Eine Prüfung der Luca-App wollte Hessen durch das Bundesamt für Sicherheit. Das wurde abgelehnt. Das Land kann dennoch eine Prüfung verlangen.
Die umstrittene Luca-App zur Eindämmung der Corona-Pandemie wird das Bundesinnenministerium nicht umfassend durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersuchen lassen. Auf Anfrage teilte das Ministerium mit und bestätigte damit einen Bericht des Nachrichtenmagazins „Der Spiegel“, dass das Land Hessen zuvor das BSI gebeten habe, eine umfassende Quellcode-Prüfung der Luca-Anwendung vorzunehmen. „Der Bitte wurde nicht entsprochen“, erklärte ein Ministeriumssprecher. Der „Spiegel“ zitiert einen Sprecher des hessischen Innenministeriums, Hessen hatte eine Prüfung des „Gesamtsystems inklusive aller Komponenten der dahinterstehenden IT-Infrastruktur“ angefragt.
Bisher waren für Besuche von Restaurants, Ausstellungen und anderen Events einer analogen Erfassung von Daten entstanden, nun möchte die Luca-App die Zettelwirtschaft ersetzen. Dennoch mussten die Macher von der App in den vergangenen Wochen und Monaten immer wieder Schwachstellen schließen, die Datenschützer und Aktivisten des Chaos Computer Clubs entdeckt hatten. Manche Datenschützer störten sich an dem Konzept die erfassten Daten zentral zu speichern, wie auch die Berliner Datenschutzbeauftragte Maja Smoltczyk, obwohl die Hersteller der App auf einen wirksamen Schutz durch Verschlüsselungstechnik hinweisen. Zum Einsatz kommt die Luca-App in 13 Bundesländer. Keinen Vertrag mit dem Luca-Hersteller haben Nordrhein-Westfalen, Sachsen und Thüringen.
Hessen kann Leistung von Luca-Machern verlangen
Laut dpa, sagte ein Sprecher des Innenministeriums, es handele sich bei der Luca-Anwendung um eine privatwirtschaftlich bereitgestellte Anwendung. „Vertragspartner des Herstellers der Luca-Anwendung sind die Länder.“ Gegenstand der Leistung des Herstellers sei üblicherweise die Gewährleistung der IT-Sicherheit. „Dem Käufer (hier: die Länder) steht es frei, hier weitergehende Zusicherungen, wie z.B. eine Quellcodeprüfung, im Rahmen seiner Vertragsgestaltung zu verlangen.“ Zudem gebe es spezialisierte Firmen für Aufgaben wie Quellcodeprüfungen oder Penetrationstests, die auch BSI-zertifiziert sein könnten. „Hessen kann diese Leistung also vom Hersteller der Luca-Anwendung verlangen, der diese dann am Markt hinzukauft. Dies ist ein bewährtes Verfahren, das in der Regel auch von Bundesbehörden genutzt wird.“