AKTUELL

Wie steht luca zum BSI und Sicherheitsüberprüfungen?

By August 25, 2021September 1st, 2021No Comments

Unter der Rubrik „Drei Fragen an luca“ behandeln wir für uns wichtige Themen aller Arten: Sicherheit, Datenschutz, Politik, Erfolge, Misserfolge und so weiter. Diesmal: Das Bundesamt für Sicherheit in der Informationstechnik (BSI), Penetrationstests und Meldungen aus der Community. 

 

Frage 1: Laut Presseberichten lehnt das Innenministerium eine tiefergehende Sicherheitsüberprüfung des luca-Systems durch das BSI ab. Wie steht luca dazu? 

Antwort: Vorweg: Wir würden uns natürlich sehr über eine umfassende Überprüfung durch das BSI freuen. Wir können aber auch die Begründung, mit der das Bundesinnenministerium die Prüfung unserer Software ablehnt, nachvollziehen. Unsere Auftraggeber sind Bundesländer, das BSI ist jedoch eine Bundesbehörde. Davon abgesehen haben wir in der Vergangenheit mit dem BSI und anderen Behörden vertrauensvoll zusammengearbeitet und tun dies auch in Zukunft. 

Sollte ein Bundesland eine Analyse unserer Software durch eigene Dienstleister vornehmen wollen, unterstützen wir das mit ganzer Kraft. Wir möchten in diesem Zusammenhang auf die im Mai 2021 vom Bayerischen Landesamt für Datenschutzaufsicht verweisen, das sowohl Teile des luca-Sourcecodes, als auch das Verschlüsselungskonzept unter die Lupe genommen hat. Zitat aus dem Bericht: “Dabei wurde die technische Grundarchitektur des Luca-Systems und insbesondere das durchgängige Verschlüsselungskonzept der Kontaktdaten als grundsätzlich belastbar eingeschätzt und im Weiteren zumindest bei einer ersten Konzeptprüfung keine Anhaltspunkte für den Einsatz hinderliche datenschutzrechtliche Mängel gefunden.” 

Unabhängig davon sind wir uns der Relevanz von Sicherheitschecks bewusst und beauftragen daher regelmäßig externe Dienstleister mit Sicherheitsüberprüfungen. 

Frage 2: Welche eigenen Anstrengungen unternimmt luca, um seine Software sicher zu gestalten und Datenlecks zu verhindern? 

Antwort: Wir haben zum einen Fachleute für Informationssicherheit und Kryptographie in unseren eigenen Reihen. Sie entwickeln Sicherheitskonzepte, erarbeiten unseren Secure Software Development Cycle, erledigen fortlaufend Audits und Code Reviews und testen unseren Code kontinuierlich. Zusätzlich arbeiten wir hierfür auch dauerhaft mit externen Sicherheitsspezialisten zusammen, die eine weitere wichtige Säule in unserem Konzept sind. 

Zum anderen beauftragen wir regelmäßig externe etablierte Unternehmen mit Penetrationstests. Der erste, im Frühjahr 2021 abgeschlossene Test brachte keine schwerwiegenden Lücken zu Tage (hat allerdings auch die hinlänglich diskutierte CSV-Injection-Schwachstelle nicht aufgedeckt). Eine zweite Analyse ist abgeschlossen und wir arbeiten die gefundenen Verbesserungen zeitnah ab. Außerdem startet in Kürze ein umfangreicher, dritter Penetrationstest. 

Frage 3: Wie geht luca mit Hinweisen zu Schwachstellen um, die aus der IT-Sicherheits-Community stammen? 

Antwort: Wir laden alle interessierten IT-Expert:innen dazu ein, unseren Programmcode auf Schwachstellen zu untersuchen. Er steht unter einer Open-Source-Lizenz in Gänze (App & Backend) auf Gitlab. Unsere Entwickler:innen sind jederzeit offen – und vor allem: dankbar – für Hinweise auf Schwachstellen, die uns im Rahmen eines Responsible-Disclosure-Prozesses gemeldet werden. 

Details zum verantwortungsbewussten Melden von Sicherheitslücken sowie Informationen zu unserem Bug-Bounty-Programm haben wir hier zusammengetragen.