Beiträge

In einem Spiegelinterview vom 18.03.2022 sprach sich Bundesinnenministerin Faeser dafür aus, über das im Koalitionsvertrag verankerte Verbot von Hackbacks neu zu diskutieren, da man nach dem Krieg Russlands gegen die Ukraine „Fragen unserer Sicherheit nicht ideologisch, sondern realistisch betrachten“ müsse. 

Davor warnt die digitalpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg und erklärt:

Weiterlesen

In einer digitalen Gesellschaft wird IT-Sicherheit immer wichtiger und die Abhängigkeit von funktionierender IT immer größer. Jedes Jahr steigen die Zahlen der Cyberangriffe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Lagebericht und weist darauf hin, dass täglich über 300.000 neue Schadsoftwarevarianten entdeckt werden. Die größte Gefahr sieht das BSI in sogenannten Ransomeware-Attacken, bei denen Schadsoftware die Daten verschlüsselt und Geld in Form von Kryptowährungen erpresst und/oder Daten geleakt werden sollen. Auch in Deutschland waren bereits ganze Landkreise, Kommunen, sogar Krankenhäuser und Universitäten betroffen.

Weiterlesen

Frage

Wie viele IT-Sicherheitsstellen sind derzeit in den Bundesministerien und deren nachgeordneten
Behörden besetzt und wie viele unbesetzt (bitte jeweils nach Bundesministerien
inklusive der jeweils nachgeordneten Behörden analog zur Antwort der Bundesregierung
auf meine Schriftliche Frage 23 auf Bundestagsdrucksache 19/26785
aufschlüsseln)? (BT-Drucksache 20/833, Nr. 45)

Antwort des Parlamentarischen Staatssekretärs Saathoff am 25. Februar 2022

Zu den sehr heterogenen Antworten der Ressorts und der besonderen Bedeutung
des Bundesministeriums des Innern und für Heimat mit seiner Abteilung für Cyberund
Informationssicherheit (CI) sowie dem Bundesamt für Sicherheit in der Informationstechnik
(BSI) als nachgeordnete Fachbehörde für Informationssicherheit wird erneut
auf die Beantwortung Ihrer Schriftlichen Frage mit der Arbeits-Nr. 1/391 aus Januar
2020 verwiesen. Die Bundesregierung ist nach sorgfältiger Abwägung erneut der Auffassung, dass
eine Beantwortung der Frage für das Bundesamt für Verfassungsschutz (BfV) aus
Gründen des Staatswohls nicht erfolgen kann. Angaben zur Stellenverteilung, die
über die im Verfassungsschutzbericht gem. § 16 Abs. 2 Bundesverfassungsschutzgesetz
genannten Strukturdaten hinausgehen, sind – aus Gründen der operativen Sicherheit
– nicht angezeigt. Die erbetenen Auskünfte sind geheimhaltungsbedürftig, weil sie Informationen enthalten,
die im Zusammenhang mit der Arbeitsweise und Methodik des BfV und insbesondere
dessen Analysemethoden stehen. Die erbetenen Auskünfte betreffen wesentliche
Strukturelemente des BfV. Aus ihrem Bekanntwerden könnten sowohl
staatliche als auch nichtstaatliche Akteure Rückschlüsse auf Personalentwicklung im
Bereich IT-Sicherheit, Modus Operandi, die Fähigkeiten und Methoden des BfV ziehen.
Dadurch wird die Aufgabenerfüllung der Nachrichtendienste beeinträchtigt, was
wiederum für die Sicherheit und die Interessen der Bundesrepublik nachteilig wäre.
Dieses, wenn auch geringfügige, Risiko des Bekanntwerdens im Falle einer eingestuften
Beantwortung der Frage kann – auch unter Berücksichtigung des hohen Stellenwerts
des parlamentarischen Fragerechts – nicht hingenommen werden. Die in den Bundesministerien inklusive der ihnen nachgeordneten Behörden besetzten und unbesetzten Stellen im Bereich IT-Sicherheit können der nachstehenden Übersicht (s. pdf am Ende) entnommen werden.

Antwortschreiben im Original (pdf)

Fußnoten:

1) Eine Stelle wird zum 1.4.2022 besetzt
2) Drei weitere Stellen sind beantragt
3) Hiervon werden zwei demnächst besetzt, zwei sind im Bewerbungsverfahren, eine ist ausgeschrieben
und bei drei weiteren wird die Ausschreibung vorbereitet.
4) Es wurde nur das IT-Sicherheitsmanagement betrachtet. Stellenanteile für die operative IT-Sicherheit
und fachliche Aufgaben zur IT-Sicherheit (z.B. IT-Sicherheit bei der Energieregulierung & Telekommunikation) wurden für das Ressort BMWK nicht erfasst.
5) Zahlen nur für die nachgeordnete Behörde BBR. Das BMWSB wurde erst mit Organisationserlass
des Bundeskanzlers vom 8. Dezember 2021 im Dezember 2021 gegründet.
Das BMWSB befindet sich daher noch im Aufbau. Erst im weiteren Verlauf der Aufbauarbeiten werden
daher belastbare Aussagen zur Stellenbesetzung bzw. zu deren Nichtbesetzung möglich sein.

Frage

Welche Erkenntnisse liegen der Bundesregierung gegebenenfalls zu Aktivitäten von „KAX17“ in dem Anonymisierungsnetzwerk Tor (s. dazu
https://nusenu.medium.com/is-kax17-performingde-anonymization-attacksagainst-tor-users-42e566defce8) vor, und planen bzw. führen Institutionen im Geschäftsbereich der Bundesregierung und ihrer nachgeordneten Behörden (z. B. BND, BfV, MAD, ZITiS, BKA) ähnliche Aktivitäten im Tor-Netzwerk durch (z. B. indem eigene sog. Relays betrieben werden)? (BT-Drucksache: 20/311, Frage 28)

Antwort des Staatssekretärs Dr. Markus Richter vom 23. Dezember 2021

Hinsichtlich der ersten Teilfrage liegen der Bundesregierung keine Erkenntnisse vor. Hinsichtlich der zweiten Teilfrage wird mitgeteilt, dass die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) nicht über operative Befugnisse verfügt. Soweit parlamentarische Anfragen Umstände betreffen, die aus Gründen des Staatswohls geheimhaltungsbedürftig sind, hat die Bundesregierung zu prüfen, ob und auf welche Weise die Geheimhaltungsbedürftigkeit mit dem parlamentarischen Informationsanspruch in Einklang gebracht werden kann. Im vorliegenden Fall ist die Bundesregierung zu der Einschätzung gelangt, dass eine Beantwortung der zweiten Teilfrage für die Strafverfolgungs-, Ermittlungs- und Gefahrenabwehrbehörden des Bundes, einschließlich der Nachrichtendienste des Bundes, nicht erfolgen kann. Bezüglich der erbetenen Informationen hinsichtlich der inzident angefragten Methoden der Sicherheitsbehörden im Bereich der Informationstechnischen Überwachung stehen überwiegende Belange des Staatswohls einer Beantwortung entgegen. Mit Auskünften zu den zur Verfügung stehenden kriminaltaktischen und nachrichtendienstlichen Vorgehensweisen und damit zu konkreten Strategien und Maßnahmen würde die Bundesregierung polizeiliche und nachrichtendienstliche Vorgehensweisen zur Gefahrenabwehr oder zur Verhinderung und Aufklärung von Straftaten offenlegen oder Rückschlüsse darauf ermöglichen. Hierdurch würden die Arbeitsfähigkeit und Aufgabenerfüllung der Sicherheits- und Strafverfolgungsbehörden sowie der Nachrichtendienste gefährdet werden, weil Täter oder potentielle Zielpersonen ihr Verhalten anpassen und künftige Maßnahmen dadurch erschweren oder gar vereiteln könnten. Somit würde eine Preisgabe dieser sensiblen Informationen sich auf die staatliche Aufgabenwahrnehmung im Gefahrenabwehrbereich wie auch auf die Durchsetzung des Strafverfolgungsanspruchs und die nachrichtendienstliche Informationsbeschaffung außerordentlich nachteilig auswirken. Eine VS-Einstufung und Weiterleitung der angefragten Informationen an die Geheimschutzstelle des Deutschen Bundestages kommt angesichts ihrer erheblichen Brisanz im Hinblick auf die Bedeutung der technischen Aufklärung für die Aufgabenerfüllung der Sicherheitsbehörden des Bundes nicht in Betracht. Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden. Die angefragten Inhalte beschreiben die technischen Fähigkeiten der Sicherheitsbehörden des Bundes in einem durch den Bezug auf eine bestimmte Vorgehensweise derartigen Detaillierungsgrad, dass eine Bekanntgabe auch gegenüber einem begrenzten Kreis von Empfängern ihrem Schutzbedürfnis nicht Rechnung tragen kann. Bei einem Bekanntwerden der schutzbedürftigen Information wäre kein Ersatz durch andere Instrumente möglich. Daraus folgt, dass die erbetenen Informationen derartig schutzbedürftige evidente Geheimhaltungsinteressen berühren, dass auch das geringfügige Risiko eines Bekanntwerdens, wie es auch bei einer Übermittlung dieser Informationen an die Geheimschutzstelle des Deutschen Bundestages nicht ausgeschlossen werden kann, aus Staatswohlgründen vermie den werden muss. In der Abwägung des parlamentarischen Informationsrechts der Abgeordneten einerseits und der staatswohlbegründeten Geheimhaltungsinteressen andererseits muss das parlamentarische Informationsrecht daher ausnahmsweise zurückstehen.

Frage

War die Vorabveröffentlichung der Schnittstelle und ihrer Dokumentation auf bund.dev (siehe Berichterstattung unter https://netzpolitik.org/2021/open-data-arbeitsagentur-kaempft-gegen-offene-schnittstelle/) ein wesentlicher Grund für die Anfang November erfolgte Überarbeitung der Schnittstelle der Job-Suche-App durch die Bundesagentur für Arbeit (wenn nein, bitte andere wesentliche Gründe detailliert ausführen), und welche Ressourcen wurden für die Schnittstellenänderung aufgewendet (bei externer Beauftragung bitte Kosten angeben, bei interner Erledigung Aufwand in Personentagen)? (BT-Drucksache 20/235, Frage 52)

Antwort der Parlamentarischen Staatssekretärin Anette Kramme vom 8. Dezember 2021

Die Bundesagentur für Arbeit bietet in ihrem Online-Portal www.arbeitsagentur.de für Arbeit- und Ausbildungssuchende mit der „Jobsuche“ eine digitale Stellenbörse zur Stellensuche an. Die Jobsuche steht ebenfalls als App zur Verfügung. Bei der veröffentlichten Schnittstelle handelt es sich um eine rein interne Kommunikationsschnittstelle, die dem Datenaustausch zwischen der Jobsuche-App auf mobilen Endgeräten und dem IT-System der Bundesagentur für Arbeit dient. Über die Schnittstelle ist weder ein Zugriff auf nicht-veröffentlichte Daten noch ein Zugriff auf Datenbanken möglich. Darüber hinaus ist diese Schnittstelle nicht für eine massenhafte Auswertung mit technischen Mitteln konzipiert. Da die Bundesagentur für Arbeit das sogenannte „Crawlen“, also das Durchsuchen von Dokumenten im Internet, unterbinden möchte, um insbesondere Kontaktdaten von Arbeitgebern und Arbeitgeberinnen zu schützen, wurde ein sogenannter Anti Automatisierungsservice in der Jobsuche eingeführt. Um Kontaktdaten von Arbeitgebern und Arbeitgeberinnen anzeigen zu lassen, muss manuell, also durch den Nutzer der Jobbörse, ein sog. „CAPTCHA“ gelöst werden. Damit wird sichergestellt, dass es sich nicht um eine automatisierte Abfrage handelt, sondern die Abfrage durch eine reale Person erfolgt ist. In der Webanwendung „Jobsuche“ ist der Anti-Automatisierungsservice bereits seit Jahren integriert. In der Jobsuche-App war dies zunächst nicht der Fall, da die Stellenangebote in der Regel auf einem mobilen Endgerät von einer realen Person aufgerufen und nicht „gecrawlt“ werden. Durch die Veröffentlichung der Schnittstelle auf bund.dev im Juli 2021 musste mit gezielten Zugriffen über diese Schnittstelle zum Abgreifen von Daten gerechnet werden. Vorsorglich wurde daher im August 2021 auch in der App der Anti-Automatisierungsservice eingeführt. Die notwendigen Änderungen an der Schnittstelle zur Unterstützung der CAPTCHA-Funktionalität beanspruchten geschätzt maximal einen Personentag.

Bild: „Führerschein in Hosentasche“ by Tim Reckmann | a59.de is licensed under CC BY 2.0

Das  digitale  Totalversagen rund  um  den  digitalen  Führerscheinnachweis  machte  viele  Schlagzeilen  und  ich  hatte  viele  Fragen.  Diese  Fragen  habe  ich  der  Bundesregierung  gestellt  und  deren  Antworten  werden  Euch  verunsichern…  aber  der  Reihe  nach.

