Check-in-App auf dem Prüfstein: Datenschutzprobleme und Unsicherheitsaspekte am Beispiel der Luca-App

Um den Einzelhandel, die Gastronomie oder auch Kultureinrichtungen und Künstler:innen zu unterstützen und den Menschen Besuche zu ermöglichen, sind die sogenannten Check-in-Apps besonders die Luca-App derzeit in aller Munde. Wir begrüßen diesen Trend.

Gleichzeitig haben wir seit Mai 2020 immer wieder gerade lokale Lösungen thematisiert – auch in den Medien. Wir finden lokale Lösungen deutlich effektiver als nationale Lösungen wie etwa die Corona-Warn-App, die keine Effektivität aufweisen. Unser Forschungsteam beschäftigt sich bereits seit Januar 2020 mit digitalen Kontaktnachverfolgungssystemen.

Wie üblich analysieren wir alle populären Systeme, denn auch diese haben ihre Tücken. Wir haben uns im ersten Schritt die Luca-App genauer angesehen. Uns ging es dabei in erster Linie um die Unsicherheiten und Datenschutzprobleme der Check-in-App.

Wir sind dabei auch die anderen Check-in-Apps weiter und tiefergehend zu analysieren und auf diese Systeme einzugehen. Dazu werden weitere Untersuchungsergebnisse folgen.

Im Folgenden finden Sie unsere ersten Analyseergebnisse zur Luca-App.

Einsatz der Check-in Apps im Indoor-Bereich zur Kontaktnachverfolgung 

Geschäfte, Dienstleister (z.B. Gastronomen, Veranstalter) oder öffentliche Eirichtungen (z.B. Museen) können unter bestimmten pandemiebezogenen Einschränkungen Kunden ihre Dienste anbieten. Typischerweise müssen die Gäste bei einem Besuch ihre Kontaktdaten in Papierformulare eintragen, wobei gleichzeitig das Ausfüllen und Sammeln umständlich und fehleranfällig ist. Digitale Apps oder Online-Dienste können hier helfen. Mit solchen Check-in Apps „checken“ die Gäste ein, um Informationen zu ihrem Besuch und Kontaktdaten zu hinterlegen. Sollte sich im Nachhinein ein Gast mit dem Coronavirus infizieren, können die gespeicherten Informationen zur Kontaktverfolgung der anderen Gäste genutzt werden.

Es existieren bereits eine Reihe mobiler Apps oder Web-basierte Check-in Apps wie Gastident, eGuest, Kontakterfassung.de, Smartmeeting, darfichrein.de und die Luca-App. Im Folgenden konzentrieren wir uns jedoch auf die Luca-App, die seit kurzem öffentliche Aufmerksamkeit genießt und lokal wie kommunal bereits eingesetzt wird.  

Check-in mit Smartphone
Photo by Proxyclick Visitor Management on Unsplash

Die Luca-App

Die Luca-App, intensiv vom deutschen Rapper Smudo der Fantastischen Vier vermarket, wird als einfache und datenschutzfreundliche Alternative zum Ausfüllen von Formularen oder zur Übermittlung von Daten im Klartext an eine Website beworben.

Wir haben erste Sicherheits- und Datenschutzanalysen der Luca-App durchgeführt und diskutieren hier die ersten Zwischenergebnisse.

Wie funktioniert die Luca-App

Bei der Luca-App gibt es vier Hauptakteure: Der Gast, der Dienstleister, das Gesundheitsamt und der Luca-Service-Betreiber. Im einfachsten und häufigsten Szenario wird die Luca-App wie folgt eingesetzt:

  1. Der Dienstleister registriert sich beim Luca-Server und generiert einen QR-Code, der seine URL und ID enthält.
  2. Der Gast muss sich ebenfalls beim Luca-Server registrieren, indem er seine Kontaktdaten wie Telefonnummer, Name und Adresse angibt. Die Kontaktdaten werden gesichert an den Luca-Server gesendet und verschlüsselt gespeichert.
  3. Der Gast betritt z.B. das Lokal und scannt den ausgedruckten QR-Code, der in der Regel am Eingang angebracht ist. Durch das Scannen wird ein Check-in für diesen Gast erstellt, der gesichert an den Luca-Server gesendet wird.
  4. Wird ein Gast positiv getestet, gibt der Gast quasi seine Geheimnisse (kryptografische Schlüssel) an die Gesundheitsbehörde frei.
  5. Die Gesundheitsbehörde fragt den Luca-Server nach allen Check-ins dieses Gastes ab. Anhand dieser Check-ins fragt die Gesundheitsbehörde nun alle Dienstleister ab, bei denen einer dieser Check-ins durchgeführt wurde, und erhält die notwendigen Informationen, um mögliche Kontaktpersonen zu identifizieren.

