Rahmen der Prüfung der App durch das BSI hät­te auf­fal­len müs­sen. Dem sei nicht so, so die Behörde.

Zunächst habe man ohne­hin nur die mobi­le Luca-App für iOS und Android durch einen IT-Sicherheitsdienstleister nach einem Standardverfahren prü­fen las­sen. Derlei Tests hät­ten nur eine begrenz­te Prüftiefe. Das Angriffs-Szenario einer Code-Injection über das Luca-System sei zu kei­nem Zeitpunkt Gegenstand der Prüfung gewe­sen. Auch habe weder der Betreiber noch sonst ein Verfahrensbeteiligter einen wei­ter­ge­hen­den Prüfauftrag erteilt.

Das hät­te etwa die Bundesverwaltung sein kön­nen. Immerhin ist das App-Testing-Portal, über das der Test der mobi­len Luca-App lief, ein Angebot an die Bundesverwaltung, die Sicherheit des Einsatzes von Apps auf dienst­li­chen Smartphones oder ande­ren IT-Geräten über­prü­fen zu las­sen.«
t3n​.de (28.5.)

8 Antworten auf „BSI kritisiert Luca-App wegen „offenkundiger“ Schwachstelle“

  1. Na ist schon klar, für Millionenzahlungen für die Luca-App sind die Länder zustän­dig, aber das Testen auf Schwachstellen über­lässt man vor­nehm ehren­amt­lich arbei­ten­den Bürgern.

  2. Mit einem anony­men QR-Code, der kei­ner Person ein­deu­tig zuge­ord­net, aber belie­big ver­viel­fäl­tigt und an jedem Ort der Welt benutzt wer­den kann, lässt sich kei­ne zuver­läs­si­ge indi­vi­du­el­le Kontaktnachverfolgung auf­bau­en. Dieser grund­le­gen­de Konzeptionsfehler von Luca macht alle Diskussionen über feh­ler­haf­te Programmierung über­flüs­sig, da Luca am besten über­haupt nicht benutzt wer­den sollte.

  3. Eine akti­ve Ausnutzung der Schwachstelle sei bis­lang nicht bekannt, twit­tert die Behörde. 

    Sind Vertragskündigungen und Bescheidwidersprüche auf Twitter dem­nächst auch rechtssicher?

  4. Also wenn selbst das BSI warnt dann muss ja gehö­rig was schief­lau­fen, sonst hört man von denen ja eher wenn schon alles gesche­hen ist.
    Das die Betreiber, sprich die fan­ta­sti­schen 4, wohl eher Dollarzeichen in den Augen hat­ten beim Berechnen der mög­li­chen Lizenzeinnahmen als Interesse dar­an eine gute App abzu­lie­fern ist jetzt auch kei­ne gro­ße Überraschung. Die einen Künstler den­ken quer und pro­te­stie­ren halt und gehen damit ein Risiko ein, die ande­ren nut­zen das lie­ber als Möglichkeit zum noch mehr Geldverdienen.

  5. https://​social​.tchncs​.de/​t​a​g​s​/​l​uca

    https://​social​.tchncs​.de/​t​a​g​s​/​c​o​v​p​ass
    usw.

    #hei­se­show: Corona-Apps – das lei­sten Check-In‑, Tracing- und Impfnachweis-Apps
    Die Pandemie mit Technik in den Griff bekom­men – dazu zäh­len auch Corona-Apps. Was sie kön­nen und wofür sie kri­ti­siert wer­den, bespre­chen wir live um 12 Uhr.
    10.06.2021 06:15 Uhr
    Von Kristina Beer

    https://​you​tu​.be/​y​F​-​c​O​k​k​G​vIw
    https://​www​.hei​se​.de/​s​u​c​h​e​/​?​q​=​l​u​c​a​&​s​o​r​t​_​b​y​=​d​a​t​e​&​r​m​=​s​e​a​rch

