SYSTEM

luca transparent: Was wir in Sachen erweiterte Datensicherheit erreicht haben


25 Nov 2021

Datenschützer:innen, Sicherheits-Community oder Behörden tragen regelmäßig Verbesserungsvorschläge zu Datenschutz- und -sicherheit an uns heran. Was davon umgesetzt wurde – und auch was nicht – zeigen wir hier.

 

Seit luca am Start ist, sind wir im ständigen Austausch mit verschiedensten Gruppen: Datenschützer:innen in allen Bundesländern, die luca einsetzen; den Landesdatenschützer:innen in Berlin, die für uns als in Berlin ansässiges Unternehmen zuständig sind; dem Bundesamt für Sicherheit in der Informationstechnik (BSI); der vor allem bei Twitter vertretenen IT-Sicherheitsgemeinde. Unter security@luca-app.de nehmen wir dankbar jeden Hinweis auf mögliche Schwachstellen oder Möglichkeiten zur Optimierung des luca-Systems entgegen.

luca ist angetreten, um digital gestützte Kontaktnachverfolgung zwischen Bürger:innen und Gesundheitsämtern nicht nur möglich, sondern auch so sicher wie möglich zu machen. Daher nehmen wir sämtliche Vorschläge rund um Datenschutz und Datensicherheit ernst. Auch wenn das Umsetzen der Wünsche teilweise erheblichen Aufwand nach sich zieht.

Die sichere Basis: unser kryptographisches Konzept

So unterschiedlich die im Lauf der Zeit vorgebrachten Änderungswünsche auch sein mögen, eines haben sie gemeinsam: Kein einziger Kritikpunkt bezieht sich auf den Kern unseres kryptographischen Konzepts, das seit dem Start von luca unverändert im Einsatz ist – und auch nach ca. 300 Millionen durchgeführten Check-ins dafür sorgt, dass die Kontaktdaten weder von unbefugten Dritten noch von uns gelesen werden können. Grundidee des Konzepts ist, dass weder Inhaber:innen von Betrieben, noch wir als System-Betreiber:innen die Kontaktdaten der luca-Nutzer:innen entschlüsseln können. Nur Gesundheitsämter können die Dechiffrierung zum Zweck der Kontaktnachverfolgung einleiten und alle Nutzer:innen werden transparent darüber informiert. Sie benötigen hierzu kryptographisch das Zutun der jeweiligen Betreiber:innen, was missbräuchliche, massenhafte Abfragen unterbindet.

Das Ausbleiben von Verbesserungsvorschlägen zum Kern des kryptographischen Konzepts bestätigt uns darin, beim Konzipieren die richtigen Entscheidungen getroffen zu haben. Wir waren uns der Verantwortung für die uns anvertrauten sensiblen Daten von Beginn an bewusst und sind daher keine Kompromisse eingegangen, wenn es um den Schutz dieser Daten geht. Die an uns berichtete Datenqualität der Kontaktdaten, die die Gesundheitsämter erhalten, zeigt auch, dass die Risikoabwägungen zugunsten der Datensparsamkeit richtig getroffen wurden, da es sich gezeigt hat, dass Bürger:innen äußerst verantwortungsvoll sind.

Kein Vorsprung durch Hektik

Als Beispiel sei hier die sowohl von externen Stimmen gewünschte, als auch von uns frühzeitig geplante digitale Zertifikatskette erwähnt: Um sämtliche der 323 an luca angeschlossenen Gesundheitsämter manuell durch den Zertifikatsaussteller (D-Trust, Tochterunternehmen der Bundesdruckerei) verifizieren und anschließend die kryptographischen Schlüssel der Ämter manuell signieren zu lassen, ist beträchtlicher zeitlicher und finanzieller Aufwand nötig – den wir gemeinsam mit der Politik und allen Beteiligten betrieben haben. Weniger aufwändig, aber mindestens so relevant, sind die damit einhergehenden Änderungen am luca-Programmcode, damit die Systemkomponenten ausschließlich mit diesen Schlüsseln signierte Daten akzeptieren.

Wir sind überzeugt, dass wir durch die Kombination aus unserem ursprünglichen Design, sowie den nachträglichen Optimierungen, eines der sichersten Systeme zum Umgang mit sensiblen Daten geschaffen haben, das derzeit weitflächig verfügbar ist: Anders als bei anderen Lösungen zur Kontaktdatenerfassung sind sämtliche sensiblen Daten durchgängig verschlüsselt, dem kompletten System liegt eine durchgehende Kette an digitalen Zertifikaten zugrunde und beinahe nebenbei hat das luca-System höchstwahrscheinlich eine der größten Public-Key-Infrastructures (PKI) in Deutschland geschaffen.

Auch Gutes kann noch besser werden

Softwaresysteme sind nie zu Ende entwickelt – und je mehr kluge Köpfe sich über Programmcode und Konzepte beugen, desto besser. Daher waren wir stets offen für Verbesserungsvorschläge – auch wenn wir uns nicht immer leicht mit der Akzeptanz der vorgebrachten Kritik getan haben. Letztlich ging unser Fokus aber nie verloren: Weiterhin das sicherste System zur digital gestützten Kontaktnachverfolgung zu bieten.

Um unsere Bemühungen um mehr Datenschutz und -sicherheit zu dokumentieren, haben wir die hierfür relevanten Änderungen am luca-System (Apps, Backend, Software für Betreiber:innen) in einer Tabelle zusammengetragen. Nachdem sich die Änderungswünsche der einzelnen Gruppen teilweise überlappen, haben wir sie in Arbeitspaketen zusammengefasst. Die Tabelle beinhaltet auch einen Abschnitt über vorgeschlagene Verbesserungen, die wir nicht umsetzen werden, sowie die Begründung, warum dem so ist.

luca: Sicherheit an erster Stelle