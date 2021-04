Halyna Kubiv

Die Wissenschaftler von École polytechnique fédérale de Lausanne (EPFL) und Radboud University in Niederlanden haben sich die Sicherheit von Luca-System angeschaut.

Das Luca-System wird von immer mehr Gesundheitsämtern in Deutschland eingesetzt. Auf Umwegen wird die App quasi zu einer Pflicht-App für die meisten Bürger werden, wenn der harte Lockdown vorbei ist. Umso wichtiger wird die Frage um die Sicherheit des Systems, schließlich hinterlassen die Nutzer in der App ihre Klarnamen, Adressen und Telefonnummern.

Eine vorläufige Analyse der möglichen Angriffsszenarien auf das Luca-System haben die Wissenschaftler von École polytechnique fédérale de Lausanne (EPFL) und der Radbound University (Niederlande) jetzt veröffentlicht. Der Hauptkritikpunkt der Forscher ist die Datenmenge, die die App sammelt und auf einer zentralen Stelle, auf dem Luca Backend Server verwaltet. Denn selbst die Verschlüsselung der Kontaktdaten kann einen Angreifer nicht davor hindern, über das Verhalten des Datenflusses auf dem Server mit hoher Wahrscheinlichkeit auf den positiv-getesteten Nutzer zu schließen.

Für diesen konkreten Fall haben die Forscher das Abfrage-Prozedere eines Gesundheitsamts angeschaut: Der positiv-getestete Nutzer erhält vom System einen Verifikations-Code, der an das Gesundheitsamt übermittelt wird. Damit kann die Behörde die Kontaktdaten der User_ID auf dem Server entschlüsseln. Um die Kontakte von diesem Nutzer nachzuverfolgen, greift nun das Gesundheitsamt auf die User_ID des Nutzers. Aus diesem Verhalten kann man schließen, dass derjenige Anwender Covid-19-positiv ist, dessen Daten kurz nach der Abfrage eines Verifzierungs-Code vom Gesundheitsamt angefragt wurden.

Hinter den Kulissen von Luca-System



Auch weitere Risiken sind mit der Nutzung der App laut der Untersuchung verbunden: Da die App die IP-Adressen des Smartphones auswertet, ist es damit leicht, Bewegungsprofile für einzelne Nutzer zu erstellen. Diese IP-Adresse vergibt der Mobilfunkbetreiber und sie ändert sich nur in wenigen Fällen: Wenn der Nutzer den Flugmodus ein- und ausschaltet, die SIM-Karte ändert oder das Smartphone komplett neu startet, erhält das Gerät eine neue IP-Adresse. Im Normalbetrieb bleibt sie aber über eine längere Zeit gleich. Verbindet man diese Meta-Angabe mit der Trace-ID eines Lokals, kann man in recht vielen Fällen auf den konkreten Nutzer schließen und so sein Bewegungsprofil erstellen. Ohne die IP-Adresse, dafür aber mit Login-Daten über den Scanner in den Lokalen kann man mit der Datenmenge, die dem Luca-System zur Verfügung steht, auf soziale Verhältnisse zwischen den Nutzern schließen. Dafür sind nur die Check-In- und Check-Out-Zeiten in einem Lokal notwendig. Denn eine Gruppe von Freunden kommt für gewöhnlich zur gleichen Zeit an und verlässt das Restaurant auch binnen kurzer Zeit. Gleicht man die Check-Ins mit den Check-Outs ab, kann man auf eine solche soziale Gruppe schließen. Kombiniert man die Daten noch mit den IP-Adressen, kann man recht genaue soziale Profile erstellen.

Luca-App – Die Einschätzung der Experten



Genauso wie für Nutzer lassen sich auch die Profile von Veranstaltungsorten erstellen. Während für einen Backstage-Besuch in München so ein Profil eher harmlos ist, gestaltet sich eine Offenlegung für ein Frauenhaus oder eine Moschee schon anders. Laut der Forscher funktioniert eine solche Echtzeitbeobachtung auf dem Luca-Server nur anhand der Check-In- und Check-Out-Anfragen. Aus diesen Daten kann man schließen, wie viele Nutzer das Event an einem bestimmten Ort besucht haben und wie lange das Event gedauert hat.

Im Allgemeinen weisen die Forscher darauf hin, dass neben den potentiellen Angriffsflächen, die durch zusätzliche Verschlüsselung oder durch den Einsatz von Vertrauenszertifikaten behoben werden, einige Schwachstellen bestehen, die im Design des Luca-Systems verankert sind. Dazu gehört zum Beispiel die Tatsache, dass alle Gesundheitsämter den gleichen Daily Key teilen, der zur Entschlüsselung von Kontaktdaten dient. Zu einem ähnlichen Schluss kommen die Beteiligten der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder : Demnach bieten die Luca-App eine vielversprechende Möglichkeit, die Kontaktnachverfolgung zu digitalisieren. Es besteht jedoch ein immanentes Risiko, dass das zentrale Backend mit den gespeicherten Daten manipuliert werden kann.



Vollständigkeitshalber: Die meisten Forscherinnen, die zu dieser Analyse beigetragen haben, gehören ebenfalls zu den IT-Spezialisten, die das Protokoll DP3T entwickelt haben. DP3T liegt den Begegnungsmitteilungen-Schnittstellen von Google und Apple zu Grunde und ist somit die Grundlage für die Corona-Warn-App.