IT-Sicherheit Innenministerium lehnt Prüfung der Luca-App ab
Luca-App auf einem Smartphone: »Begrenzte Prüftiefe«
Foto: Wedel / imago images / Kirchner-MediaDieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Deutschlands oberste Behörde in Sachen IT-Schwachstellen und Datensicherheit; wer wissen will, wie gut es um die Sicherheit der Luca-App steht, könnte meinen, hier eine Antwort zu bekommen. Mehrfach hatte es in den vergangenen Monaten Berichte über Schwachstellen in der App gegeben, die Betreiber mussten nachbessern.
Wohl auch deshalb hat sich das hessische Innenministerium an das BSI gewandt und eine umfassende Prüfung der »Luca App inklusive der dazugehörigen Systeminfrastruktur« angefordert. Doch diese Prüfung wird es nicht geben. Nach SPIEGEL-Information hat sich das Bundesinnenministerium einer entsprechenden Überprüfung durch das BSI in den Weg gestellt. Das BSI ist dem Innenministerium unterstellt und ist deshalb an dessen Weisungen gebunden. Nach SPIEGEL-Informationen ging das entsprechende Ablehnungsschreiben über den Schreibtisch von BSI-Behördenchef Arne Schönbohm persönlich.
Ein Sprecher des Innenministeriums bestätigte auf Anfrage, dass das BSI der Bitte des Landes Hessens nicht entsprechen werde. Vertragspartner mit der Luca-App seien die Länder, erklärte ein Sprecher. Tatsächlich haben inzwischen 13 Bundesländer, darunter auch Hessen, Lizenzen für Luca für insgesamt 21,3 Millionen Euro gekauft. Allerdings gibt es auf Länderebene keine vergleichbare IT-Sicherheitsbehörde wie das BSI. So kamen beispielsweise auch Experten des BSI und der Bundeswehr zu Hilfe, als kürzlich ein Hackerangriff die Kreisverwaltung von Anhalt-Bitterfeld in Sachsen-Anhalt lahmlegte.
In der Vergangenheit gab es immer wieder Streit darum, wie umfassend das BSI Produkte von Herstellern prüfen und bewerten darf. Apps hatte das BSI in der Vergangenheit besonders dann unter die Lupe genommen, wenn es darum ging, ob die Programme bei einer Installation auf Diensthandys der Bundesverwaltung ein Risiko darstellen. Die Ergebnisse dieser Prüfungen werden allerdings nicht veröffentlicht.
Das neue, im April verabschiedete IT-Sicherheitsgesetz 2.0 stattet die Bonner Behörde mit zahlreichen neuen Stellen aus und soll helfen, das BSI als unabhängige und neutrale Beratungsstelle zu etablieren. (Mehr zu dem Gesetzespaket lesen Sie hier.)
Tiefergehende Prüfung angefragt
Das BSI hatte nach SPIEGEL-Informationen bereits eine Prüfung von Luca durchführen lassen und die Ergebnisse vor Monaten an die Betreiber der App übermittelt. Allerdings handelt es sich dabei laut der Behörde lediglich um eine Untersuchung der mobilen Anwendung mit »begrenzter Prüftiefe.« Es wurden beispielsweise nicht die hinter der App liegenden Systeme und die Server überprüft. Genau hier hatte es jedoch in der Vergangenheit Berichte über Schwachstellen gegeben, die es unter Umständen ermöglichten, Schadcode in Gesundheitsämter zu schleusen und diese lahmzulegen.
Bei dem abgelehnten Ersuchen aus Hessen ging es nicht nur um die App, sondern um eine umfassendere Analyse des »Gesamtsystems inklusive aller Komponenten der dahinter stehenden IT-Infrastruktur«, wie ein Sprecher des hessischen Innenministeriums mitteilte.
Aus dem Bundesinnenministerium heißt es dazu, dass es einem Bundesland wie Hessen freistehe, entsprechende Prüfungen vom Hersteller der App zu verlangen. Für entsprechende Quellcodeprüfungen oder sogenannte Penetrationstests gebe es spezialisierte Firmen, so der Sprecher des Bundesministeriums. Die Gewährleistung der IT-Sicherheit sei schließlich üblicherweise Gegenstand der Leistung des Herstellers.
