AKTION 736x414
Anzeige

Luca App: Laut Schleswig Holsteins Datenschutzbeauftragte Marit Hansen nur ein Schlüssel für alle Gesundheitsämter

• 20.04.21 Die Corona Warn App gibt es nun gute 10 Monate, welche nun auch vermehrt zur Kontaktverfolgung Datenschutzkonform eingesetzt wird. Als Alternative ist die Luca App in den letzten Wochen aufgetaucht, welche aber mit reichlich Kritik von den Datenschützern und Informatikern leben muss. Nun rät Schleswig Holsteins Datenschutzbeauftragte Marit Hansen von der Luca
AKTION 500x500
Anzeige
App ab. Auch wird von der Datenschützerin betont, dass es nur einen Schlüssel für alle Gesundheitsämter gibt.

Luca App: Laut Schleswig Holsteins Datenschutzbeauftragte Marit Hansen nur ein Schlüssel für alle Gesundheitsämter

Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von der Luca App ab. Auch wird von der Datenschützerin gegenüber den Lübecker Nachrichten (Hinter einer Pay-Wall) betont, dass es nur einen Schlüssel für alle Gesundheitsämter gibt. Dieses ist dabei auch mehr als bedenklich, da dann noch schneller der Schlüssel in unbefugte Hände geraten kann, so der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka.

Luca App: Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von Luca App ab
Luca App: Schleswig Holsteins Datenschutzbeauftragte
Marit Hansen rät von Luca App ab -Bild: Google Store

So die Kritik von Margit Hansen "Problematisch sei, dass alle Gesundheitsämter über den gleichen Schlüssel zur Entschlüsselung der Daten verfügen und die Bewegungsdaten sämtlicher Nutzer zentral gespeichert würden.". Auch wird von der Datenschützerin kritisiert, dass es im Norden Regionen gibt, wo man nur mit der Luca App zutritt hat. Dieses stünde im Widerspruch zur Corona-Bekämpfungsverordnung. Das hatte Frau Hansen auch noch mal am heutigen Tag gegenüber dem NDR-Rundfunk betont.

Die zentrale Datenspeicherung wird auch von der letzten Datenschützerkonferenz kritisiert. Zudem ist ein Schlüssel für alle Gesundheitsämter ein hohes Risiko. Stand der Technik bei der Verschlüsselung ist, -wie zum Beispiel beim Internet-Browser-, dass man immer einen individuellen Schlüssel bekommt. Dieser Schlüssel ist auch noch zeitlich befristet. Dabei werden die Schlüssel auch noch von einer unabhängigen Trust Stelle zertifiziert. So kann man sicher sein, auf die richtige, verschlüsselte Internet-Seite zu gelangen. Wichtig zum Beispiel beim Online-Banking. Laut Meldungen von den Behörden, im Rahmen einer Ausschreibung im Bundesland Schleswig Holstein, ist nach Verfahrensdurchführung das Unternehmen "culture4life GmbH" die Zertifizierungsstelle.

Ausschreibung im Norden wegen Einsatzes der App

Bei der Luca App sind in Schleswig-Holstein alle Kreise und Kreisfreien Städte an das Erfassungssystem der Luca-App angeschlossen worden, teilte die Kreis Plön Sprecherin Nicole Heyck mit.

"In Schleswig-Holstein sind alle Kreise und Kreisfreien Städte an das Erfassungssystem der Luca-App angeschlossen worden, nachdem zuvor ein zentrales Vergabeverfahren, beauftragt durch den IT-Verbund Schleswig-Holstein (ITV.SH) und durchgeführt durch die Firma Dataport, erfolgt ist. Nach Verfahrensdurchführung hat die Firma Dataport dem Unternehmen 'culture4life GmbH' den Zuschlag erteilt.", so die Sprecherin.

Und weiter "Zwischenzeitlich ist aufgrund dieses Vergabeverfahrens ein Vertragsverhältnis zwischen dem Gesundheitsamt des Kreises Plön und dem App Anbieter /Zertifikatsgeber geschlossen worden.".

Wir haben hier beim Kreis Plön nachgefragt, weil der Chaos Computer Club hier Kritik anbrachte: "Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen", erklärte der CCC-Sprecher letzte Woche.