Wer  es  nicht  mitbekommen  hatte:  Kurz vor der diesjährigen Bundestagswahl sollte es endlich soweit sein, Bundesverkehrsminister Andreas Scheuer (CSU) gab den Startschuss für den digitalen Führerschein-Nachweis in Deutschland bekannt. Dieser solle ab sofort in der Smartphone-App “ID Wallet” für alle bereitstehen und  in  bestimmten  Situationen  das analoge Papier ersetzen  können – z.B. bei der Nutzung von Carsharing,  bei  Autovermietungen oder bei Ausweiskontrollen. Die  Umsetzung übernahm der Dienstleister Digital Enabling GmbH, ein bis dato  völlig  unbekanntes Unternehmen.

Weiterlesen


Frage 1

Wie viele Anbieter bewarben sich bei der Ausschreibung zur Entwicklung der Smartphone App “ID-Wallet” und aufgrund welcher Kriterien ging der Zuschlag an die Digital Enabling GmbH (bzw. esatus AG)? (BT Drucksache 19/32661, Frage 1)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Die Bundesregierung hat sich im Teilprojekt „Ökosystem digitale Identitäten“ innerhalb des interministeriellen Projektes „Digitale Identität“ für die Nutzung eines bestehenden Rahmenvertrages mit der System Vertrieb Alexander GmbH (SVA) entschieden, in dem die IBM Deutschland GmbH sowie die Esatus AG als Unterauftragnehmer im Projekt tätig sind. Die Digital Enabling GmbH ist als Tochterunternehmen der Esatus AG Herausgeberin der von der Esatus AG entwickelten ID Wallet.

Frage 2

Wer zeichnete verantwortlich für die Vergabe und für die Freigabe, also den Start der ID- Wallet App? (bitte Name(n), Position(en), Abteilung(en)/Organisationseinheit(en), Bundesbehörde(n) (Ministerium oder nachgeordnete Behörde(n) angeben, ggf. getrennt für Vergabe und Freigabe). (BT Drucksache 19/32661, Frage 2)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Die ID Wallet App ist nicht erst zum Start des Digitalen Führerscheinnachweises am 23.09.2021, sondern bereits seit 05.05.2021 durch die Digital Enabling GmbH in den App Stores von Google und Apple verfügbar gemacht worden. Die esatus Wallet, auf deren Source Code die ID Wallet aufbaut, steht in Herausgeberschaft der esatus AG sogar bereits seit 14.02.2020 in den App Stores.

Die Freigabe des Updates 1.6, das erstmals die Einbindung des digitalen Führerscheinnachweises sowie ein Ausstellen der „Basis-ID“ nicht nur mit Testausweisen ermöglichte, fiel in einer gemeinsamen Abstimmung aller für diesen Anwendungsfall verantwortlichen Stakeholder.

Derzeit laufen Gespräche zwischen BReg und den am Gesamtprojekt beteiligten Unternehmen über eine dauerhafte Governance für das Gesamtökosystem Digitale Identitäten. In diesem Zusammenhang wird die Gründung eines öffentlich-privaten Joint Ventures angedacht, das zu je 50%igem im Eigentum der öffentlichen Hand einerseits und der Wirtschaft andererseits stehen und die Betriebsverantwortung für das Ökosystem übernehmen soll. In diesem Zusammenhang ist auch die dauerhafte Herausgeberschaft der ID Wallet Thema weiterer Gespräche innerhalb der Bundesregierung.

