Identitätsdiebstahl bei der Luca App und das Austricksen der Datenschutzgrundverordnung

Und so langsam passieren die Dinge, vor denen wir von Anfang an gewarnt haben. Vielleicht sollte man in Computersicherheitsfragen doch besser auf IT Experten als auf Musiker hören?

Ich hab hier grad Post von Jemandem bekommen, bei dem eine Luca SMS Bestätigungs TAN eingeschlagen ist, die er nie angefordert hat. Als Text stand da nicht viel mehr als “Luca” und die TAN drin (was ausreichend ist, wenn man so eine SMS erwartet, aber halt nicht, wenn man sie aus heiterem Himmel kriegt). Nach etwas Recherche hat er dann meinen Blog gefunden und wollte wissen, wie ich an seine Handy Nummer gekommen bin, bzw. ob da jemand seine Daten missbraucht.

Elfenbeinturm Antwort Ja, bei Luca werden eure Daten missbraucht. Sogar grundsätzlich! Culture4Life nutzt sie, um den Gesundheitsämtern eine (für den Steuerzahler) teure, sinnlose und sogar kontraproduktive Dienstleistung zu verkaufen. Das ganze Geschäftsmodell von Luca beruht einzig und alleine auf der Idee, öffentliche Gelder für die Erzeugung und Verwaltung von Datenmüll abzugreifen.

Der Einsender hat natürlich jetzt ein Problem: vielleicht hat jemand versucht, sich unter seinem Namen zu registrieren, vielleicht hat sich auch einfach nur jemand bei der Eingabe seiner eigenen Nummer vertippt. Realistisch ist letzteres, möglich ist aber auch, dass mittlerweile jede Menge “Luca Nutzer” unter falschem Namen unterwegs sind, weil sie de-facto zur Nutzung der App gezwungen wurden, ihren echten Namen nicht preis wollten und daher eine beliebige Identität aus dem Telefonbuch verwenden. Selbst ohne Computerkenntnisse geht das ganz einfach:

  1. Luca App starten.
  2. Falschen Namen & Adresse eingeben (kann nicht verifiziert werden).
  3. Richtige Telefonnummer eingeben und auf SMS TAN warten.
  4. SMS TAN bestätigen, danach sofort die Telefonnummer ändern (möglich, weil man ja jederzeit den Mobilfunkanbieter wechseln kann).

Mit Computerkenntnissen kann man sich den Schritt mit der echten Telefonnummer sogar komplett sparen.

Achtung: Phishing Einige Zeitgenossen gehen anscheinend mittlerweile auch so vor, dass sie sich mit den (echten) Kontaktdaten einer wildfremden Person registrieren, diese dann kurz darauf anrufen und, unter dem Vorwand, sich bei der Telefonnummer vertippt zu haben, nach der TAN fragen.

Das Luca System sieht vor, das alle Angaben zur Person (Name, Adresse, Telefonnummer, Emailadresse) vom Smartphone zu einer Art elektronischen Visitenkarte zusammengefasst werden, diese dann lokal verschlüsselt und auf den Luca Servern ablegt wird. Der Server weis dabei nur, dass er eine Visitenkarte speichert, kann die Angaben aber selbst nicht lesen und daher auch nicht prüfen! Das SMS TAN Verfahren dient lediglich dazu, das Uploadmodul der App frei zu schalten. Sobald das geschehen ist, kann man eine Visitenkarte mit einer beliebiger Identität hochladen, bzw. auch die Angaben auf der hochgeladenen Visitenkarte beliebig “korrigieren”.

Tja, und damit hat man dann halt als Nicht-Luca-Nutzer ein Problem. Man kann nicht per Datenschutzgrundverordnungsanfrage in Erfahrung bringen, ob Luca eine Visitenkarte mit der eigenen Identität speichert und dementsprechend auch keine Löschung beantragen. Die culture4life GmbH wird lediglich antworten, dass sie nur verschlüsselte Daten ohne Personenbezug speichert und deshalb nicht unter die Bestimmungen der DSGVO fällt. Ist man tatsächlich Opfer eines Identitätsdiebstahls geworden hilft einem das natürlich herzlich wenig, wenn einen das Gesundheitsamt in Quarantäne schicken will, weil man laut Luca System angeblich im vollem Fußballstadium gewesen ist.