Auch hat der Steuerzahlerbund SH unsere Anfrage nun an den Bundesverband weiter geleitet. Daher wird die Ausscheibung im Norden und anderen Bundesländern genauer unter die Lupe genommen werden.

Luca App: Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von Luca App ab

Der Datenschutz ist bei der Luca App weiterhin ein grosser Kritikpunkt. Im Gegenzug gibt es in Lübeck, Sylt und anderen Gemeinden Schleswig-Holsteins und Kreisen die Luca-App zur Kontaktnachverfolgung auch als Schlüsselanhänger. Damit können Menschen auch ohne Smartphone ihre Kontaktdaten hinterlegen.

Dabei gibt es den Schlüsselanhänger auch für Sylt, Föhr und Amrum. "Das Angebot kommt gut an, in den vergangenen zwei Wochen haben wir bereits rund 500 der Anhänger ausgegeben", sagte der Tourismuschef von Amrum, Frank Timpe.

Allerdings stellt sich die Landesdatenschutzbeauftragte Marit Hansen klar gegen die Luca App."In den letzten Tagen haben sich die Meldungen zu Schwachstellen bei der Luca-App und dem Luca-Schlüsselanhänger gehäuft", sagte die Landesdatenschutzbeauftragte. "Im Moment rate ich von der Benutzung ab", so die Datenschützerin weiter.

Zuletzt hatte auch der Chaos Computer Club vor dem Einsatz der Luca-App gewarnt. Seit letzte Woche ist nun der komplette Programm-Code auf GitLab von der Luca App verfügbar und einsehbar. Allerdings erst nach massiver Kritik und wochenlangen Zögern. Damit ist viel Vertrauen in der Luca App verspielt worden.

Luca App: Entwickler veröffentlichen nach langem Zögern kompletten Programmcode

Mit der Veröffentlichung des kompletten Programm-Codes, hat der Anbieter auf die öffentliche Kritik von Informatikern und dem Chaos Computer Club reagiert. Der Code ist auf GitLab einsehbar. Allerdings ist die Resonanz bei den Programmieren, wie erwartet, derzeit nicht vorhanden den Code auf Fehler zu untersuchen. Dazu ist zu viel Vertrauen in den letzten Wochen verspielt worden.

Immerhin will der Entwickler Culture4life GmbH, das Unternehmen hinter dem Luca-System, eine transparente Analyse und Weiterentwicklung der Software.

Dazu Patrick Hennig, CEO: "Das luca-System soll transparent entwickelt werden - auch um ein hohes Vertrauen in die Sicherheit bei allen Beteiligten und interessierten Nutzer:innen zu erzeugen. Die Standards und Peer-Reviews sorgen außerdem dafür, dass der Quellcode oft getestet und mögliche Issues schnell identifiziert werden können und ein unabhängiger Feedback Prozess ermöglicht wird.".

Auch soll der Missbrauch der Nutzerdaten durch den Einsatz eines Luca-Schlüsselanhängers nicht mehr möglich sein. Immerhin konnte man Nutzerdaten und Bewegungsprofile ausspionieren, wie am letzten Dienstag durch den "Lucatrack" veröffentlicht wurde. Dabei ist der Schlüssel selbst auf dem Schlüsselanhänger im QR-Code und der Seriennummer hinterlegt.

Auch wurde das Unternehmen und die zuständige Berliner Beauftragte für Datenschutz und Informationsfreiheit am 13. April 2021 darüber in Kenntnis gesetzt.

Luca App vergleicht sich mit Telekommunikationsanbietern und Kreditkartenunternehmen

Bei der Corona Warn App der Telekom und SAP wird auf ein dezentrales Datensystem gesetzt. Dazu haben die Entwickler auf die Einwände von Informatikern und Datenschützern gehört. Zumal in einer Gesundheits-App sensible Daten verfügbar sind.

Bei der Luca App ist es ein zentrales Datenspeicherungssystem. Hier will man die Kritik nicht gelten lassen, da im übrigen an vielen Stellen des gesellschaftlichen Lebens wie bei Telekommunikationsanbietern, Kreditkartenunternehmen und auch im Gesundheitswesen vielerorts zentrale Datensysteme zum Einsatz kommen.