Frage 3

Wurde im Vorfeld der Veröffentlichung der Smartphone App “ID-Wallet” im Rahmen eines Penetrationstests (Pentest) auf die spezifische Schwachstelle von sog. MitM- Angriffen (Man-in-the-Middle) hingewiesen (s. dazu https://lilithwittmann.medium.com/mit-der-id-wallet-kannst-dualles- und-jeder-sein- au%C3%9Fer-du-musst-dich-ausweisen-829293739fa0) und falls ja, warum wurden diese Hinweise vor dem Start der App nicht berücksichtigt? (BT Drucksache 19/32661, Frage 3)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Ein Abfangen der Daten benötigt bei Verbindungsaufbau über QR-Code (bzw. Synonym Deeplink) den Austausch des QR-Codes, dies ist bei einem gedruckten QR- Code nur durch physische Anwesenheit und Austausch, oder bei einer Einbindung auf einer Website durch Zugriff auf interne Systeme (Webserver) der Verifizierenden möglich.
Nach Informationen durch die Entwickler IBM und Esatus ist dies konkret beim ersten Anwendungsfall „Hotel-Check-In“, welcher in einem kontrollierten und begrenzten Rahmen stattfindet, nur durch physische Anwesenheit oder Zugriff auf interne Systeme der Verifizierenden (hier des Hotels) möglich. Für den Hotel Check-In wurden in Abstimmung mit dem BSI daher zusätzliche organisatorische Maßnahmen ergriffen, um das Risiko für diese Art von Missbrauch zu vermeiden bzw. auf ein sehr geringes Maß zu reduzieren. Bei der Ausstellung des Führerscheinnachweises erfolgt die Identifizierung ohne QR-Code und mittels Onlineausweisfunktion. Das beschriebene Angriffsszenario ist dabei nicht einschlägig. Vor der Freischaltung weiterer Anwendungsfälle und dem Re-launch der ID Wallet werden weitere zusätzliche Sicherungsmechanismen implementiert: Dazu gehört die Vermeidung von sogenannten „connection-less Proof Requests“ und stattdessen die Anwendung von dynamischen QR-Codes. Weitere Maßnahmen zur Verhinderung von Phishing- Versuchen werden geprüft.

Bei den sensiblen Nachweisen Basis-ID und Digitaler Führerscheinnachweis sind mit der Gerätebindung zudem weitere Sicherheitsmechanismen implementiert, welche sicherstellen, dass diese Nachweise nur auf dem Gerät verwendet werden können, auf dem sie ausgestellt wurden.

Frage 4

Inwiefern (inkl. genauen Zeitpunkt sowie Art und Weise) wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) in die Prüfung der App “ID-Wallet” vor deren Veröffentlichung einbezogen (falls nicht, bitte begründen) und zu welcher Bewertung kam das BSI? (BT Drucksache 19/32661, Frage 4)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Beim Anwendungsfall digitaler Hotel Check-in ist gemäß § 29 Absatz 5 Satz 2 Nummer 3 des Bundesmeldegesetzes erforderlich, dass das BSI bei einer vorherigen Prüfung des Verfahrens ein vergleichbares Sicherheitsniveau zu den anderen in der Norm genannten Verfahren festgestellt hat. Für den Anwendungsfall digitaler Hotel- Check-in hat das BSI daher die vorgelegte Konzeption geprüft. In diesem Zusammenhang wurden zahlreiche Verbesserungen implementiert. Es wurde darüber hinaus notwendiger Weiterentwicklungsbedarf am System-Konzept festgestellt, bevor die Pilotanwendung in einen offenen Wirkbetrieb übergeht. Daran wird gearbeitet.

Dem BSI wurde zudem die Dokumentation „IT-Systemkonzept SSI-basierter Führerscheinnachweis“ zur Verfügung gestellt, in mehreren Fragerunden erläutert und das Dokument basierend auf den Rückmeldungen des BSI fortgeschrieben. Das BSI hat keine Betrachtung oder Prüfung der konkreten Implementierung durchgeführt, da es aufgrund seiner Zuständigkeit hierzu nicht aufgefordert war.

Frage 5

Inwiefern (inkl. genauen Zeitpunkt sowie Art und Weise) wurde der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in die Prüfung der App “ID- Wallet” vor deren Veröffentlichung einbezogen (falls nicht, bitte begründen) und zu welcher Bewertung kam der BfDI? (BT Drucksache 19/32661, Frage 5)

Antwort der Staatsministerin Dorothee Bär vom 7. Oktober 2021

Es gibt mit dem BfDI regelmäßig Austausche zu dem Ökosystem Digitaler Identitäten und der Funktionsweise aller Komponenten (einschließlich der ID Wallet) im Zusammenspiel, an denen in wechselnder Besetzung Mitarbeitende aus BKAmt, BMF und IBM teilgenommen haben. Dabei ist im Rahmen des übergeordneten Projekts „sichere digitale Identitäten“ der BfDI mit dem Ökosystem einschließlich der ID Wallet befasst; dies ist ein fortlaufender Prozess, bei dem der BfDI die projektverantwortliche Bundesregierung auf ihren Wunsch berät. Der BfDI als oberste Bundesbehörde bietet keine Prüfung oder Zertifizierung isolierter Apps an, insbesondere nicht von privaten Herausgebern.

