Hallo | Hello

Du kannst meinen Blog unterstützen. Gerne nehme ich Geldgeschenke per Paypal entgegen.
Oder Du suchst Dir für einen kleinen Betrag etwas in meinem Spendenshop aus.

Danke.
2021, Blog

Luca-App: Angriffsszenario 3

Die Schlagzeilen zur Luca-App waren nicht besonders gut. Fachleute aus der IT-Branche zeigen eher ein müdes Lächeln zur abgelieferten Arbeit. Politiker hingegen sind hell begeistert und bauen mit der App ganze Verordnungen. Wenn man politisch aktiv ist, weiß man, dass das alles reiner Aktionismus ist. Testen und einchecken mit einer App helfen nicht gegen einen Virus. Dagegen helfen nur Lockdown für alle, auch Konzerne, die wir nicht zum täglichen Leben benötigen, als Wellenbrecher, Hygieneregeln und Impfstoff.
Die Luca-App ist keine Hilfe. Aufgrund der schlechten Arbeit bietet sie sogar noch mehr Gefahren als momentan sichtbar sind. Um das zu verstehen, arbeite ich drei Szenarien auf, um zu zeigen welche Gefahren in der App lauern, wenn politischer Aktionismus aufgrund politischen Versagens auf billige StartUps trifft.

Die App hat bereits so schlecht gestartet, dass ich aus Erfahrung davon ausgehe, dass es noch schlimmer wird. Manipulationsmöglichkeiten, Datenlecks und fehlerhafte Nutzung werden den angesehnten Nutzen der App ausradieren.

Szenario 3: Missbrauch der zentralen Datenspeicherung und anderer Lücken

Das wohl schlimmste Szenario ist der Missbrauch der zentralen Datenspeicherung. Manipulation gegen die Menschen. Ich skizziere mal einen Angriff durch staatliche Behörden, wenn sie wirklich abgrundtief böse sind, weil auch die Regierung abgrundtief böse ist. Natürlich sind wir hier die Guten und alles nur Theorie.

Stellt Euch vor Ihr seid diese Regierung. Korrupt, arrogant, machtgeil. Euch nerven Bürger*, Bürgerinitiativen oder die Opposition oder sogar einzelne private Personen.

Stellt Euch vor Ihr wollt ein Gesetz erlassen, das irgendwie so richtig an eine Diktatur erinnern würde. Und ihr bemerkt, dass Ihr 10 Stimmen im Parlament zu wenig habt. Es müssten also 11 Personen irgendwie ausgeschaltet werden. Mörder seid ihr nicht, aber so eine Pandemie ist schon was Cooles.

Der Zugang auf die zentralen Daten wäre ein Angriffsvektor. Es soll ja in der Luca-App alles verschlüsselt sein. Wir gehen auch bis zum ersten Datenleak mal davon aus, dass da nichts manipuliert werden kann. *Gelächter* Somit fällt erstmal ein direkter Angriff per Datenaustausch weg. Nur kurz angemerkt: Sobald mal öffentlich wird, dass die Daten nicht manipulationssicher sind, wäre ein Szenario natürlich sofort umsetzbar, in dem man die Personendatensätze zur Teilnahme an Orten und Events so verändert, dass das Zielobjekt plötzlich in Quarantäne müsste oder Personen (Kontaktgrad 1), die im eigenen Hausstand leben. Da wir davon aber jetzt erstmal nicht ausgehen, machen wir das natürlich anders.

Wir lassen die 11 Zielpersonen beschatten. Sobald die Personen sich in einer Lokalität per Luca-App registrieren, registriert sich auch die mit der Beschattung beauftragte Person. Im selben Atemzug wird die Person als positiv getestete Person makiert und alle Personen, die sich in Ihrer Nähe aufgehalten haben, somit auch die jeweilige Zielperson, werden einen Tag später telefonisch in ein spezielles Testzentrum, zu einem speziellen Test-Termin, der von einem speziellen Arzt durchgeführt wird, hinbeordert. Oh, der Test ist positiv. Sie müssen erstmal in Quarantäne. Zwei Wochen. Parlamentssitzung? Wird wohl nichts. Die paar weiteren Kollateralschäden sind uns egal.

Ein machbares Szenario. Weil nach Positivmeldung der Prozess zur Testung nicht in den eigenen Händen liegt. Man wird angerufen, weil ein zentraler Datensatz abgerufen wurde und man hat schon einen Termin. Die Coronawarnapp (CWA) warnt Euch, ohne dass es jemand erfährt. Ihr selbst habt danach die Zügel in der Hand. Ihr könnt einen Arzt eures Vertrauens anrufen für einen Test, oder das Gesundheitsamt. Je nachdem wo man sich befindet, ist das schwerer von Fremden steuerbar.

Jedes mögliche Angriffsszenario kann missbraucht werden. Und wenn wir überlegen, dass heute noch Meldungen reinkommen, dass Registrierungsanrufe in Bundestagsbüros eingehen, deren Abgeordneten und Mitarbeiter keine App-Registrierung durchgeführt haben, wird klar welches Chaos und welcher Missbrauch auf uns zukommt. Wer noch Service im Internet nutzt, kann auch dort einfach eine SMS hinschicken lassen. Und wie wäre es, wenn Ihr die Daten von Leuten nehmt, die bspw. in einem Facebook-Leak enthalten waren? Fremde Daten, allgemeine Telefonnummer. Was für ein Spaß. So können wir doch noch eine Datenbank mit Fake-Daten füllen und haben dennoch überall Zugang.

 

Du nutzt die App? Du tust mir leid. Bedauerlicherweise haben wir alle dafür bezahlt.

 

This message goes only to me! Encrypted with PGP. | Diese Nachricht geht nur zu mir. Verschlüsselt mit PGP.