Luca, die App, die bei vielen momentan als „Goldstandard“ bei der Kontaktverfolgung gilt, soll einen CheckIn in Restaurants und bei Events per QR-Code ermöglichen. Ist jemand infiziert, sollen die zuständigen Gesundheitsämter – oder der Veranstalter – einen Alarm auslösen und so die „Kontakte“ alarmieren können. Kontaktverfolgung und involvierte Behörden, alles zentral gespeichert und mit einem Schlüssel gesichert, der vom Anbieter erzeugt wird. Was kann da schon schief gehen…
Die App soll nicht weniger tun als die dahinsiechende Gaststätten- und Eventbranche retten. Durch diese App könne man ja endlich noch weiter lockern und aufmachen und durchatmen und hüpfen und knuddeln und klatschen und knutschen und singen und tanzen und jubilieren und schreien vor Freude, denn die App besiegt den verhassten Lockdown und bewahrt die Politiker davor Entscheidungen treffen zu müssen!
YAY!
Nay…
Was in der Theorie toll klingt, wirft in der Praxis Fragen auf, von denen viele noch immer unbeantwortet sind. Die App hat Probleme, die noch immer ungelöst sind. So viele Fragen und Probleme, dass man sich fragt, warum Politiker sich sofort mit nacktem Hintern auf die App geworfen haben.
Doch leider ist es so. Eva Wolfangel berichtet in einem Artikel in Zeit Online (leider hinter der Paywall), 10 Millionen Euro seien bereits aus verschiedenen Bundesländern geflossen. Mit mangelhafter Ausschreibung.
Sie berichtet von Unterlagen, die belegen, dass Vergabeverfahren offensiv ausgehebelt werden sollten.
Prima. Die Voraussetzungen für eine schnelle Impfung und genügend Impfstoff musste man nicht sattelfest bekommen, aber die Vergabeordnung umgehen, das geht. Vielleicht trifft das auch für das Land Berlin zu, das bereits am 23.03. die Verträge für Luca unterschrieben hatte – aller schon damals bestehender Kritik zum Trotz. Berlin zahlt
für den Einsatz über das kommende Jahr 1.168.000 Euro, später solle der Bund die Kosten übernehmen, der Vertrag sei schon unterschrieben
https://netzpolitik.org/2021/digitale-gaestelisten-das-zentrale-problem-von-luca/
Die Kritik nahm seitdem nicht ab. Sie nahm zu.
Die Lizenzen. Die Luca-App war eigentlich privatwirtschaftlich geplant, Open Source wurde sie erst im Nachhinein. Und gleich nach der Veröffentlichung des Source Codes wurde klar: Die Entwickler hatten Open Source Code verwendet, genauer, Code, der unter der BSD-Lizenz erschienen ist. Diese Lizenz verlangt zwar kein Copyleft, man muss den Source Code nicht veröffentlichen, aber der Copyright-Vermerk muss erhalten bleiben. Das Hackerkollektiv „Zerforschung“ geht davon aus, dass allein dadurch gegen die BSD-Lizenz verstoßen wurde.
Sie haben Open-Source-Code (BSD-Lizenz) einfach übernommen. Außer dem Entfernen von Lizenzhinweisen/Kommentaren und Whitespaceänderungen wurde nichts geändert. Damit wurde vmtl. gegen dessen Lizenz verstossen.
https://zerforschung.org/posts/luca-2/
Die Lizenz, unter der Lucas Quellcode schlussendlich veröffentlicht wurde, war dann etwas Selbstgestricktes, Wirres.
Gut, die Luca Macher haben nachgebessert, haben die Lizenzhinweise nachträglich eingefügt.
„Um es klar zu sagen: Wir haben einen Referenzierungsfehler gemacht, für den wir uns beim Autor sofort persönlich entschuldigt haben“, sagt Bublitz. Mittlerweile hat Luca gegengesteuert und einige Lizenzhinweise nachträglich aufgenommen.<
https://www.rnd.de/digital/luca-app-datenschutz-urheberrecht-intransparenz-ist-die-kritik-berechtigt-OY54MDBPPJGJ5L7PM6NNIZOT7M.html
Das ändert aber nichts an den weiteren Problemen. Jan Böhmermann, Enno Lenze – der Spaß war groß, als festgestellt wurde, wie schnell man diese App, die auf einem QR-Code basiert, austricksen kann. Jan Böhmermann loggte sich in einen Zoo ein, Enno Lenze kreierte einen eigenes Event … beides zeigt, wie leicht man in der App Falschangaben machen kann. Ennos Event hatte schließlich mehr als 600.000 Besucher.