Im BSI-Jahresbericht zur IT-Sicherheit in Deutschland 2021, der heute von Bundesinnenminister Seehofer und BSI Präsident Arne Schönbohm in einer Pressekonferenz vorgestellt wurde, wird die Sicherheitslage als „angespannt bis kritisch“ bezeichnet, werden Ransomware Attacken als größte Bedrohung sowie Sicherheitslücken in Software und Hardware als größte Herausforderung beschrieben und die neue Bundesregierung dazu aufgefordert, der IT-Sicherheit eine höhere Priorität einzuräumen, da sonst die Digitalisierung in Deutschland gefährdet sei. Die netzpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg stellt dazu eine Reihe konkreter Forderungen an die neue Bundesregierung:

Weiterlesen

Die investigative Recherche zur NSO Group Technologies und ihrem Überwachungsprodukt Pegasus schockiert, denn sie weist nach, wovor Aktivist:innen seit Jahren warnten: dass Sicherheitslücken auf elektronischen Geräten in vielen Ländern zur umfassenden Überwachung auch von Journalist:innen, Rechtsanwält:innen und Oppositionellen ausgenutzt werden. Weltweit werden durch die Einschleusung von Schadsoftware in Smartphones Grund- und Menschenrechte verletzt.

Bisher heißt es zwar, dass deutsche Behörden keine Geschäftspartner der NSO Group sind und auch keine Deutschen als Opfer der grenzenlosen Überwachung bekannt wurden , aber auch ohne direkte Beteiligung trägt die Bundesregierung dazu bei, dass solche Menschenrechtsverletzungen möglich sind und auch bei uns Überwachung auf Kosten der IT-Sicherheit aller immer stärker zunimmt. So erhielten gerade erst im Juni alle 19 Geheimdienste in Bund und Ländern die Befugnis, Staatstrojaner einzusetzen, die unter Ausnutzung von Sicherheitslücken in IT-Systeme eingeschleust werden. Sicherheitslücken unterscheiden jedoch nicht zwischen Gut oder Böse, Demokratie oder Schurkenstaat, legitimer Behörde oder krimineller Ransomware-Erpresserbande. Wenn Schwachstellen einmal offen sind, kann sie jeder ausnutzen, auch die NSO Group Technologies. Die Folgen sind nicht nur für die IT-Sicherheit gravierend, sondern bedeuten eine grundsätzliche Ausweitung der Überwachungsinfrastruktur weltweit, solange nicht alle bekannten Sicherheitslücken den Herstellern mitgeteilt und geschlossen werden.

Weiterlesen

Frage

Zu welcher Bewertung kam das Bundesamt für Sicherheit in der Informationstechnik in dem (nicht eingestuften) Bericht zu einer Sicherheitseinschätzung der Luca-App, der dem Bundesministerium für Gesundheit (BMG) und/oder dem Bundeskanzleramt seit einigen Wochen vorliegt (bitte Auflistung aller wesentlichen Erkenntnisse und Empfehlungen)? (BT Drucksache 19/31438, Frage 24)

Antwort des Staatssekretärs Dr. Markus Richter vom 8. Juli 2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im April d. J. einen internen Bericht erstellt und diesen dem Bundeskanzleramt, dem Bundesministerium für Gesundheit und dem Bundesministerium des Innern, für Bau und Heimat übersandt. Der BSI-Bericht kam zu dem Schluss, dass es bei der Luca-App und der zugehörigen IT-Infrastruktur noch Verbesserungsbedarf gab.
Das BSI hatte zuvor die iOS- und Android-Version der Luca-App im Rahmen seines App-Testing-Portals durch einen IT-Sicherheitsdienstleister prüfen lassen. Diese Tests haben eine begrenzte Prüftiefe und beziehen sich explizit ausschließlich nur auf die mobile Anwendung. Sie dienen der Prüfung für den Einsatz auf mobilen Endgeräten der Bundesverwaltung. Das Ergebnis der Prüfung wurde dem Betreiber übermittelt. Da der Einsatz der Luca-App in der Verantwortung der Länder erfolgt, ist eine Gesamtbeurteilung der Sicherheit der Luca-App und der zugehörigen IT-Infrastruktur mangels gesetzlicher Zuständigkeit nicht erfolgt.

Medienecho