Hallo | Hello

Du kannst meinen Blog unterstützen. Gerne nehme ich Geldgeschenke per Paypal entgegen.
Oder Du suchst Dir für einen kleinen Betrag etwas in meinem Spendenshop aus.

Danke.
2021, Blog

Die Luca-App? Nee. (Update 1)

Im letzten Jahr haben wir Steuerzahler*innen 20 Millionen Euro für die Entwicklung der Corona-Warn-App (CWA) zur Verfügung gestellt. Dazu kommen noch mehr als doppelt so hohe Kosten für Wartung und Betrieb.

Mittlerweile tummeln sich weitere Apps, die eine Kontaktnachverfolgungsmöglichkeit anbieten. Eine davon ist die in den Medien gehypte Luca-App. Ein mehr oder weniger guter deutscher Rapper und ein StartUp. Perfekt für schlechte Politiker, um sich in die Presse zu bringen. Einen Rapper den man kennt? Wow! Ein StartUp? Wow! Ein StartUp.

 

Wo ist die Kamera in die ich sprechen kann?

 

Manche Leute glauben, dass StartUp soetwas wie Qualität oder Innovation bedeutet. Dabei scheitert die Mehrheit aus gutem Grund.

Nun schließen Bundesländer teure meist Millionen verschlingende Verträge mit dem StartUp, um die Luca-App als Nachverfolgungsinstrument einsetzen zu können. Wieder Millionen Steuergelder. Statt bereits Ende des Jahres 2020, als die Diskussion über schlechte Nachverfolgungsmöglichkeiten begann und dem Egoismus geschuldet falsche Angaben auf Nachverfolgungslisten entgegen gewirkt werden musste, die Funktion in der CWA schnell nachzurüsten. Der Luca-App-Hype wird uns diese Funktion in der CWA – die wirklich beneidenswert gut ist – nun doch bringen. Luca-App? Brauchen wir nicht mehr.

Spricht noch mehr gegen die LucaApp?

Ja. Für weniger IT-affine Leute unter uns: Sie haben endlich den Quellcode veröffentlicht. Ob das jetzt der aktuell genutzte Code ist? Ich habe schon Zweifel gelesen, unterstelle aber mal Ehrlichkeit. Zuerst veröffentlichten sie unter einer eigenen Lizenz, die im Grunde verboten hätte die App auseinander zu nehmen. Transparenz? Sieht anders aus. Dann schwenkten sie um und nun ist mindestens der veröffentlichte Code Open Source. Ein Teil des Codes gehörte ihnen aber gar nicht. Sie haben ihn unter Verstoß der dafür notwendigen Lizenz genutzt. Ehrlichkeit? Vertrauen? In Fachkreisen ist das alles erschüttert. Welche Auswirkungen das möglicherweise rechtliche Vorgehen des Programmiers nach sich ziehen wird dessen Code falsch genutzt wurde, ist noch offen. Ich wäre sehr teuer.

Was könnte den Laien davon abhalten die LucaApp zu nutzen?

Bereits Anfang März wurde öffentlich, dass die Webversion der App einfach manipuliert werden kann und man mit falschen Daten eine Luca-App-Registrierung hinbekommt.

Zusätzlich stehen nun auch die analogen Schlüsselanhänger unter Verdacht schlicht nicht so zu funktionieren, wie es gewünscht und im Grunde sogar vorgeschrieben ist. Nicht-registrierte Anhänger sollen den Zutritt an Orten ermöglichen, die die Luca-App einsetzen.

Damit ist im Grunde klar, dass die LucaApp genau den gleichen Wert hat, wie Papierlisten auf denen Donald Duck oder Darth Vader unterschrieben haben. Kontaktverfolgung nicht möglich und Infektionsrisiko zu hoch, da mindestens die Leugner und Quatschdenker, die kein Problem damit haben andere zu infizieren und umzubringen, auf diese Maßnahmen zurückgreifen werden.

App bereits aufgebrochen

Auch die App selbst wurde bereits aufgebrochen. Der Quellcode ist ja nun offen. Eine findige unbekannte Person hat bereits eine überarbeitete Androidversion in Umlauf gebracht, die es möglich macht die App ohne Telefonnummerverifikation zu nutzen. Damit hat die Luca-App noch weniger Wert als die CWA.

Probleme für Betreiber

Aufgrund der Schwachstellen und der bereits aufgebrochenen App und der leichten Umgehung der wichtigsten Funktion der Luca-App ist die Nutzung der App auch für Betreiber von Orten, die sie als Voraussetzung für den Eintritt machen wollen ein Risiko. Das Risiko verbirgt sich in den Coronaverordnungen.