Einige Unsicherheitsaspekte der Luca-App

Das Hauptziel der App ist, dass kein Akteur allein auf die Kontaktdaten des Gastes zugreifen kann, ohne dass dieser 1) infiziert ist und seine Schlüssel freigibt oder 2) in einem Suchprozess auftaucht. Damit dies geschehen kann, müssen der Betreiber des Veranstaltungsorts und das Gesundheitsamt zusammenarbeiten. Außerdem muss ein Gast seine Schlüssel freigeben, um den Prozess zu starten. Außerdem können Check-ins nicht miteinander und auch nicht mit einem Gast verknüpft werden, wenn sie verschlüsselt sind. Durch die Verwendung von Metadaten, wie z. B. der IP des Gastes, ist es jedoch dem Luca-Service-Operator möglich, Check-ins mit IP-Adressen zu verknüpfen (https://luca-app.de/securityconcept/processes/guest_app_checkin.html#id4). Diese Möglichkeit wird von Luca-Team eingeräumt. Um dies abzumildern, versprechen sie, keine IP-Adressen zu protokollieren.

Das Luca-Team verspricht zudem, eine Reihe von definierten Sicherheitszielen (https://luca-app.de/securityconcept/properties/objectives.html#objective-contact-data) in Bezug auf bestimmte Akteure in ihrem System zu erfüllen. Die Webseite der Luca-App weist jedoch auf mögliche Sicherheitsprobleme hin, ohne die Konsequenzen genauer zu beschreiben.

Ein wichtiges Ziel hierbei ist, dass „die Kontaktdaten nicht-infizierter Gäste nur ihrer eigenen App bekannt sind“. Das wiederum impliziert, dass die Luca-App die angegebenen persönlichen Daten nicht validieren kann, obwohl die Gesundheitsbehörden auf gültige Kontaktdaten angewiesen sind. Um dieses Problem zu entschärfen, bietet die Luca-App eine „Trade-off“-Lösung in Form einer clientseitigen SMS-Verifizierung der Telefonnummer, die der Gast bei der Registrierung eingibt (https://luca-app.de/securityconcept/processes/guest_registration.html#verification-of-the-guest-s-contact-data).

Diese Lösung hat jedoch ein Problem, da der Verifizierungsprozess missbraucht werden kann, indem eine unbegrenzte Anzahl von Konten mit einer einzigen gültigen Telefonnummer registriert wird. Denn es gibt keine inhärent überprüfbare Verbindung zwischen den angegebenen Kontaktdaten und der Telefonnummer, die für die Registrierung der App verwendet wird.

Neben der Smartphone-basierten App-Lösung bietet Luca auch eine webbasierte Lösung (Web-App) für Situationen an, in denen der Gast kein eigenes Smartphone nutzen kann oder möchte. Auch diese Lösung zeigt Probleme im Hinblick auf die Überprüfbarkeit der angegebenen Kontaktdaten. Denn in der Luca-Web-App ist es möglich, durch eine relativ einfache Modifikation des Webseiten-Quellcodes auf der Client-Seite die SMS-basierte Verifizierung ganz zu überspringen.

Abgesehen von den Problemen mit der Verifizierbarkeit der Kontaktdaten, sind auch die gesammelten Check-in-Informationen einem potentiellen Missbrauch ausgesetzt. Das liegt daran, dass Luca mehrere Möglichkeiten bietet, einen Check-in durchzuführen. Die einfachste Möglichkeit ist, dass der Dienstanbieter einen gedruckten QR-Code bereithält, den der Gast scannen kann. Diese sogenannten „statischen“ QR-Codes laufen nicht ab und kodieren eine URL, um sich mit der App am Dienstanbieterort anzumelden. Statische QR-Codes sind relativ einfach zu kopieren und zu vervielfältigen, was auch dem Luca Entwicklungsteam bekannt ist, wie sie erklären: „Von Natur aus sind QR-Codes leicht zu fälschen, indem man sie einfach kopiert […] es liegt am Dienstanbieter, sicherzustellen, dass gedruckte QR-Codes nicht physisch ersetzt werden.“ (https://luca-app.de/securityconcept/processes/guest_self_checkin.html#authenticity-of-printed-qr-codes)

Ein weiterer Missbrauch ist, dass QR-Codes einfach gescannt werden können und die URL für Remote-Check-ins verwendet werden kann, ohne dass der Gast am Ort des Lokals physisch anwesend sein muss.

Wie bereits erwähnt, wird die Luca-App als digitaler Ersatz für das Ausfüllen eines physischen Kontaktinformationsformulars auf Papier vermarktet. Dementsprechend erwarten die Gäste, dass für diese Lösung ähnliche „Sicherheitsannahmen“ gelten. In der Praxis können die oben erwähnten Probleme im Aufbau von Luca jedoch zu einer Reihe von neuen Angriffsszenarien führen, die eine Manipulation des Gesamtsystems zur Folge haben können.

Im Folgenden beschreiben wir zwei Angriffe:  „Generierung falscher Kontakte“ und „Framing von Gästen“ (jemanden etwas anhängen).  

Generierung falscher Kontakte:

  1. Es kann gezeigt werden, dass ein Angreifer die Luca-Web-App nutzen kann, um eine beliebige Anzahl „falscher“ Gäste zu registrieren. Das liegt an den bereits erwähnten Problemen mit der SMS-Verifizierung.
  2. Anschließend kann der Angreifer z.B. durch die Stadt streifen und die am Eingang oder an den Tischen üblichen QR-Codes der Lokale scannen und die darin enthaltenen URLs sammeln, die zum Einchecken verwendet werden.
  3. Sobald eine ausreichende Anzahl dieser extrahierten URLs gesammelt wurde, werden diese verwendet, um automatisiert Check-ins für alle „falschen“ Gäste an jedem Veranstaltungsort zu erstellen und zwar mehrmals an verschiedenen Tagen. Um solche Angriffe vor den Augen möglicher menschlicher Prüfer besser zu verschleiern, können diese Check-ins in Bezug auf ihre Dauer und die Anzahl der eincheckenden „Gäste“ randomisiert werden.

Folge: Sobald gemeldet wird, dass eines der avisierten Lokale von einem infizierten Gast besucht worden ist, erhalten die Gesundheitsbehörden Zugriff auf entsprechende Check-in-Kontaktdaten, die auch die „gefälschten“ Gäste-Check-ins enthalten. Dies kann zu einem großen Reputationsproblem des Lokals führen, da für die Gesundheitsbehörden der Anschein erweckt wird, dass viel mehr Gäste das Lokal besucht haben, als es z. B. die Vorschriften zulassen würden. Außerdem würde dies eine hohe Arbeitsbelastung für die manuelle Kontaktverfolgung der Gesundheitsämter bedeuten, da sie viel Zeit aufwenden müssten, um „falsche“ Gäste zu kontaktieren. Erfolgreiche Angriffe könnten möglicherweise auch zu falschen Verbreitungszahlen in der Statistik führen.

Einen solchen, auf physischen Kontaktformulare basierenden Angriff durchzuführen, wäre sehr umständlich und erfordert viele Ressourcen. Durch die Nutzung der Luca-App könnten solche Angriffe leicht automatisiert werden.

Framing von Gästen:

Der zweite Angriff betrifft eine bestimmte Person, wir nennen ihn „Framing von Gästen„.

  1. Der Angreifer beginnt mit der Erstellung eines gefälschten Kontos unter Verwendung der Kontaktdaten seines Opfers.
  2. Wie im vorherigen Angriffsszenario beschrieben, kann der Angreifer dann in einem Zielgebiet umherziehen und Login-URLs sammeln, die aus den QR-Codes von Veranstaltungsorten extrahiert wurden.
  3. Anschließend kann der Angreifer für das gefälschte Konto, das die Kontaktdaten des Opfers enthält, Check-ins in allen vermeintlich besuchten Geschäften erstellen.

Folge: Sobald eines dieser Lokale einen infizierten Gast meldet, würde unser avisiertes Opfer vom entsprechenden Gesundheitsamt kontaktiert werden. Das kann dazu führen, dass das Opfer selbst fälschlicherweise in Quarantäne muss, oder dass der Prozess der Kontaktsuche der Gesundheitsbehörden unnötig komplizierter wird.

Wenn in den Medien weit verbreitete Berichte über eine falsche Verteilung oder unnötige Infektionsmeldungen erscheinen, kann dies außerdem dazu führen, dass das Vertrauen in die Ermittlung von Kontaktpersonen in den Augen der Öffentlichkeit insgesamt sinkt.

Einige Datenschutzprobleme der Luca-App

Im Hinblick auf Datenschutzaspekte lassen sich u.a. folgende Beispiele erkennen:

  • Der Luca-Server kann aus der Zählung der Check-ins ableiten, wie viele Gäste am entsprechenden Ort eingecheckt haben.
  • Der Luca-Server kann die IP-Adresse und Telefonnummer bei der Registrierung eines Gastes (während der SMS-Verifizierung) sowie die IP-Adresse und die Uhrzeit bei jedem Check-in aufzeichnen und zu den Pseudonymen infizierter Gäste zuzuordnen, um diese zu de-anonymisieren. Dies ist möglich, da der Server Zugriff auf die Check-in-Historie von infizierten Gästen erhält, einschließlich der Pseudonyme von Gästen, die zur gleichen Zeit die Veranstaltungsorte besuchen (d. h. die möglichen Kontaktpersonen).
  • Verknüpfung der Check-ins von Gäste-Gruppen durch Metadaten (z. B. IP und Zeit).

Die Ursachen dieser Probleme liegt im Systementwurf z.B., dass die Daten von einem Server gesammelt werden. Auch wenn diese verschlüsselt sind, gibt es notwendige Metadaten, die wiederum Verknüpfungsinformationen liefern. Also, die zugrundeliegende Annahme ist, dass der Luca-Server kompromittiert werden kann oder böswillig ist. Diese Informationsverknüpfungen sind jedoch systeminhärent und stellen somit keine Überraschung dar.

Sicherlich ist es wichtig, dass die Privatsphäre der Gäste unter Berücksichtigung angemessener Datenschutzanforderungen gewährleistet wird. In einer Krisensituation, wie einer Pandemie, brauchen wir jedoch einen sinnvollen Kompromiss zwischen Sicherheit, Privatsphäre und Effektivität. Metadaten können im Allgemeinen mit Hilfe intelligenter Datenverarbeitung miteinander verknüpft werden. Allerdings können diese Gefahren durch eine genaue und durchdachte Risiko- und Bedrohungsanalyse minimiert werden, damit Digitaltechnologien effektiv gegen Pandemie in der Praxis eingesetzt werden können. Das kann wiederum bedeuten, dass der Gast in bestimmten Fällen einige Metadaten über sich (z.B. beim Einchecken in ein Lokal) offenbaren sollte.

Wir hören immer wieder das Argument, dass der Datenschutz die Effektivität eines digitalen Kontaktnachverfolgungssystems verschlechtert. Beispielsweise sei dies der Grund für die Ineffektivität der Corona-Warn-App (CWA): Wenn der Datenschutz teilweise aufgehoben wird, dann kann man eine zentralisierte Lösung einsetzten, die nützliche Informationen über die Entwicklung der Pandemie liefern kann. Aus unserer Sicht jedoch ist der Datenschutz kein Hindernis, sondern eine essentielle Funktion in einer demokratischen Informationsgesellschaft. Eine datenschützende und effektive Digitaltechnologie für Kontaktnachverfolgung benötigt deshalb eine datenschützende Infrastruktur, wobei die App nur eine Komponente davon ist. Eine solche Infrastruktur fehlt im Fall der Corona-Warn-App komplett.

Bisher wurde Corona-Warn-App (CWA) von vielen Wissenschaftler:innen kritisiert. Beanstandet wurden mangelnde Sicherheit und Privatheit sowie die Tatsache, dass die genutzte Kerntechnologie für die Nachverfolgung von Google und Apple stammt, die nun offiziell mehr Daten sammeln können, da die Corona-Warn-App in Deutschland von der Politik unterstützt wird. Daher ist die Aussage, dass die Ineffektivität der Corona-Warn-App am Datenschutz läge fraglich. Gleichzeitig sind Kompromisse nötig.

Autoren:
André Davidoff, TU Darmstadt
Richard Mitev, TU Darmstadt
Thien Nguyen, TU Darmstadt
Ahmad-Reza Sadeghi, TU Darmstadt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*