Weitere Kritik von Informatikern

Dabei gibt es weiter hin Bedenken von der Informatikern bei der zentralen Datenspeicherung. So teilt der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka, dass bei einer zentralen Speicherung -wie bei der Luca App - man als Betroffener seine Datenhoheit verliert. So die Kritik "Auch vergleicht man sich hier mit IT-Systemen von Banken und Telefonanbietern, die im Laufe von über 60 Jahren entwickelt worden sind. Dabei gab es im Laufe der Jahrzehnte Billiarden von Programmierstunden durch Millionen von Programmieren, um die Sicherheit zu erhöhen und Software-Fehler zu beseitigen. Das die Entwickler eines Start-Ups sich auf die Stufe von 60 Jahren Entwicklungsarbeit bei der zentralen Datenspeicherung stellen, ist dann schon Grössenwahn!".

Und weiter in der Kritik "Auch ist der Vergleich mit bestehenden zentralen IT-Systemen kein wissenschaftlicher und mathematischer Beweis der Korrektheit und Sicherheit von eigenen IT-Systemen. Durch Softwarefehler, auch 60 Jahre nach der Entwicklung, gibt es aus Erfahrungen immer wieder neue Sicherheitslücken. Daher sind Gesundheitssysteme mit einer dezentralen Datenspeicherung der derzeitige Stand der Informatik bei der Datenspeicherung. Schönreden schafft hier keine Datensicherheit!".

Luca App: Chaos Computer Club warnt vor Luca-App --Steuerverschwendung bei der App

Immerhin investieren zwölf Bundesländer und viele Landkreise Steuergelder in die Tracking App Luca. Nun sehen die Computer-Experten vom Chaos Computer Club erhebliche Sicherheitslücken. Bei dem Luca-System lassen sich Kontaktdaten zum Beispiel bei Restaurant-Besuchen erfassen. Der QR-Code wird mit der Handy-App gescannt wird. Bei einer Infektion sollen die Daten direkt und verschlüsselt an die kooperierenden Gesundheitsämter übermittelt werden.

So hat nun auch die europäische Hackervereinigung Chaos Computer Club (CCC) gefordert, keine Steuermittel mehr für die Luca-App zur Corona-Kontaktnachverfolgung auszugeben. Dabei verwies der Club-Sprecher Linus Neumann auf eine "nicht abreißende Serie von Sicherheitsproblemen" bei dem System. Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind.

"Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren", kritisierte Neumann zuletzt. Er verwies dabei auf Recherchen, die im Netz unter dem Titel "Lucatrack" veröffentlicht wurden. "Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit.".

Und weiter in der Kritik "Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen", erklärte der CCC-Sprecher. "Mecklenburg-Vorpommern will die Installation sogar zur Voraussetzung der Teilhabe am öffentlichen Leben machen."

Der Chaos Computer Club forderte ein Moratorium beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten durch den Bundesrechnungshof überprüft werden. Niemand dürfe gezwungen werden, die App zu verwenden, um am öffentlichen Leben teilzunehmen, so die Kritik weiter.

Dabei räumen Entwickler Fehler ein

Dabei räumen die Entwickler der App, das Berliner Start-up Nexenio, die Fehler ein. So können Unbefugte, welche im Besitz des QR-Codes auf dem Schlüsselanhänger sind, die jeweilige Kontakthistorie abrufen.

Der Sprecher des Berliner Start-up Nexenio "Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.".

Derzeit wird die Luca App in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg eingesetzt.

20 Mio. Euro Steuergelder schon geflossen

Nach bisherigen Recherchen von Netzpolitik.org bezahlen die Länder insgesamt 20 Millionen Euro für der Einsatz. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Die hohe Summe von 20 Mio. Euro geht aus Antworten hervor, die netzpolitik.org von den zuständigen Staatskanzleien und Ministerien erhalten hat. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million. Angaben aus dem Saarland stehen noch aus.

Vergangene Woche gab Bayern seine Entscheidung für Luca bekannt und zahlt mit 5,5 Millionen den höchsten Preis für die Jahreslizenz. Es handelt sich um das bislang einzige Bundesland, das die Vergabe der App überhaupt ausgeschrieben hat. Die anderen Länder verweisen darauf, dass die Vergabeverordnung Ausnahmen zulassen, wenn eine besondere Dringlichkeit vorliege oder ohnehin nur ein Anbieter in der Lage sei, den Auftrag zu erfüllen.

