Politik

Luca-App: Keine Sicherheitsanalyse durch Bundesbehörde

  • Mittwoch, 18. August 2021
/picture alliance/dpa, Christoph Soeder
/picture alliance/dpa, Christoph Soeder

Berlin – Das Bundesinnenministerium (BMI) will die umstrittene Luca-App zur Eindämmung der Corona­pandemie nicht umfassend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter­suchen lassen.

Zuvor habe das Land Hessen das BSI gebeten, eine umfassende Quellcodeprüfung der Luca-Anwendung vorzunehmen, teilte das Ministerium auf Anfrage mit und bestätigte damit einen Bericht des Spiegel. „Der Bitte wurde nicht entsprochen“, erklärte ein Ministeriumssprecher.

Hessen hatte eine Prüfung des „Gesamtsystems inklusive aller Komponenten der dahinter stehenden IT-Infrastruktur“ angefragt, zitiert der Spiegel einen Sprecher des hessischen Innenministeriums.

Die Luca-App will die Zettelwirtschaft ersetzen, die bei einer analogen Erfassung der Besuche von Res­tau­rants, Ausstellungen und anderen Events entsteht. Der Hersteller konnte unter anderen den Rapper Smudo von den Fantastischen Vier als Fürsprecher gewinnen.

In den vergangenen Wochen und Monaten mussten die Macher der App immer wieder Schwachstellen beseitigen, die Datenschützer und Aktivisten des Chaos Computer Clubs entdeckt hatten. Manche Daten­schützer wie die Berliner Datenschutzbeauftragte Maja Smoltczyk stören sich an dem Konzept, die er­fassten Daten zentral zu speichern.

Die Hersteller der App verweisen auf einen wirksamen Schutz durch Verschlüsselungstechnik. Die Luca-App kommt in 13 Bundesländern zum Einsatz. Nur Sachsen, Nordrhein-Westfalen und Thüringen haben keinen Vertrag mit dem Luca-Hersteller.

Ein Sprecher des Innenministeriums sagte, bei der Luca-Anwendung handele es sich um eine privatwirt­schaftlich bereitgestellte Anwendung. „Vertragspartner des Herstellers der Luca-Anwendung sind die Länder.“

Die Gewährleistung der IT-Sicherheit sei üblicherweise Gegenstand der Leistung des Herstellers. „Dem Käufer (hier: die Länder) steht es frei, hier weitergehende Zusicherungen, wie z.B. eine Quellcode­prüfung, im Rahmen seiner Vertragsgestaltung zu verlangen.“

Für Aufgaben wie Quellcodeprüfungen oder Penetrationstests gebe es zudem spezialisierte Firmen, die auch BSI-zertifiziert sein könnten. „Hessen kann diese Leistung also vom Hersteller der Luca-Anwen­dung verlangen, der diese dann am Markt hinzukauft. Dies ist ein bewährtes Verfahren, das in der Regel auch von Bundesbehörden genutzt wird.“

dpa

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung