Das Bundesinnenministerium hat der Untersuchung der Luca-App durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht zugestimmt. Zuvor hatte das Innenministerium des Landes Hessen vom BSI eine umfassende Prüfung des Quellcodes gefordert. Das Bundesinnenministerium, dem das BSI unterstellt ist, lehnte die Forderung ab. In der Begründung hieß es, dass der Bund keine Lizenz für die App erworben habe.
In den vergangenen Wochen und Monaten musste die Herstellerfirma der App wiederholt Sicherheitslücken schließen, die Datenschützer und Aktivisten des Chaos Computer Clubs entdeckt hatten. Die Berliner Datenschutzbeauftragte Maja Smoltczyk kritisierte zudem die zentrale Speicherung der Nutzerdaten. Die Hersteller der App verwiesen dagegen auf einen wirksamen Datenschutz durch Verschlüsselungstechnik.
Die Luca-App kommt in 13 Bundesländern zum Einsatz, die entsprechende Lizenzen für insgesamt 21,3 Millionen Euro gekauft haben. Sachsen, Nordrhein-Westfalen und Thüringen haben keinen Vertrag mit dem Luca-Hersteller.
Im Mai dieses Jahres war das BSI mit mehr Befugnissen und Personal ausgestattet worden. Für den Verbraucherschutz sollte das BSI eine unabhängige und neutrale Beratungsstelle in Fragen der IT-Sicherheit auf Bundesebene werden.
Überprüfung nur auf privatwirtschaftlichem Weg
Auf eine Anfrage des IT-Nachrichtenportals Golem.de sagte das BSI, dass die Forderung des Landes Hessens abgelehnt wurde, weil es sich bei der Luca-Anwendung um eine privatwirtschaftlich bereitgestellte Anwendung handele und die Länder die Vertragspartner seien.
"Die Gewährleistung der IT-Sicherheit ist üblicherweise Gegenstand der Leistung des Herstellers. Dem Käufer steht es frei, hier weitergehende Zusicherungen, wie z. B. eine Quellcodeprüfung, im Rahmen seiner Vertragsgestaltung zu verlangen."
Für Aufgaben wie Quellcodeprüfungen gebe es spezialisierte Firmen, die auch BSI-zertifiziert sein könnten. Hessen könne diese Leistung also vom Hersteller der Luca-Anwendung verlangen, der diese dann am Markt hinzukaufe. Dabei handle es sich um ein bewährtes Verfahren, das in der Regel auch von Bundesbehörden genutzt werde.
Laut Informationen des Spiegel hatte das BSI bereits eine Prüfung des App durchgeführt. Dabei wurden aber nicht die Server der Anwendung geprüft, obwohl hier die Sicherheitslücken der App entdeckt wurden. Diese hätten es ermöglicht, schädlichen Code direkt an die Gesundheitsämter zu übertragen.
Mehr zum Thema - Testversuch in Berlin: Wie sicher ist ein Impfcode?