So schreibt etwa Mecklenburg-Vorpommern: "Bei der Beschaffung eines Systems zur Kontaktnachverfolgung ging es uns um eine möglichst schnelle Lösung, die aber insbesondere unsere hohen Anforderungen an den Datenschutz erfüllen musste. Eine sehr zeitaufwändige Ausschreibung, die in der Regel mehrere Monate dauert, kam für uns in diesem Fall ausnahmsweise nicht in Frage." Laut Zeit Online hat das zuständige Ministeriums für Energie, Infrastruktur und Digitalisierung dafür lediglich Textblöcke aus dem Internet zusammen kopiert Luca-Kosten für die einzelnen Bundesländer:

    • Mecklenburg-Vorpommern: 440.000 Euro
    • Berlin: 1.200.000
    • Brandenburg 990.000
    • Niedersachsen: 3.000.000
    • Hessen: über 2.000.000
    • Rheinland-Pfalz: 1.726.000
    • Bremen: rund 260.000
    • Baden-Württemberg: 3.700.000
    • Schleswig-Holstein: rund 1.000.000
    • Saarland: ?
    • Bayern: 5.500.000
    • Sachsen-Anhalt: rund 1.000.000
    • Hamburg: 615.000
Laut Patrick Hennig, Geschäftsführer der Firma neXenio, die Luca entwickelt, werden die Preise nicht allein auf Basis der Einwohnerzahl errechnet. Rund ein Drittel der Kosten sei für die SMS, die Luca verschickt, um die Telefonnummern zu verifizieren. Da unklar ist, wie viele dieser Nachrichten tatsächlich anfallen werden, würden diese Kosten pauschal nach Einwohnerzahl abgerechnet.

Ein weiterer Teil sei für die Unterstützung und Infrastruktur der Gesundheitsämter, die Luca ebenfalls nutzen, um die Daten abzurufen und berechne sich aus der Zahl der Ämter pro Bundesland. Der Rest des Preises sei für die eigentlichen Softwarelizenzen des Systemkomponenten von Luca und deren Wartung.

Luca App: Auch Hamburgs Datenschützer Caspar kritisiert den Datenschutz

So bemängelt Hamburgs Datenschutzbeauftragter Johannes Caspar die Intransparenz bei der Luca-App gegenüber der Düsseldorfer Tageszeitung Rheinische Post. Auch würde nach seiner Sicht eine Datenschutzfolgenabschätzung fehlen.

"Es geht darum, Transparenz gegenüber der Öffentlichkeit zu erreichen. Ohne den Quellcode ist nicht einsehbar, wie eine Software funktioniert", so Caspar in seiner Kritik.

Auch geht es um die Datenschutzfolgenabschätzung, welche bisher noch nicht bekanntgegeben worden ist. Diese sei aber für eine datenschutzrechtliche Bewertung unerlässlich und sollte dringend nachgeholt werden, so der Datenschützer.

Eigentlich sollte eine datenschutzrechtliche Dokumentationen vor der Inbetriebnahme erstellt werden und das Risiko für die Rechte und Freiheiten der betroffenen Personen bekannt sein, so Casper gegenüber der Zeitung.

Auch sieht Caspar keinen Widerspruch zwischen Datenschutz und einer digitalen Kontaktnachverfolgung. Er befürwortet sogar explizit digitale Werkzeuge. "Wir haben ein großes Interesse daran, dass der Datenschutz hier ermächtigt und nicht verhindert.". Auch braucht es gesetzliche Vorgaben zur digitalen Kontaktverfolgung.

In der Vergangenheit hatte die "Die Grünen"schon mal ein Gesetz für die Corona App gefordert. Diese ist mittlerweile 10 Monate auf den Markt. Durch das Corona App Gesetz sollen mögliche Benachteiligungen für Personen verhindert werden. Damals kam Kritik auf, weil die App für Senioren und auf alten Handys nicht nutzbar war.

Wurde der Quellcode geklaut?