  6. Offener Brief:
    Effiziente und daten­spar­sa­me Kontaktnachverfolgung ermög­li­chen, Zwangs-Apps verhindern

    An
    die nie­der­säch­si­sche Landesregierung,
    die Mitglieder der Fraktionen von
    SPD
    CDU
    Bündnis 90/Die Grünen und
    FDP
    des Niedersächsischen Landtages,
    den Oberbürgermeister der Stadt Braunschweig,
    die Mitglieder der Fraktionen von
    SPD
    CDU
    Bündnis 90/Die Grünen
    BiBS
    Die Linke
    FDP und
    P2
    des Stadtrats der Stadt Braunschweig
    und die hie­si­ge Presse.

    Braunschweig, 28.5.2021

    Bereits am 8. April 2021 ver­öf­fent­lich­te der Treff des Chaos Computer Clubs Osnabrück einen offe­nen Brief [1]. In die­sem Brief stell­te er die Forderung nach einer Anpassung der Niedersächsischen Corona-Verordnung. Zur Zeit ist auf­grund der Corona-Verordnung die rechts­kon­for­me Verwendung der Corona-Warn-App zur Kontaktnachverfolgung bei Veranstaltungen oder beim Shopping in Niedersachsen nicht mög­lich. Regionale Regelungen zu Modellprojekten sehen sogar das Verbot papier­ge­bun­de­ner Kontaktlisten vor.

    Die Ortsgruppe Braunschweig von Digitalcourage e. V. schließt sich den Forderungen des Chaos-Treffs Osnabrück an. Wir wie­der­ho­len und ergän­zen die lan­ge Liste guter Gründe:

    Die Corona-Warn-App (CWA) ist sehr viel schnel­ler. Da sie mög­li­che Kontaktpersonen auto­ma­tisch und direkt benach­rich­tigt, kann sie Betroffene teils meh­re­re Tage frü­her benach­rich­ti­gen als ande­re Kontaktnachverfolgungs-Apps, bei denen die Gesundheitsämter zwi­schen­ge­schal­tet sind. Für die Pandemiebekämpfung ein unschätz­ba­rer Vorteil, der Leben ret­ten kann.

    Der Einsatz der CWA soll die Gesundheitsämter ent­la­sten. Da die Corona-Warn-App mas­sen­wei­se Falsch-Check-ins ver­hin­dert und Personen statt Gesundheitsämter warnt, kön­nen sich die Gesundheitsämter auf die Nachverfolgung rele­van­ter Fälle kon­zen­trie­ren. Das ist ein Effizienzgewinn.

    Die Wirtschaft pro­fi­tiert vom Einsatz der kosten­lo­sen und unbe­fri­ste­ten CWA. Denn die CWA bie­tet eben­falls die Möglichkeit, QR-Codes zum Check-in für Gäste und Kund.innen zu erzeu­gen. Und sie erlaubt eben­falls den Nachweis von Corona-Schnelltests. Ebenfalls prak­tisch: Nach dem Besuch von Kund.innen/Gästen müs­sen Veranstalter.innen nicht wochen­lang Daten zum Abruf bereit­hal­ten. Es exi­stie­ren dar­über hin­aus bereits Anbindungen an erprob­te OpenSource Ticket-Systeme wie „pre­tix“. Die Nutzung der Corona-Warn-App bie­tet der Kultur und Wirtschaft also ver­ein­fach­te Einlassverfahren bei gleich­zei­tig aner­kannt hohem Datenschutz-Standard für Gäste und Kundschaft. Salopp gesagt: Das ist ech­ter Bürokratieabbau dort, wo es dar­auf ankommt.

    Für die Menschen ergibt sich mehr Komfort: Schnelltest, Kontaktnachverfolgung, Check-in in einer App. Höhere IT-Sicherheit und sogar vor­bild­li­cher Datenschutz inklu­si­ve. Die CWA kann bereits auf über 20 Mio. Downloads verweisen.

