»Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt den Umgang der Luca-App-Betreiber mit immer wieder auftretenden Schwachstellen ihrer Anwendung.
Das BSI schätze das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein, ließ die Behörde via Twitter verlauten. In einem kurzen Thread wollte das BSI den vielen Anfragen begegnen, denen es nach eigenem Bekunden in letzter Zeit ausgesetzt ist…
BSI sieht Betreiber in der Verantwortung
Eine aktive Ausnutzung der Schwachstelle sei bislang nicht bekannt, twittert die Behörde. Generell vertrete das BSI indes die Auffassung, dass die Betreiber einer App für die Integrität der übermittelten Daten verantwortlich sind. Das bedeutet, dass die Betreiber potenziell gefährliche Feldinhalte programmlogisch hätten unterbinden müssen.
Schutzmaßnahmen Dritter hingegen stellen aus Sicht des BSI keine ausreichende Sicherheitsmaßnahme dar. Damit spielt die Behörde darauf an, dass Nutzer von Microsoft Office die Ausführung von Programmcode in der Software unterbinden können, indem sie die Berechtigung abschalten, Makros – also aufgezeichnete oder codierte Befehlsfolgen – auszuführen. Das BSI sei vielmehr der Ansicht, dass offenkundige Schwachstellen durch App-Betreiber unverzüglich und konsequent behoben werden sollten.
BSI stellt Prüfauftrag klar
Offenbar sah sich das BSI selbst einiger Kritik ausgesetzt, weil mancher annahm, dass die Möglichkeit der Code-Injection im Rahmen der Prüfung der App durch das BSI hätte auffallen müssen. Dem sei nicht so, so die Behörde.
Zunächst habe man ohnehin nur die mobile Luca-App für iOS und Android durch einen IT-Sicherheitsdienstleister nach einem Standardverfahren prüfen lassen. Derlei Tests hätten nur eine begrenzte Prüftiefe. Das Angriffs-Szenario einer Code-Injection über das Luca-System sei zu keinem Zeitpunkt Gegenstand der Prüfung gewesen. Auch habe weder der Betreiber noch sonst ein Verfahrensbeteiligter einen weitergehenden Prüfauftrag erteilt.
Das hätte etwa die Bundesverwaltung sein können. Immerhin ist das App-Testing-Portal, über das der Test der mobilen Luca-App lief, ein Angebot an die Bundesverwaltung, die Sicherheit des Einsatzes von Apps auf dienstlichen Smartphones oder anderen IT-Geräten überprüfen zu lassen.«
t3n.de (28.5.)
BSI, Datenschutz!? Lach!
Na ist schon klar, für Millionenzahlungen für die Luca-App sind die Länder zuständig, aber das Testen auf Schwachstellen überlässt man vornehm ehrenamtlich arbeitenden Bürgern.
Mit einem anonymen QR-Code, der keiner Person eindeutig zugeordnet, aber beliebig vervielfältigt und an jedem Ort der Welt benutzt werden kann, lässt sich keine zuverlässige individuelle Kontaktnachverfolgung aufbauen. Dieser grundlegende Konzeptionsfehler von Luca macht alle Diskussionen über fehlerhafte Programmierung überflüssig, da Luca am besten überhaupt nicht benutzt werden sollte.
Eine aktive Ausnutzung der Schwachstelle sei bislang nicht bekannt, twittert die Behörde.
Sind Vertragskündigungen und Bescheidwidersprüche auf Twitter demnächst auch rechtssicher?
Ähhhh, Konsequenezen für Luca-Betreiber?
Also wenn selbst das BSI warnt dann muss ja gehörig was schieflaufen, sonst hört man von denen ja eher wenn schon alles geschehen ist.
Das die Betreiber, sprich die fantastischen 4, wohl eher Dollarzeichen in den Augen hatten beim Berechnen der möglichen Lizenzeinnahmen als Interesse daran eine gute App abzuliefern ist jetzt auch keine große Überraschung. Die einen Künstler denken quer und protestieren halt und gehen damit ein Risiko ein, die anderen nutzen das lieber als Möglichkeit zum noch mehr Geldverdienen.
https://social.tchncs.de/tags/luca
https://social.tchncs.de/tags/covpass
usw.
#heiseshow: Corona-Apps – das leisten Check-In‑, Tracing- und Impfnachweis-Apps
Die Pandemie mit Technik in den Griff bekommen – dazu zählen auch Corona-Apps. Was sie können und wofür sie kritisiert werden, besprechen wir live um 12 Uhr.
10.06.2021 06:15 Uhr
Von Kristina Beer
https://youtu.be/yF-cOkkGvIw
https://www.heise.de/suche/?q=luca&sort_by=date&rm=search
Offener Brief:
Effiziente und datensparsame Kontaktnachverfolgung ermöglichen, Zwangs-Apps verhindern
An
die niedersächsische Landesregierung,
die Mitglieder der Fraktionen von
SPD
CDU
Bündnis 90/Die Grünen und
FDP
des Niedersächsischen Landtages,
den Oberbürgermeister der Stadt Braunschweig,
die Mitglieder der Fraktionen von
SPD
CDU
Bündnis 90/Die Grünen
BiBS
Die Linke
FDP und
P2
des Stadtrats der Stadt Braunschweig
und die hiesige Presse.