Doch nicht nur das, es soll auch möglich sein, den Gastgeber eines Events rauszuschmeißen.
Gut, das könnte man noch als Kinderkrankheiten abtun, die beseitigt werden können. Schwerwiegender sind die Fragen, die die App in Sachen Datenschutz aufwirft. Bei positivem Test soll es eine Kontaktnachverfolgung geben, die Daten würden dann an die Gesundheitsämter gemeldet. Oder vielmehr: die Gesundheitsämter hätten Zugriff auf den Masterkey zur Entschlüsselung der Daten, der täglich geändert würde. Mal ganz davon abgesehen, dass nach einem Jahr Pandemie es noch immer nicht gelingen wollte, die Gesundheitsämter personell und vor allem technisch dafür zu rüsten, die Zahlen rechtzeitig ans RKI zu melden: wer soll das dort machen? Den Schlüssel holen, die Daten entschlüsseln, die … ach, ihr wisst schon.
Auch bleiben bei einer zentralen Speicherarchitektur noch zahlreiche andere Fragen. Experten aus der Schweiz ließen kein gutes Haar an der Architektur der App. Wenn hier medizinische Informationen in die Hände eines Unternehmens gelangen, diese dann mit persönlichen Daten verknüpft werden können und auf einem einzigen Serversystem gespeichert werden … holla, DSGVO und Co. schreien gerade laut „Shit!“. Denn das Verschlüsselungssystem – so sicher ist es nicht.
Der Vollständigkeit halber sei hier gesagt, dass diese Aussagen aus Lausanne von den Machern eines dezentral arbeitenden Konkurrenz-Systems, CrowdNotifier, stammt, aber die Probleme und Fragen, die in der PDF aufgeworfen werden, sind dennoch nicht von der Hand zu weisen.
Forderungen von Datenschützern nach einer dezentralen Speicherung auf dem Smartphone selbst, wie sie bei der Corona-Warnapp umgesetzt wurden, werden hier von Landespolitikern nicht aufgenommen und von den Machern ignoriert. Vielleicht hofft man in den Ländern: wenn schon teuer Geld bezahlen, dann mit der Option auf Nutzung der Daten bei Raster- und Schleierfahndungen? Denn auf dem Server sind schließlich viele Daten von Menschen gespeichert: wann war wer mit wem wo und wie lange …
Wenn schon scheiße, dann mit Meeresfrüchten?
Crap … sorry, crabs?
Enno Lenze konnte am Ende die App nicht mehr nutzen und nur dadurch, dass die Luca Macher die Veranstaltung löschten – wodurch die Historie gelöscht wurde, weil Lenze neu installieren musste – konnte alles sozusagen irgendwie resettet werden. Wobei nicht klar ist, ob das Event systemseitig beendet wurde wegen Missbrauchs oder weil die maximal mögliche Teilnehmerzahl erreicht war.
Alles in allem ist diese App verbesserungsbedürftig, ein Schnellschuss, und sie ist nur bei den Länderprinzen und -prinzessinnen angekommen, weil diese ohnehin schon Panik schieben. Und in Panik macht man Dinge oft in Eile und überstürzt.
Und wir? Wir hören Luka von Suzanne Vega, trinken einen guten Roten zu unseren Scampis und warten auf was Besseres. Oder eine bessere Luca.
Ja, und jetzt?
In Kürze soll die ohnehin schon existente Corona-Warnapp des RKI mit einer abgewandelten Form von CrowdNotifier aus der Schweiz ausgestattet werden, dieselbe Uni, die Luca auseinandernahm.
Hier sind keine Gesundheitsämter involviert, die Speicherung erfolgt auf dem Gerät. Kontaktnachverfolgung durch Behörden ist hier nicht möglich, aber eben auch kein oder wenig Missbrauch. Beim Schutz der Gesundheitsdaten darf es keine Experimente geben … wäre also nicht notwendig gewesen, jetzt überall auf Luca zu setzen, nur weil sie die ersten waren.
Vielleicht kann Smudo da nochmal bei culture4life nachhaken, damit Geofencing, zentrale Speicherung, Datenschutz und Sicherheit verbessert wird. Smudo- oder Fanta4-Bashing oder Bashing irgendwie durch die Blume ist hier ohnehin unangebracht, das macht die App nicht besser oder schlechter. Die LucaApp bietet einen Ansatz aber ist derzeit relativ weit davon entfernt, eine Lösung zu sein. Mit mehr Entwicklungszeit (gerade im Bereich Sicherheit & Datenschutz) kann man sich die App eventuell in Zukunft nochmal anschauen.