Zuletzt hatte der Hersteller der Luca-App versprochen, den Quellcode dazu als Open Source zu veröffentlichen. Allerdings stellen die Entwickler den Quell-Code zuerst nicht unter einer der üblichen Lizenzen bereit, sondern unter einer selbst geschriebenen Lizenz. Dieses sorgt für massive Kritik Die Lizenz hätte eine Überprüfung durch Dritte nur erschwert. Nach der Kritik soll der Quellcode dann unter die GNU GPLv3 gestellt werden.

So wurde nun der Quellcode Anfang April veröffentlicht. Der Fokus berichtet in seiner aktuellen Online-Ausgabe darüber, dass der Quellcode möglicherweise geklaut wurde.

So hatten sich die Entwickler der Luca App bei Open-Source-Programmmodulen bedient, aber dabei die nötigen Lizenz- und Urheberrechtshinweise auf den fremden Code entfernt. Auch haben die Hacker der Gruppe "Zerforschung" analysiert, dass bei der Luca App der kopierte Code mit einer eigenen, klar restriktiveren Lizenz veröffentlicht wurde.

Auch ist das Gesamtsystem der Luca-App erst nach wochenlangen Zögern seit dem gestrigen Mittwoche unabhängig überprüfbar. Immerhin sind schon laut netzpolitik.org seit dem 20 Mio. Euro an Steuergeldern geflossen.

Luca App: Zentrale Datenspeicherung wird von Datenschutzkonferenz kritisiert

Die Luca App wird in immer mehr Kommunen zur Kontaktverfolgung eingesetzt. Nun auch im Norden Deutschlands zum Beispiel im Kreis Plön im Land Schleswig Holstein. Daher haben sich die Datenschützer und die Informatiker die App mal genauer angesehen. Und stoßen auf gravierende strukturelle Probleme beim Datenschutz, welche zum Beispiel bei der Corona Warn App vom RKI nicht vorliegen.

In einer Stellungnahme durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 26.03.2021 gibt es erhebliche Sicherheitsbedenken.

Die App des Unternehmens culture4life GmbH hat dabei in den vergangenen Wochen besonderes mediales Interesse erfahren. Culture4life hat bei mehreren Aufsichtsbehörden um ein datenschutzrechtliches Votum zu der Lösung ersucht.

Darüber hinaus haben einige Länder und Landkreise die Absicht bekundet, diese App einzuführen und dann eine Verbindung zu den jeweiligen Gesundheitsämtern herzustellen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt-und Anwesenheitsdaten datenschutzkonform betrieben werden müssen.

Um eine bundesweit, einheitliche Datensparsame digitale Infektionsnachverfolgung zu ermöglichen, fehlt es bislang allerdings an gesetzlichen Regelungen. Hierfür sollten bundeseinheitliche normenklare Vorgaben zur digitalen Kontaktnachverfolgung geschaffen werden.

So warnen die Datenschützer von Bund und Ländern vor einer "schweren Beeinträchtigung" für den Einzelnen und die Gesellschaft durch zentral gespeicherte Daten zur Kontaktnachverfolgung. Dabei liegen die Daten verschlüsselt auf einen Server. Durch einen Hack kann man auf die verschlüsselten Daten gelangen.

Nach Ansicht der Datenschutzkonferenz hat die Luca-App zwar die Vorteile digitaler Lösungen umgesetzt, bisher identifizierte Risiken aber nur teilweise behandelt. Daher werde das Unternehmen aufgefordert, "weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen".

Die zentrale Datenspeicherung wird daher ausgiebig kritisiert. "Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen".

Zuvor waren auch schon die Sicherheitsforscher der Schweizer Universität Lausanne und der niederländischen Universität Radboud in einer ausgiebigen Untersuchung zu dem Ergebnis gekommen, dass die zentrale Datenspeicherung auf dem Luca-Server ein hohes Risiko darstellt. Die Forscher kritisieren das Sicherheitskonzept, welches ausschließlich auf Verfahrenskontrollen basiert und erfordert volles Vertrauen in den Luca-Dienstbetreiber, die Protokolle genau zu befolgen.

Auch die zentrale Verwaltung der Schlüssel bei der Luca App birgt ein Risiko. Immerhin werden die Daten der Luca-App doppelt verschlüsselt, was aber für Angreifer bei der zentralen Kontrolle keine Rolle spielt.