Braunschweig, 28.5.2021
Bereits am 8. April 2021 veröffentlichte der Treff des Chaos Computer Clubs Osnabrück einen offenen Brief [1]. In diesem Brief stellte er die Forderung nach einer Anpassung der Niedersächsischen Corona-Verordnung. Zur Zeit ist aufgrund der Corona-Verordnung die rechtskonforme Verwendung der Corona-Warn-App zur Kontaktnachverfolgung bei Veranstaltungen oder beim Shopping in Niedersachsen nicht möglich. Regionale Regelungen zu Modellprojekten sehen sogar das Verbot papiergebundener Kontaktlisten vor.
Die Ortsgruppe Braunschweig von Digitalcourage e. V. schließt sich den Forderungen des Chaos-Treffs Osnabrück an. Wir wiederholen und ergänzen die lange Liste guter Gründe:
Die Corona-Warn-App (CWA) ist sehr viel schneller. Da sie mögliche Kontaktpersonen automatisch und direkt benachrichtigt, kann sie Betroffene teils mehrere Tage früher benachrichtigen als andere Kontaktnachverfolgungs-Apps, bei denen die Gesundheitsämter zwischengeschaltet sind. Für die Pandemiebekämpfung ein unschätzbarer Vorteil, der Leben retten kann.
Der Einsatz der CWA soll die Gesundheitsämter entlasten. Da die Corona-Warn-App massenweise Falsch-Check-ins verhindert und Personen statt Gesundheitsämter warnt, können sich die Gesundheitsämter auf die Nachverfolgung relevanter Fälle konzentrieren. Das ist ein Effizienzgewinn.
Die Wirtschaft profitiert vom Einsatz der kostenlosen und unbefristeten CWA. Denn die CWA bietet ebenfalls die Möglichkeit, QR-Codes zum Check-in für Gäste und Kund.innen zu erzeugen. Und sie erlaubt ebenfalls den Nachweis von Corona-Schnelltests. Ebenfalls praktisch: Nach dem Besuch von Kund.innen/Gästen müssen Veranstalter.innen nicht wochenlang Daten zum Abruf bereithalten. Es existieren darüber hinaus bereits Anbindungen an erprobte OpenSource Ticket-Systeme wie „pretix“. Die Nutzung der Corona-Warn-App bietet der Kultur und Wirtschaft also vereinfachte Einlassverfahren bei gleichzeitig anerkannt hohem Datenschutz-Standard für Gäste und Kundschaft. Salopp gesagt: Das ist echter Bürokratieabbau dort, wo es darauf ankommt.
Für die Menschen ergibt sich mehr Komfort: Schnelltest, Kontaktnachverfolgung, Check-in in einer App. Höhere IT-Sicherheit und sogar vorbildlicher Datenschutz inklusive. Die CWA kann bereits auf über 20 Mio. Downloads verweisen.
Die CWA ist aus IT-Sicherheitssicht vertrauenswürdig. Eine hochkarätige Gruppe namhafter Forscher.innen führender Forschungseinrichtungen bescheinigte der Corona-Warn-App als Musterbeispiel eine „größtenteils vorbildiche Umsetzung“ der Entwicklungsprinzipien „Zweckbindung“, „Offenheit und Transparenz“, „Freiwilligkeit“ sowie „Risikoabwägung“ [2].
Die CWA sichert durch Dezentralität und Datensparsamkeit auch den Datenschutz der Daten von Angestellten, die beruflich gezwungen sind, eine elektronische Kontaktnachverfolgung zu nutzen oder von Gästen aus dem Ausland. Das ist leider keine Selbstverständlichkeit für andere Apps, die aus geschäftlichen Interessen auf den Markt drängen. Die CWA wird von der Landesbeauftragten für den Datenschutz ebenso zur Kontaktnachverfolgung empfohlen wie von der Bundesdatenschutzkonferenz.
Die CWA ist bereits bezahlt. Sie ist darüber hinaus in ganz Deutschland ohne separate Lizenzerwerbung in vollem Umfang und auch unbefristet nutzbar. In Sachsen wird der Einsatz der CWA auch zur Kontaktnachverfolgung nicht nur erlaubt, sondern sogar in der landesweiten Corona-Verordnung empfohlen. Sie ist ebenfalls in Teilen des europäischen Auslands nutzbar.
Wir fordern Sie auf:
Ermöglichen Sie auf Landesebene die Verwendung der Corona-Warn-App zur digitalen Kontaktnachverfolgung bei Veranstaltungen und in Geschäften—passen Sie die Bestimmung zu Datenerhebung und Dokumentation in der niedersächsischen Corona-Verordnung (insbes. § 5) an! Erlauben Sie pseudonymisierte Kontaktlisten und bestehen Sie nicht auf den Umweg der Benachrichtigung über die Gesundheitsämter! Bedenken Sie, dass die Gesundheitsämter mit der Datenauswertung und den Benchrichtigungen bereits jetzt überfordert sind.
Halten Sie auf kommunaler Ebene wenigstens die Möglichkeit offen, neben anderen Verfahren auch die Corona-Warn-App zur Kontaktnachverfolgung zu nutzen! Vermeiden Sie den Zwang zur Nutzung von Apps mit zentraler Kontaktdatenspeicherung. Nutzen Sie als Kommunalpolitiker.innen die neuen Freiheiten, die Ihnen die Landesregelung diesbezüglich bietet! Dies betrifft insbesondere kommunale Verordnungen zu Modellprojekten.
Für einen konstruktiven Austausch zum Thema und für Rückfragen stehen wir selbstverständlich gern zur Verfügung.
Mit freundlichen Grüßen
Digitalcourage e. V., Ortsgruppe Braunschweig
https://digitalcourage.de/braunschweig
https://digitalcourage.de/blog/2021/braunschweig-offener-brief-fuer-effiziente-datensparsame-kontaktverfolgung