Von Philipp Bovermann und Jannis Brühl

Die App Luca soll die Gesundheitsämter bei der Nachverfolgung von Kontakten unterstützen, sobald das öffentliche Leben wieder anläuft - als digitale Alternative zu den Zetteln, die Gäste sonst für Gastronomen ausfüllen müssen. Aber sie kann wohl nicht nur den Behörden beim Tracking helfen. Die IT-Experten Bianca Kastl und Tobias Ravenstein schildern gemeinsam mit anderen Fachleuten in einem Bericht, der der SZ vorliegt, wie Unbefugte die Bewegungshistorie anderer Nutzer auslesen können: also welche Veranstaltungen diese Nutzer wann besucht haben. Die Sicherheitslücke haben sie "LucaTrack" getauft. Sie soll den Machern von Luca zufolge mittlerweile geschlossen sein.

Die Schwachstelle sind die Schlüsselanhänger, die die Macher der Luca-App herausgeben. Mit den Anhängern können sich Menschen auch ohne Smartphone bei Veranstaltungen als Besucher registrieren und dabei automatisch ihre Kontaktdaten hinterlegen. 14 000 von ihnen sind den Luca-Machern zufolge im Umlauf. Auf den Schlüsselanhängern befindet sich ein QR-Code, der sozusagen der Fingerabdruck des Nutzers sein soll. Wenn der Gastgeber ihn scannt, werden Daten übermittelt.

Wo die Person wann eingecheckt war, ließ sich dem "Team LucaTrack" zufolge ohne spezielle Software und mit IT-Kenntnissen sichtbar machen, die dem "ersten Jahr Ausbildung als Anwendungsentwickler" entsprechen. Um herauszufinden, wo sich der Besitzer des Schlüsselanhängers in der Vergangenheit über die App als Besucher registriert hat, sei lediglich ein Bild vom QR-Code seines Anhängers nötig. Die Sicherheitsexperten empfehlen: "Alle Schlüsselanhänger, die von der Sicherheitslücke betroffen sind, sind fachgerecht zu entsorgen."

Die Firma Nexenio, die Luca entwickelt, hat die Sicherheitslücke bestätigt. "Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung", schreibt das Unternehmen in einer Stellungnahme. Ein Sprecher rät im Gegensatz zum Team von Kastl und Ravenstein dringend davon ab, die Anhänger wegzuwerfen. Die Nutzer sollten vielmehr gut auf ihre QR-Codes aufpassen. Nexenios rät, sie "nur zum Check-in in dafür vorgesehenen Betrieben zu verwenden und kein Foto des eigenen, individuellen Schlüsselanhängers im Internet zu veröffentlichen". Ist also doch noch nicht alles in Ordnung mit den Schlüsselanhängern?

Wer den Code einer fremden Person besitze, könne sich damit nach wie vor unter falschem Namen bei Veranstaltungen als Gast registrieren, erläutert ein Sprecher des Unternehmens. Man solle den Code daher "in der gegenwärtigen Euphorie über Luca" nicht etwa auf Instagram posten, wie es nun verschiedentlich geschehe. "Ich würde ja auch nicht meine Telefonnummer posten - und ein anderer trägt sich in der Kneipe damit in der Kontaktliste ein."

12 Bundesländer haben wohl mindestens 20 Millionen Euro ausgegeben, um Luca zu nutzen. Die Zahlen hat netzpolitik.org zusammengetragen. Und das, obwohl an einer ähnlichen Funktion bereits für die Corona-Warn-App des Bundes gearbeitet wird, die schon auf 25 Millionen Handys installiert ist. Diese Funktion wird allerdings nicht an die Gesundheitsämter angeschlossen werden.

Fachleute kritisieren die Sicherheit von Luca seit längerem, vor allem, weil die App Daten zentral speichert. Das ermögliche es demjenigen, der Zugang auf das System habe, Einzelne zu überwachen: Wohin sie gingen, wer noch auf diesen Veranstaltungen sei. Das betreffe unter Umständen auch sensible Bereiche wie politische Versammlungen.

Dabei gibt es technische Möglichkeiten, alle Informationen über Nutzer nur auf deren Handys zu erfassen. Solche dezentralen Lösungen zerstäuben das Risiko praktisch in alle Richtungen, so dass es überhaupt keinen Punkt mehr gibt, an dem eine Person oder Organisation alle Daten auf einmal abgreifen kann.

Am Wochenende irritierte Luca zudem die Mitarbeiter von mindestens zwei Bundestagsabgeordneten. Mitten in der Nacht wurden sie mehrfach vom System hinter der App automatisiert angerufen, eine Roboterstimme gab ihnen die Tan-Nummer durch, die Nutzer zur Registrierung in der App brauchen. Nur hatten die Angerufenen sich gar nicht in der App registriert. Irgendwer hatte den unerwünschten Nebeneffekt der App genutzt, von dem zuvor schon der Chaos Computer Club gewarnt hatte: Das Tan-Feature lässt sich missbrauchen, indem man Listen mit fremden Nummern in das System lädt, um die Anschlussinhaber zu nerven.

Nexenio hat mittlerweile nach eigenen Angaben das Limit für die automatisierten Anrufe heruntergesetzt. So sollen die massenhaften "Robo-Calls" verhindert werden.