Die Veranstaltern und Geschäfte bekommen einen individuellen Schlüssel sowie ein täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann. Die Schlüsselverwaltung wird von den Betreibern der Luca-App, der Culture4life GmbH, übernommen. Daher liegt hier das "hohe Risiko" durch einen Hack bei der Culture4life GmbH auch die Daten auf dem zentralen Server zu entschlüsseln.

Die Datenschützer bei der Datenschutzkonferenz schreiben dazu "Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann".

Auch wird kritisiert, dass es für die Veranstalter schwierig zu überprüfen sei, ob eine Anforderung zur Entschlüsselung berechtigt ist. Daher können Angreifer sich hier als Behörde oder Berechtigter ausgeben.

Informatiker mit weiteren Bedenken

Auch gibt es weitere Bedenken von der Informatikern. So teilt der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka, dass bei einer zentralen Speicherung -wie bei der Luca App - als Betroffener seine Datenhoheit verliert. Als Nutzer wird man nicht mehr um Erlaubnis bei der Datenfreigabe gefragt, damit wird das Tracking von Personen ungehemmt ermöglicht. Dieses steht im Widerspruch zu dem dem Schutz von Anwälten, Richtern, und Journalisten, welche auf diese Art und Weise ausspioniert werden können. Bei Journalisten verliert man den Informanten- und Quellen-Schutz, welcher durch das Grundrecht auf Pressefreiheit gewährt wird. Bei der Corona Warn App bleiben die Daten auf dem Handy der App Nutzer. Auch kann man den Verlust der Datenhoheit als Nutzer als Eingriffe in das Grundrecht auf informationelle Selbstbestimmung betrachten. Die Tragweite solcher Verfahren kann man oftmals erst im nach hinein überprüfen und bewerten. Wenn dann Unbefugte Zugriff auf die zentralen Daten erhalten und diese entschlüsseln können und damit Missbrauch betreiben, ist es zu spät. Auch können Behördenmitarbeiter hier ungehemmt, ohne eine Kontrollfunktion, auf eine Pool von schützenswerten, personenbezogene Daten zugreifen.

Bislang stellen die Entwickler nicht den Quelltext der App zur Verfügung. Dabei geht es nicht nur darum, dass man nachvollziehen kann, was die App macht, sondern auch um reichlich Software-Fehler, die man beseitigen kann. Immerhin wurde durch eine grosse Community bei der Corona Warn App tausende von Software-Fehler in den letzten Monaten beseitigt. Jeder Software-Fehler kann auch Einfallstor für eine Sicherheitslücke sein, so die Kritik vom Chefredakteur weiter.

Durch eine mangelhafte und fehlerhafte Programmierung bei der Tracing App, können Nutzerdaten mitunter ausgespäht werden und so Nutzer zu Schaden kommen. So werden bei der Software-Entwicklung entsprechende Software-Testmethoden eingesetzt, um die Fehlerzahl im Programm-Code zu reduzieren. Allerdings gibt es nie 0 Programmier-Fehler.

"Überlicherweise muss man bei einem hohen Entwicklungs-Standard bei der Verwendung von gängigen Software-Testmethoden in nebenläufigen und sequentiellen Systemen von 5 Fehlern pro 1.000 Zeilen Code ausgehen. Bei sicherheitsrelevanten Systemen sollten es nicht mehr als 0.5 Fehler pro 1.000 Zeilen Programm-Code sein", so der Chefredakteur vom Redaktionsnetzwerk Tarifrechner, Dipl. Inform. Martin Kopka. Da es gerade viele Fehlerquellen bei der Verwendung der Bluetooth-Schnittstelle bei den WLAN-Chips gibt, sollte man auch über eine Haftung reden müssen. Dieses wäre ideal per Gesetz zu regeln und man würde zusätzliches Vertrauen in der Bevölkerung für den App Einsatz schaffen.

Bundesamt veröffentlicht Sicherheitsanforderungen für Gesundheits-Apps

Durch die entsprechende Technische Richtlinie vom Bundesamt für Sicherheit in der Informationstechnik, müssen mobile Gesundheitsanwendungen besonders achtsam mit sensiblen und besonders schützenswerten persönlichen Daten umgehen. Das Bundesamt Informationstechnik (BSI) hat dazu eine Technische Richtlinie (TR) entwickelt.

