Frage 1
Wieso hat der Kreis sich für den Einsatz der Luca-App statt der steuerfinanzierten dezentralen und datensparsamen Corona-Warn-App für kreiseigene Einrichtungen entschieden? Das Land Hessen wünscht in der CoSchuV §4 lediglich eine elektronische Erfassung welche nicht näher definiert ist. Welche Alternativen stellt der Kreis zur Verfügung, sind QR Codes für die gemäß PM 270/2021 nutzbare Corona-Warn-App ebenso angebracht?
Antwort des Kreises:
Zur Durchführung der Kontaktpersonennachverfolgung war es bisher notwendig, die Personen einer Zusammenkunft adressierbar zu erfassen. Dazu hat es z. B. in der Gastronomie Formulare gegeben, in die sich jeder Gast eintragen musste, um im Bedarfsfall alle Betroffenen über das Gesundheitsamt zu informieren und ggf. eine Quarantäne zu verordnen Diese Funktionalität muss nach Maßgabe des Gesundheitsamtes eine technische Erfassung abbilden können. Mit der Luca-App bekommt das Gesundheitsamt genau diese Informationen, die zuvor auf Papier erfasst wurden, im Bedarfsfall auch elektronisch.
Die Corona-Warn-App informiert im Gegensatz dazu nach einem Treffen im Falle einer Infektion nur die Kontaktperson selbst auf dem Smartphone, die sich dann wiederum an das Gesundheitsamt wenden kann. Das Gesundheitsamt kann also ohne den Kooperationswillen der Kontaktperson keine Daten erfassen und ggf. andere warnen. Aus diesem Grund entsprach die Corona-Warn-App als Ersatz für Meldebögen in dieser Form nicht der Anforderung des Gesundheitsamtes, die eine lückenlose Kontaktpersonenverfolgung gewährleisten muss.
Die Luca-App wurde vom Land Hessen zentral beschafft und den Kommunen zur Nutzung angeboten, darum entstanden dem Kreis keine zusätziichen Kosten.
Neben der Nutzung der Luca-App bestand bei Veranstaltungen der Kreisverwaltung immer die Möglichkeit, die Kontaktdaten auf konventionellem Wege über Einzelformulare in Papierform zu erfassen. Bei einer Vielzahl von Veranstaltungen ist der Teilnehmendenkreis im Vorfeld bekannt, wırd bereits vor den Veranstaltungen erfasst und wurde in den vergangenen Monaten am Veranstaltungstag mit den tatsächlich erschienenen Teilnehmerinnen und Teilnehmer abgeglichen, sodass separat dann keine Daten mehr bei der Veranstaltung erhoben werden mussten.
In der Kantine der Hauptstelle Marburg nutzte dıe Betreiberin, dıe Integral gGmbH, ebenfalls die Luca App. Auch hier bestand Jedoch immer auch die Möglichkeit, die persönlichen Daten über eın Einzelformular schriftlich zu hinterlegen
In den kreiseigenen Turn- und Sporthallen war für die Sport- und Tumvereine ebenfalls eine fremmilige Registrierung per Luca App möglich, daneben standen aber wiederum Formulare fur dıe schriftliche Kontakterfassung zur Verfügung
Gemäß dem neuesten Beschluss des hessischen Corona Kabinetts ist die Kontaktdatenertwebung seit dem 16 09 2021 unter anderem nur noch in Einrichtungen mit besonders gefährdeten Personen erforderlich. Dies betrifft insbesondere Krankenhäuser sowie Alten- und Pflegeheime. Der Einsatz der Luca-App sowie der herkömmlichen Kontaktlisten bei Veranstaltungen in der Verwaltung ist daher auch aus Gründen des Datenschutzes nicht mehr notwendig, da keine Rechtsgrundlage für die Erfassung der personenbezogenen Daten mehr besteht.
Frage 2
Wie bewertet der Kreis die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geübte Kritik an der Luca-App wegen verschiedener Sicherheitslücken, insbesondere der Gefährdung der Gesundheitsämter? (https://www.heise.de/news/Auch-das-Bundesamt-kritisiert-Luca-App-Angriffs-Szenario-plausibel-6056614.html) https://github.com/mame82/LucaAppIssues/blob/main/abandoned_issues.md
Antwort des Kreises:
Die Sicherheitsbedenken für diesen Angriffsvektor sind durchaus relevant und nachvollziehbar. Der Angriff zielt nicht unmittelbar auf die Luca-App, sondern auf das Herunterladen der generierten CSV-Dateien für eine nachgelagerte Bearbeitung, z. B. in Excel. Dadurch ergibt sich die Möglichkeit einer sogenannten Code-Injektion, das heißt einer Einschleusung von Schadcodes. Darum ist das Herunterladen von CSV-Dateien im KernNetz des Landkreises Marburg-Biedenkopf gesperrt. Da es aber eine Notwenigkeit im Rahmen der Nutzung der Luca-App gab, hat sich die Arbeitsgruppe IT-Sicherheit der Kreisverwaltung unmittelbar nach Bekanntwerden der Lücke damit befasst und eine Lösung erarbeitet, die diesem Risiko begegnet.
Die Umsetzung folgt den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Hessen CyberCompetenceCenter und nimmt den verarbeitenden Rechnern die Möglichkeit, Fremd-Code aus einer CSV-Datei auszuführen.