Viele Deutsche nutzen die Luca-App, um in Restaurants, Kinos oder Geschäften schnell und einfach ihre Kontaktdaten zu hinterlassen. In letzter Zeit gab es allerdings immer wieder Berichte über Schwachstellen und Sicherheitsmängel der App. Ist die Luca-App also tatsächlich sicher?
Das hessische Innenministerium wandte sich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und forderte eine umfassende Prüfung der Luca-App inkl. der zugehörigen Systeminfrastruktur an. Das BSI ist die oberste Behörde in Sachen IT-Schwachstellen und Datensicherheit, darf das Kontaktnachverfolgungssystem jedoch nicht auf mögliche Sicherheitsmängel hin überprüfen. Das Bundesinnenministerium hat sich eingeschaltet und die entsprechende Anfrage an die Behörde durch das Bundesland Hessen ausdrücklich abgelehnt.
Bei der Luca-Anwendung handelt es sich um eine privatwirtschaftlich bereitgestellte Anwendung. Das Innenministerium könnte dem BSI als untergeordnete Behörde wohl entsprechende Anweisungen erteilen, doch der Bund hat keine Lizenz der Luca-App erworben, sondern lediglich 13 Bundesländer. Vertragspartner des Herstellers der Luca-Anwendung sind also die Länder, nicht der Bund, teilte ein Sprecher mit. Die Gewährleistung der IT-Sicherheit sei üblicherweise Gegenstand der Leistung des Herstellers.
Dem BSI sind jedoch die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu prüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die Versionen der Luca-App von externen Anbietern testen. Im Rahmen der Vertragsgestaltung steht es den Bundesländern frei, weitergehende Prüfungen und Zusicherungen vom Hersteller Culture4Life zu verlangen. Für Aufgaben wie Quellcodeprüfungen oder Penetrationstests gibt es spezialisierte Firmen (die auch BSI-zertifiziert sein können). Hessen muss diese Leistung also vom Hersteller der Luca-Anwendung verlangen, der diese dann zu erbringen hat.
27.09.2021