Die TR "Sicherheitsanforderungen an digitale Gesundheitsanwendungen" (BSI TR-03161) ist unabhängig von und bereits im Vorfeld der gegenwärtigen Corona-Pandemie für Gesundheits-Apps entwickelt worden. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Grundsätzlich fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.

"Sensible Gesundheitsdaten verdienen einen besonderen Schutz. Sowohl das jeweilige Smartphone der Nutzerinnen und Nutzer als auch die Hintergrundanwendungen auf Seiten der Anbieter müssen daher ein Mindestmaß an Sicherheit vorweisen können. Denn die Veröffentlichung solch sensibler Daten wie Pulsfrequenz, Schlafrhythmus oder Medikationspläne, lässt sich nicht ungeschehen machen. Hier kann nicht, wie im Falle eines Missbrauchs beim Online-Banking, der Fehlbetrag zurückgebucht werden. Mit der nun bereitgestellten Technischen Richtlinie stellt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen wichtigen Leitfaden zur Verfügung, damit die Anwendungen das erforderliche IT-Sicherheitsniveau erreichen können.", so der Präsident des BSI, Arne Schönbohm.

Die technische Richtlinie verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Sie kann als Mindestanforderung für den sicheren Betrieb einer Anwendung betrachtet werden.

In zukünftigen Versionen sollen auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen.

Bluetooth-Schnittstelle kämpft derzeit mit Sicherheitslücken

Bei einer Bluetooth basierten Technologie gibt es aber derzeit noch Sicherheitslücken. Diese Sicherheitslücken befinden sich in den Bluetooth-Chips und lassen sich bereits ausnutzen, wenn auf einem Gerät nur Bluetooth aktiviert ist. Damit könnten Angreifer gezielten Missbrauch betreiben. So gibt es gerade wieder ein neues Update für das Samsung Galaxy S8, weil die Bluetooth Schnittstelle angreifbar ist. Dieser Design Fehler im Bluetooth Chip wird aber die Geräte immer wieder verfolgen.

Damit Ihnen in Zukunft keine aktuelle News oder Spar-Angebot entgeht, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller sind Sie aber via Twitter und Facebook informiert.


Verwandte Nachrichten:

Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten

AKTION 736x414
Anzeige
     Preistipp:
  • 70 GB Handytarif
  • mtl. 19,99€
  • 1 Freimonat
  • mtl. Laufzeit
  • Handy- und SMS-Flatrate
  • Bis zu 225 Mbit/s
  • Jetzt sparen und Wechseln!

     Preistipp O2-Netz:
  • 25 GB 5G Tarif
  • mtl. 9,99 € statt 19,99 €
  • 5 GB Datenvolumen gratis
  • Handy- und SMS-Flatrate
  • 50 MBit/s
  • mtl. Laufzeit
  • Jetzt sparen und Wechseln!

     Besten 10 GB Tarife:
  • Spartarife ab 6,99 €
  • Sparwochen mit Rabatten,
  • Gutscheinen,
  • Anschlusspreisbefreiungen
  • Jetzt sparen und Vergleichen!

Kostenloser Newsletter:
Mit unserem kostenlosen Newsletter verpassen Sie ab sofort keine Schnäppchen und Aktionen mehr.
Ihre E-Mail-Adresse:
Datenschutzhinweise

Weitere Nachrichten:

Telefontarifrechner.de
 Datenschutzhinweise © Copyright 1998-2024 by DATA INFORM-Datenmanagementsysteme der Informatik GmbH  Impressum 
Damit wir unsere Webseiten für Sie optimieren und personalisieren können würden wir gerne Cookies verwenden. Zudem werden Cookies gebraucht, um Funktionen von Soziale Media Plattformen anbieten zu können, Zugriffe auf unsere Webseiten zu analysieren und Informationen zur Verwendung unserer Webseiten an unsere Partner in den Bereichen der sozialen Medien, Anzeigen und Analysen weiterzugeben. Sind Sie widerruflich mit der Nutzung von Cookies auf unseren Webseiten einverstanden?(mehr dazu)
Cookie-Entscheidung widerrufen