Besucherverläufe einsehbar
Die nun entdeckte Schwachstelle betrifft Hunderttausende von Luca-Schlüsselanhängern. Damit sollen sich Menschen registrieren können, die kein Smartphone besitzen. Doch die Anhänger weisen ein massives Datenschutz-Problem auf: Jeder, der den QR-Code scannt, hat Einblick in die gesamte Historie bisher besuchter Örtlichkeiten. Und: Er oder sie kann diesen gescannten Code künftig nutzen, um unter fremdem Namen einzuchecken. Und dabei handelt es sich nur um das jüngste in einer Reihe von Software-Problemen. So sind Entwickler jederzeit in der Lage, einzelne Geräte zu identifizieren und einem Besuchsverlauf zuzuordnen. Nutzer wiederum können problemlos Fake Accounts anlegen und sich damit einloggen. Vor Ort sein müssen sie dabei nicht; es reicht der Scan eines abfotografierten QR-Codes.
Handwerkliche Fehler und Schwachstellen
Ein weiteres Privacy-Problem sieht der CCC in der zentralen Speicherung sämtlicher Daten beim Betreiber. IT-Security-Experten hätten schon frühzeitig verschiedenste Missbrauchsmöglichkeiten dieses Ansatzes aufgezeigt. Dennoch hätten bereits mehrere Landespolitiker Ein-Jahres-Lizenzen für die App erworben, unter anderem Bayern, Baden-Württemberg, Niedersachsen und Berlin. Insgesamt seien bisher über 20 Millionen Euro an Steuergeldern in die Nutzung der Anwendung investiert worden. Dabei verblieben Daten, App und Infrastruktur nach dieser Zeit im Besitz der Betreiber, eines privatwirtschaftlichen Unternehmens. Das plane schon jetzt weitere Einnahmequellen für die Zukunft. So solle „Luca“ an Eintrittskarten- und Reservierungssysteme oder in das Besuchermanagement von Veranstaltungen eingebunden werden.
Ein Rapper als IT-Experte
Dass die App trotz bekannter Probleme öffentlichen Zuspruch findet, liegt nach Meinung von CCC-Sprecher Linus Neumann vor allem am Marketing von Unternehmens-Teilhaber Smudo. Das habe auch dazu beigetragen, dass Politiker auf normalerweise vorgeschriebene Ausschreibungen verzichtet hätten. Dabei gebe es an die 30 weitere Projekte, die vergleichbare Leistungen im Angebot hätten. Nicht zuletzt solle auch die datensparsame Corona-App mit dem nächsten Update eine Kontaktverfolgungsfunktion erhalten.
Fazit
Millionen Steuergelder sind bereits in eine handwerklich schlecht gemachte App geflossen, so die IT-Experten vom Chaos Computer Club. Nun müsse die „Notbremse“ gezogen werden. Der Bundesrechnungshof solle umgehend die Vergabepraktiken prüfen. Schließlich gehe es um hochsensible Gesundheits- und Bewegungsdaten. Die dürften nicht mit einer ungeprüften Software auf Kosten der Steuerzahler verarbeitet werden.
Alles, was Sie wissen müssen
Report absenden