Als Beispiel nehme ich die Verordnung aus Niedersachsen, die mich betreffen würde. Stand von heute, 05.04.2021. Paragraf 5 der Verordnung regelt im Absatz 1, Satz 1, was Betreiber erledigen müssen, Zitat:

 

“ … personenbezogene Daten der besuchenden oder teilnehmenden Personen zu erheben und bei begründeten Zweifeln auf Plausibilität zu überprüfen, zum Beispiel durch Vorlage eines Personalausweises.“

 

Ein zusätzlich eingefügter Satz 7a heisst, Zitat:

 

„Die Verpflichtungen nach den Sätzen 2, 3, 5 und 7 entfallen, wenn die Nutzung einer Anwendungssoftware zur Verfügung gestellt wird, mittels der Kontaktdaten sowie Erhebungsdatum und -uhrzeit sowie Aufenthaltsdauer erfasst werden können; die Software muss für einen Zeitraum von vier Wochen eine Übermittlung an das zuständige Gesundheitsamt ermöglichen. Das zuständige Gesundheitsamt ist berechtigt, die erhobenen Kontaktdaten nach Satz 5 oder Satz 7 a Halbsatz 2 anzufordern, damit eine etwaige Infektionskette nachverfolgt werden kann.“

 

Das Problem für Betreiber ist nun, dass die Verpflichtungen aus Absatz 1 Satz 1 nicht durch die App aufgehoben werden. Der Satz 7a gilt nur ab Satz 2. Dort ist u.a. geregelt welche Daten erfasst werden müssen. Man kann zwar begründen, dass die App die Erhebung ermöglicht, jedoch kann der Betreiber die Plausibilität nicht prüfen. Einmal könnte er das gar nicht, wenn die App sauber funktionieren würde, da er nicht der Betreiber der App-Infrastruktur ist und alles sowieso verschlüsselt sein soll, zum anderen kann er es nicht mehr, weil die Sicherheitslücken und Umgehungsmöglichkeiten einen sicheren Betrieb nicht mehr für den vorgesehenen Zweck garantieren. Damit ist das Risiko auf den Betreiber eines geöffneten Betriebes übergegangen, weil durch die öffentlich bekannten Manipulationsmöglichkeiten bei jedem Besucher begründete Zweifel bestehen.

 

Ach, sie nutzen die Luca-App? Hat Ihnen keiner gesagt, dass die gar nicht funktioniert? Sie haben keine Papierlisten? Das ist aber schade. Hier ist der Bußgeldbescheid. Wie? Sie haben gar kein Geld mehr durch den ganzen Lockdown? Tja. Verordnung ist Verordnung.

 

Fazit

Auch die Luca-App basiert mit großen Abstrichen wie die Corona-Warn-App auf Vertauen. Da die CWA jedoch keine zentralen Instanzen besitzt, richtig Open Source von Anfang an war und die Datenhoheit beim Benutzer lässt, ist diese definitiv vorzuziehen. Die Luca-App lädt dagegen zum aktiven Betrügen ein. Und viele Verweigerer der Hygienemaßnahmen werden die Lücken nutzen und damit andere in Gefahr bringen. Die einen wirtschaftlich, die anderen gesundheitlich. Im Grunde passt sie daher aber in unsere Zeit. Wir belügen uns ja gerne sehr oft selbst und glauben zu oft, dass Technik und Apps uns irgendwie voranbringen. Und mittelmäßige Politiker, die ein Jahr lang keine effektive Pandemiebekämpfung hinbekommen haben, stellen sich einfach nur neben ein StartUp, um vom Glauben an Innovation durch Software ein bisschen positives PR abzubekommen. Wenn Du Dich mit einem Star fotografieren lässt, bist Du ja auch ein Star. Yeah. Die Luca-App ist ein Placebo. Die CWA ist Verantwortung. Die Verordnung in Niedersachsen macht es für Nutzer auf der gewerblichen Seite trotzdem nicht möglich mit irgendeiner App den Ansprüchen zu genügen.

Wenn App, dann CWA

Wenn wir öffnen, dann sollte auf die Corona-Warn-App gesetzt werden. Ist die Kontaktverfolgungsfunktion integriert, sollte die CWA ein Teil der Maßnahmen für eine Teilnahme am normalen Leben sein. Die Hoheit über die Daten bleibt beim Smartphonebesitzer. Bei uns. Datenmissbrauch geht nicht. Verantwortung liegt weiterhin bei jedem selbst eine Infektion zu melden. Es wäre sicher sinnvoll, dass die App bereits mindestens 14 Tage gelaufen ist, um effektive Kontaktverfolgung zu ermöglichen, um bei einem CheckIn akzeptiert zu werden. An einem PCR- oder Antikörper-Test werden wir aber erstmal trotzdem nicht vorbeikommen, da es auch Personen gibt, die keine App nutzen wollen oder können. Was im Kern aber auch in Ordnung ist. Grundrechte können nicht von einem Stück Software abhängig gemacht werden.

 

Update 07.04.2021

Die negativen Meldungen gehen weiter. Siehe diesem Link und den dann folgenden Links inside.

 

This message goes only to me! Encrypted with PGP. | Diese Nachricht geht nur zu mir. Verschlüsselt mit PGP.

 

Updates: Einige Fehler behoben und einige Aussagen konkretisiert.