Das BSI darf sich nicht den kompletten Quellcode der Luca-App anschauen. Eine Anfrage aus Hessen wurde vom Bundesinnenministerium abgelehnt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf das Kontaktnachverfolgungssystem Luca nicht auf mögliche Sicherheitsmängel hin überprüfen. Das Bundesinnenministerium habe eine entsprechende Anfrage an die Behörde durch das Bundesland Hessen ausdrücklich abgelehnt, berichtet Der Spiegel. Hessen habe eine umfassende Prüfung der "Luca-App inklusive der dazugehörigen Systeminfrastruktur" angefordert. BSI und Innenministerium bestätigten auf Anfrage von Golem.de den Bericht.

In den vergangenen Monaten sind mehrere Sicherheitsmängel der Luca-App von externen Experten aufgedeckt worden. Dazu zählte eine Code-Injection per Excel-Dateien. Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.