Per Software in der Bar, im Restaurant, im Sportverein einchecken und im Infektionsfall gewarnt werden: So soll trotz Corona-Pandemie bald wieder ein normales Leben möglich sein. Das ist das Versprechen der Macher der Luca-App und des Luca-Schlüsselanhängers. Doch die Daten waren offenbar nicht immer gut gesichert. Durch eine Schwachstelle in der Software des Luca-Systems soll es möglich gewesen sein, auszulesen, wann und wo Personen mit dem Schlüsselanhänger eingecheckt hatten. Damit hätten Angreifer Bewegungsprofile erstellen oder einzelne Personen in Echtzeit verfolgen können.
Die Lücke wurde von einer Gruppe unabhängiger IT-Expertinnen und -Experten entdeckt und in einer Analyse, die ZEIT ONLINE vorab vorlag, dokumentiert. Die Betreiber der App haben die Lücke nach eigenen Angaben geschlossen, nachdem sie von der Gruppe kontaktiert worden waren. Die Schwachstelle ist auch brisant, weil das Luca-System an vielen Orten bereits zum Einsatz kommt.
Laut der Gruppe, die sich selbst LucaTrack nennt, war es mit einfachen Mitteln möglich, die Software, die Luca selbst zur Registrierung und zum Scannen der QR-Codes anbietet, so zu manipulieren, dass alle besuchten Orte einer bestimmten Person ausgelesen werden konnten. Betroffen waren alle Personen, die den speziellen Schlüsselanhänger verwenden. Genaue Zahlen gibt es nicht, Schätzungen von LucaTrack zufolge hätte die Schwachstelle jedoch potenziell Hunderttausende Menschen treffen können. Alles, was man für den Missbrauch der Daten benötigte, war ein Foto des QR-Codes, der auf dem Anhänger aufgedruckt ist. Nutzerinnen und Nutzer der Smartphone-App waren nicht betroffen.
Minimale Programmierkenntnisse seien ausreichend gewesen, um die Lücke auszunutzen, sagte LucaTrack-Mitglied Tobias Ravenstein ZEIT ONLINE. "Damit lässt sich ein Programm schreiben, das dem Angreifer in Echtzeit mitteilt, wo sich ein Nutzer gerade aufhält." Ravenstein selbst ist Fachinformatiker für IT-System-Integration und arbeitet aktuell als Projektmanager für IT-Prozesse. Auf die Lücke ist er als Privatperson gestoßen: Ihm sei die Möglichkeit einer solchen Sicherheitslücke bei der Durchsicht des Sicherheitskonzepts der Luca-Macher aufgefallen. In einem Video zeigen er, die Software-Entwicklerin Bianca Kastl und weitere ungenannte Mitstreiter, wie sich in wenigen Sekunden die Bewegungshistorie eines Nutzers auf einer Karte visualisieren lässt, wenn dessen QR-Code bekannt ist.
Luca ohne Smartphone
Das bedeutet, dass zum Beispiel der Betreiber eines Ortes, an dem Menschen mit dem Luca-Schlüsselanhänger einchecken, unbemerkt die vorher besuchten Orte seiner Gäste hätte auslesen können. Denn dafür müssen sie den QR-Code ihres Anhängers vorzeigen und einscannen lassen.
Auch andere, beispielsweise Stalker, hätten die Lücke ausnutzen können, sagte Ravenstein. Dazu hätten sie nur einmal unbemerkt den Anhänger einer Person fotografieren müssen. Daraufhin hätte man "30 Tage in die Vergangenheit schauen und alle künftigen Check-ins dieser Person in Echtzeit verfolgen" können, sagte er.
Die Schlüsselanhänger sind eine Möglichkeit für Menschen, die kein Smartphone besitzen oder die App nicht installieren wollen, das System Luca trotzdem zu nutzen. Statt mit ihrem Smartphone einen QR-Code zu scannen, wenn sie einen Ort wie etwa ein Restaurant betreten, läuft der Check-in-Prozess umgekehrt: Die Anhänger haben einen QR-Code aufgedruckt, der vom Betreiber des Restaurants gescannt wird. So wird dokumentiert, dass die Besitzerin des Anhängers dort war. Wenn sich herausstellt, dass eine positiv auf Covid-19 getestete Person zur gleichen Zeit im Restaurant war, soll das Gesundheitsamt auf die Daten zugreifen können und die Trägerin des Schlüsselanhängers informieren können. Eine Person, die einen Schlüsselanhänger nutzen möchte, muss ihn zunächst registrieren und dabei ihre Telefonnummer angeben. Danach kann sie mittels Schlüsselanhänger an jedem Ort einchecken, an dem das Luca-System verwendet wird. Dieser Aufbau sei der Grund für die Lücke gewesen, erklärte Ravenstein, denn der QR-Code einer Person bleibe immer der gleiche.
Potenziell sei eine solche Schwachstelle auch für Geheimdienste oder Strafverfolgungsbehörden interessant. "Eine Lücke, die systembedingt vorhanden ist, kann auch von legalen Mächten missbraucht werden", sagte Ravenstein. Erst vor wenigen Tagen hatte der innenpolitische Sprecher der CDU-Fraktion Baden-Württemberg laut der Deutschlandfunk-Korrespondentin Katharina Thoms vorgeschlagen, Demonstrationsteilnehmer per Luca-App zu registrieren – im schlimmsten Fall könnte durch eine Lücke dann bekannt werden, wer wann auf welcher Demonstration war.
Per Software in der Bar, im Restaurant, im Sportverein einchecken und im Infektionsfall gewarnt werden: So soll trotz Corona-Pandemie bald wieder ein normales Leben möglich sein. Das ist das Versprechen der Macher der Luca-App und des Luca-Schlüsselanhängers. Doch die Daten waren offenbar nicht immer gut gesichert. Durch eine Schwachstelle in der Software des Luca-Systems soll es möglich gewesen sein, auszulesen, wann und wo Personen mit dem Schlüsselanhänger eingecheckt hatten. Damit hätten Angreifer Bewegungsprofile erstellen oder einzelne Personen in Echtzeit verfolgen können.