    Die CWA ist aus IT-Sicherheitssicht ver­trau­ens­wür­dig. Eine hoch­ka­rä­ti­ge Gruppe nam­haf­ter Forscher.innen füh­ren­der Forschungseinrichtungen beschei­nig­te der Corona-Warn-App als Musterbeispiel eine „größ­ten­teils vor­bil­diche Umsetzung“ der Entwicklungsprinzipien „Zweckbindung“, „Offenheit und Transparenz“, „Freiwilligkeit“ sowie „Risikoabwägung“ [2].

    Die CWA sichert durch Dezentralität und Datensparsamkeit auch den Datenschutz der Daten von Angestellten, die beruf­lich gezwun­gen sind, eine elek­tro­ni­sche Kontaktnachverfolgung zu nut­zen oder von Gästen aus dem Ausland. Das ist lei­der kei­ne Selbstverständlichkeit für ande­re Apps, die aus geschäft­li­chen Interessen auf den Markt drän­gen. Die CWA wird von der Landesbeauftragten für den Datenschutz eben­so zur Kontaktnachverfolgung emp­foh­len wie von der Bundesdatenschutzkonferenz.

    Die CWA ist bereits bezahlt. Sie ist dar­über hin­aus in ganz Deutschland ohne sepa­ra­te Lizenzerwerbung in vol­lem Umfang und auch unbe­fri­stet nutz­bar. In Sachsen wird der Einsatz der CWA auch zur Kontaktnachverfolgung nicht nur erlaubt, son­dern sogar in der lan­des­wei­ten Corona-Verordnung emp­foh­len. Sie ist eben­falls in Teilen des euro­päi­schen Auslands nutzbar.

    Wir for­dern Sie auf:

    Ermöglichen Sie auf Landesebene die Verwendung der Corona-Warn-App zur digi­ta­len Kontaktnachverfolgung bei Veranstaltungen und in Geschäften—passen Sie die Bestimmung zu Datenerhebung und Dokumentation in der nie­der­säch­si­schen Corona-Verordnung (ins­bes. § 5) an! Erlauben Sie pseud­ony­mi­sier­te Kontaktlisten und bestehen Sie nicht auf den Umweg der Benachrichtigung über die Gesundheitsämter! Bedenken Sie, dass die Gesundheitsämter mit der Datenauswertung und den Benchrichtigungen bereits jetzt über­for­dert sind.

    Halten Sie auf kom­mu­na­ler Ebene wenig­stens die Möglichkeit offen, neben ande­ren Verfahren auch die Corona-Warn-App zur Kontaktnachverfolgung zu nut­zen! Vermeiden Sie den Zwang zur Nutzung von Apps mit zen­tra­ler Kontaktdatenspeicherung. Nutzen Sie als Kommunalpolitiker.innen die neu­en Freiheiten, die Ihnen die Landesregelung dies­be­züg­lich bie­tet! Dies betrifft ins­be­son­de­re kom­mu­na­le Verordnungen zu Modellprojekten.

    Für einen kon­struk­ti­ven Austausch zum Thema und für Rückfragen ste­hen wir selbst­ver­ständ­lich gern zur Verfügung.

    Mit freund­li­chen Grüßen
    Digitalcourage e. V., Ortsgruppe Braunschweig
    https://​digi​tal​cou​ra​ge​.de/​b​r​a​u​n​s​c​h​w​eig

    https://​digi​tal​cou​ra​ge​.de/​b​l​o​g​/​2​0​2​1​/​b​r​a​u​n​s​c​h​w​e​i​g​-​o​f​f​e​n​e​r​-​b​r​i​e​f​-​f​u​e​r​-​e​f​f​i​z​i​e​n​t​e​-​d​a​t​e​n​s​p​a​r​s​a​m​e​-​k​o​n​t​a​k​t​v​e​r​f​o​l​g​ung

Schreibe einen Kommentar zu MB Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert