Bei der Zeit gibt es ebenfalls einen sehr kritischen Artikel über die Luca App:
Zeit: Warum wollen plötzlich alle Luca?
Ich habe erhebliche Zweifel, ob hier der Vertrauensvorschuss gerechtfertigt ist.
Dies ist vergleichbar mit der Corona-Warn-App, basiert sie doch auf dem Crowd Notifier Protokoll. Kann Risikokontaktwarnung, aber kann aber wg. Anonymität kein Kontaktdatenlieferant sein für Kontaktpersonennachverfolgung.
Es ist unzweifelhaft ein Lizenzbruch, weil die Open-Source-Lizenzbedingungen des ursprünglichen Entwicklers nicht mehr im Code enthalten ist (damit geht m.W. kostenlose Lizenzrecht verloren).
Im Hinblick auf die kolossale Aufregung „im Internet“ (insbes. Twitter) ist es immer klüger, erst einmal die Fakten zu eruieren, bevor man reflexartig in ekstatische Empörung gerät.
Nach all dem, was ich inzwischen weiß: Der angestellte Entwickler hat diesen Code offenbar nicht vom ursprünglichen Entwickler kopiert. Vielmehr handelt es sich offenbar um einen relativ häufig genutzten Code, und der Entwickler hat den Code aus einer anderen Source herauskopiert, in dem die Lizenzbedingungen bereits gelöscht waren.
Damit ist der Lizenzbruch vermutlich rechtlich immer noch ein Lizenzbruch. Aber aus dem allseits behaupteten Vorsatz wird dann eben vermutlich eine Fahrlässigkeit.
Leider hetzt eine bestimmte Fraktion aus der „Security und Krypto Szene“ (a.k.a. „Daten-Ayatollahs“) aus grundsätzlichen Gründen, die m.E. einen fanatischen Charakter haben, seit Wochen gegen Luca.
Neben dem Security-by-Design-Argument „Einen Schutz personenbezogener Daten kann es ausschließlich bei einer strikt anonymen Anwendung und bei strikt dezentraler Datenspeicherung geben“ gibt es dann noch das Argument „Freiwilligkeit / Nicht-Diskriminierung“.
Alle drei Argumente kann man führen. Aber alle drei Argumente schließt eine Kontaktpersonennachverfolgung faktisch aus. Fast alles im Leben ist eine Güterabwägung. Wer kategorisch ablehnt, muss mit den Konsequenzen leben, nämlich: Es gibt keine Möglichkeit, zu verhindern, dass die 10-15% Covidioten / Egoisten / Dummen im Fall eines Risikokontakts weiterhin Menschen treffen. Wg. der exponentiellen Entwicklung der Infektion wird damit eine No- oder LowCovidStrategie faktisch unmöglich.
Diese Datenschutz-Ayatollah-Argumente sind Wasser auf die Mühlen der „Datenschutz behindert den Kampf gegen die Pandemie“-Fanatiker auf der andere Seite.
Dann gibt es noch das ideologischen igitt-Argument „die sind doch kommerziell“.
Alles Argumente, die mich nicht überzeugen.
Aber tatsächlich gibt es eine Reihe von Problemen mit der Luca-App. Das kann aber nicht bedeutet, dass man die App, die m.E. im Hinblick auf Datenschutz am ausgeklügelten und in der Entwicklung am weitesten fortgeschritten ist, zu verwerfen. Vielmehr ist das ein Grund, dass der Bund einen Rahmenvertrag mit dem Betreiber abschließen und eine Überwachung etablieren sollte, die genau diese Defizite aus dem Weg räumt.
Die Autorin hat aber bereits früher einen Artikel und der Zeit über die Luca App geschrieben, der von wenig Verständnis der Zusammenhänge, von einer starken Beeinflussung der Datenschutzayatollahs zeugt. Parallel hat Sie sich auf Twitter mit dem CTO, dem CEO sowie dem PR-Verantwortlichen gebattelt - beide Seiten haben sich emotional, ja geradezu infantil geriert. Ganz offenbar ist im Zusammenhang mit ihrer Recherche etwas vorgefallen.
Ich habe mir daher den Artikel mit einer Portion Skepsis angeschaut:
Erstens steht infrage, ob Luca das leisten kann, was viele von der App erwarten, nämlich eine Art Rückkehr zur Normalität.
Dass einige Menschen hoffen, mit solche einer Lösung zurück zur Normalität zu können, ist nachvollziehbar, aber ein Trugschluss. Die Entwickler/Betreiber und Befürworter von Luca (bis auf Smudo) haben aber so etwas m.W. nicht behauptet.
Zweitens kritisieren viele IT-Expertinnen und -Experten die App als unsicher
Die hier zitierten „IT-Expert:innen“ kommen überwiegend aus der von mir erwähnten „Security und Krypto Szene“ (a.k.a. „Daten-Ayatollahs“) inkl. CCC, die kompromisslos auf Anonymität, Dezentralität und Freiwilligkeit bestehen. Siehe oben. Die erwähnten schweizer Experten haben ohne Kenntnis des Sourcecode (Teile davon wurden erst jetzt veröffentlicht) theoretisch am grünen Tisch durchgespielt, was worst case passieren könnte, sofern die Entwickler dagegen keine wirksamen technischen Maßnahmen implementiert haben. Ob diese implementiert sind, haben die 3 Forscherinnen aus Lausanne nicht untersucht. Die Journalistin hat diese Studie dagegen als Schwachstellen-Analyse verstanden, die tatsächlich existierende Schwachstellen aufzeigt. Das ist schlicht falsch.
und weisen darauf hin, dass es bessere Lösungen gebe.
Ich kenne keine sachlich fundierte Kritik, bei der Experten behaupten, es gäbe bessere Lösungen, die als Datenzulieferung für Kontaktpersonnachverfolgung dienen können. Es wird immer auf anonyme Lösungen verwiesen.
Drittens könnte die Funktion, die dieser Tage in die Corona-Warn-App eingebaut werden soll, einer solchen Lösung sehr nahe kommen.
…
Die Corona-Warn-App kann, was Luca kann – und zwar privatsphärefreundlich
Das wird immer wieder behauptet, bleibt aber falsch. Siehe oben.
Und viertens wirft all das die Frage auf, warum die App plötzlich für viel Geld eingekauft wird und das vielerorts ohne öffentliche Ausschreibung, auf die sich auch andere Anbieter hätten bewerben können.
Zeit, Perfektionismus und Bedenken sind die drei besten Freunde des Virus. Wir können es und jetzt einfach nicht leisten, zuzuwarten!
Es gibt ca. 50 Alternative Lösungen. Haben wir die Zeit, die z.B. der Bund brauchen wird, um diese auf Herz- und Nieren zu prüfen. Die meisten von denen flogen bis jetzt unter dem Radar der Security und Krypto Szene" (a.k.a. „Daten-Ayatollahs“).
Das sind fast alles Lösungen, die die Corona-Gästelisten oder die Datenerhebung für eine Kontaktpersonennachverfolgung digitalisieren. Die können nicht anonym sein! Und viele werden mit kommerziellen Absichten entwickelt. Die werden genau durchfallen wie luca.
Die Kapazitäten der Ämter, Kontaktpersonen anzurufen, bleiben allerdings der Flaschenhals.
Ja, das ist richtig. Zum einen würde allerdings Luca ganz massiv dazu beitragen, den Aufwand auf Seiten des Gesundheitsamtes massiv zu senken. Zum anderen: Sollen wir auf Kontaktnachverfolgung verzichten, nur weil Kreise, Kommunen und Städte nicht in der Lage oder willens sind, die Gesundheitsämter endlich richtig auszustatten?
Golem bringt es nochmal auf den Punkt:
Lieber TRq,
ich mag jetzt gar nicht groß inhaltlich darauf eingehen (insb. glaube ich das Apps insgesamt als Baustein der Pandemiebekämpfung deutlich überschätzt sind).
Ich wollte nur einmal spiegeln, dass die konsequente Nutzung des Begriffs ‚Daten-Ayatollahs‘ (hier und in einem anderen Faden) als Synonym von einer von Dir als homogen beschriebenen ‚Security und Krypto Szene‘ in meinen Augen den Diskurs unnötig zuspitzt.
Mir ist bewusst, dass Ulf den Begriff letzten Frühlng mal genutzt und auch verteidigt hat, aber ich halte ihn dennoch für überhaupt nicht hilfreich.
U.a. weil in diesem Kontext ja ‚Ayatollah‘ nicht als Platzhalter für ‚islamsich-schiitischer Rechtsgelehrter‘ genutzt wird sondern als Platzhalter für ‚politisch-religiöser Fundamentalist‘. Vor dem Hintergrund der iranischen Revolution von 1979 und der seitdem dort herrschenden Staatsform & Repressionsaperat würde ich mich wundern, wenn Du das für einen angemessenen Vergleich halten würdest.
3 „Gefällt mir“
Hinweis: Nein, die Security-Krypto-Szene ist nicht homogen. Ich spreche daher sehr bewusst über diese, leider sehr lautstarke „Fraktion“
Zugegeben, ist in der Tat sehr zugespitzt, wenn nicht sogar überzogen.
Allerdings weckt die keinerlei Kompromiss duldende Kritik dieser „Fraktion“ an allen Lösungen, die nicht anonym, nicht völlig dezentral und nicht absolut freiwillig sind, schon sehr starke Assoziationen zu fanatischem, religiös-artigem Fundamentalismus. Einen Diskus lassen diese Protagonisten nicht zu.
Und „ziehen“ dann - wohl weil sie letztlich dann doch nicht offen zu ihrer Kompromisslosigkeit stehen - mit alle mögliche anderen, völlig schräge Argumente gegen solche Lösungen buchstäblich zu Felde. Bei mir weckt dies Assoziationen zu „heiligem Krieg“. Quasi die 10 Prüfsteine für die Beurteilung von „Contact Tracing“-Apps als „Sharia“ dieser Fraktion aus der ‚Security und Krypto Szene‘.
Bedauerlich ist es, wenn sich Journalist:innen kritiklos auf diese Fundamental-Fraktion berufen, ohne genauer hinzuschauen.
Ob solche Zuspitzungen hilfreich oder hinderlich sind? Oft schon. Hier nicht: Bei derartig Diskurs-verweigernden Menschen ist eine Diskussion Lebenszeitverschwendung und daher schadet die Zuspitzung auch nicht weiter. /SarkasmusAUS
Leider gibt es bei Datensicherheit kein „größtenteils sicher“. Entweder es ist sicher, oder eben nicht. Einsen und Nullen, dazwischen gibt es nichts. Hier ist nicht zu diskutieren.
Sicherlich gibt es unterschiedliche Methoden diese Sicherheit zu erreichen. Aber nur wenn diese offen gelegt und von neutralen Dritten überprüft werden können kann man aus technischer Sicht eine Freigabe geben. Und nur dann kann man über die Methoden auch diskutieren. Closed Source ist deswegen kein guter Weg, da man die Umsetzungen dann nur noch als Black Box testen kann.
Zurück zur Luca-App: Hier gibt es einfach handfeste wirtschaftliche Interessen, um eine neue Anwendung mit viel Macht und Popularität einzelner Personen in den Markt zu bringen. Dies macht die App nicht grundsätzlich zu einer schlechten Lösung, wohl aber wird sie gerade deswegen in der IT Security Branche mit Skepsis betrachtet. Skepsis kann man ausräumen, aber das geht nur mit Transparenz, und alles was ich bisher dazu von der Luca-App mitbekommen habe scheint der Hersteller dazu nur bedingt bereit zu sein.
Diese Verweigerung einer Diskussion ist ganz genau das, was ich meine! Selbstverständlich gibt es etwas zu diskutieren:
- Wenn Anonymität Prinzip-bedingt nicht möglich ist (weil die Anforderung Daten für eine Kontaktnachverfolgung sind), gibt es keine 100%ige Sicherheit. Das wird immer ein Katz-und-Maus-Spiel sein zwischen Sicherheitsmaßnahmen und Hackern.
- Und dann gibt es immer eine Abwägung: Wie viel Aufwand können und wollen wir betreiben, um die jeweils nächste 1% Sicherheit zu erreichen? Irgendwann kommt man einen Punkt, an dem der Aufwand für die nächsten 1% Sicherheit in keinem Verhältnis mehr steht zur Wahrscheinlichkeit, dass jemand diese Sicherheitsmaßnahme noch umgeht (wobei derjenigen ja eine ganz ähnliche Abwägung vornimmt).
Disclaimer: Ich bin kein Fan der Entwickler und/oder Betreiber von Luca, noch von Fanta4 oder Smudo. Die haben sich wirklich teilweise zu dusselig angestellt und wirken streckenweise völlig überfordert, manchmal un-professionell. Aber deren Idee, deren Konzept, deren Vision von dem Tool ist es m.E. wert, nicht gleich das Kind mit dem Bade auszuschütten.
Ich plädiere dafür, dass z.B. der Bund einen Vertrag mit dem Betreiber oder dem Entwickler macht, mit dem dieser, die komplette IT-Lösung sowie deren Verfahren und Betrieb unter Aufsicht einer kompetenten Bundesbehörde (z.B. Bundesamt für Sicherheit in der Informationstechnik zusammen mit dem Bundesbeauftragten für den Datenschutz und der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) gestellt wird. Und es müssen alle bislang gefundenen sowie noch zu findenden Schwachstellen und Bugs unverzüglich beseitigt werden.
Dazu:
Uneingeschränkt einverstanden. Ich habe noch immer die Hoffnung, dass die auch die Quelltexte für die iOS-App, die Webanwendung und die Server-Anwendung unter Open Source veröffentlichen.
Kann ich verstehen, auch wenn ich das grundsätzliche Misstrauen gegen Menschen mit Gewinnabsicht nicht teile.
Ich kenne deren wirtschaftlichen Absichten nicht. Die bislang mit den Ländern vereinbarte Vergütung wird es nicht alleine sein (davon geht ein nicht unerheblicher Teil für laufende Kosten wie Server, SMS-Gebühren, etc. drauf und schließlich entwickeln die schon etliche Monate mit einer heißen Nadel und einem ich weiß nicht wie großen Team).
Ich mutmaße: Die wissen das selbst noch nicht so genau. Vermutlich wollen sie erst einmal einen große installierte Basis schaffen und dann darüber nachzudenken, wie sie damit dann verdienen können.
Vielleicht können sie den Gäste-Nutzern und/oder den Location-Betreibern und Veranstalter nutzbringende Zusatzleistungen anbieten. Gerüchte sprechen über die Übermittlung von Testergebnissen (interessant, dass SAP und Telekom dieses Feature gerade jetzt für die Corona Warn App angekündigt haben) - vielleicht wird das eine kleine Gebühr kosten?
Für einen solchermaßen erweiterten Zweck dürfen sie aber gem. DSGVO erst einmal nicht die hinterlegten personenbezogenen Daten verwenden. Dazu müssen die Nutzer explizit zustimmen. Darüber hinwegsetzen wäre angesichts der möglichen Bußgelder ein hohes wirtschaftliches Risiko und damit ziemlich dumm.
Ein gutes hatte die Luca App ja auf jeden Fall: Die Corona Warn App bekommt jetzt endlich Funktionen, mit denen man die App endlich aktiv nutzbringend verwenden kann.
Worüber möchtest Du denn diskutieren? Ob man das Risiko, dass die Daten entweder ungewollt in fremde Hände fallen oder sogar, was fast noch schlimmer wäre, bewusst für andere Auswertungen benutzt werden, eingehen wollen?
Soweit ich das richtig sehe gibt es doch jetzt (bald) eine Erweiterung der Corona Tracing App, die trotz Anonymität ein Tracing für z.B. Gastronomie etc. ermöglichen soll. Man sollte doch den schlauen Köpfen, die wir in der IT haben, entsprechende Lösungen zu entwickeln.
Nö. Man sollte diskutieren, ob die technischen und organisatorischen Vorkehrungen zum Schutz der personenbezogenen das Risiko so weit absenkt, dass wir bereit sind, das Restrisiko in Kauf zu nehmen, wenn dadurch Leben gerettet, Langzeitfolgen verhindert und eine Rückkehr zur Normalität wieder zur Perspektive wird (in Kombination mit Impfen, Testen u.v.a. Maßnehmen). Mit Menschen, die ein Restrisiko für inakzeptabel halten, kann man halt nicht diskutieren … Gegenfrage: Nimmst Du am Verkehr teil? Lebst Du seit Jahrzehnten in einem Land, in dem es noch Atomkraft gibt? Nutzt Du Google, Facebook, WhatsApp, Instagram, Twitter, YouTube, … In unzählige Bereichen leben wir mit Restrisiko.
Nein, die Corona Warn App wird auch nach dem Update kein contact tracing = Kontaktnachverfolgung können. Sie kann „nur“ Risikokontaktwarnung nach Clustererkennung (was wertvoll ist). Nochmal: Tracing = Kontaktnachverfolgung kann Prinzip-bedingt nicht anonym sein.
Man kann sich aus diese Grund bewusst gegen Kontaktnachverfolgung entscheiden. Dann muss man aber erklären, wie man bei der exponentiellen Entwicklung die Pandemie eindämmen kann, wenn ein bestimmten Prozentsatz von Covidioten, Egoisten und Dummen sich nicht vernünftig verhält.
Was heisst hier „Restrisiko“? Die Daten fallen an, sie werden gespeichert, sie werden verwendet. Diese Daten verschwinden nicht mehr. Das Risiko mag also am Anfang gering sein, aber es steigt ständig an, automatisch. Je größer die Datenmenge wird desto interessanter wird sie für Kriminelle und irgendwann auch für Regierungen.
Ja, habe ich eine Alternative?
Leider, ich habe jedoch jede Partei und Organisation unterstützt die gegen Atomkraft war, seit ich politisch denken kann.
In Teilen, aber ich kann mich dem entziehen wenn ich will. Das kann ich aber bei Tracing apps nicht mehr wenn Kontakt Nachverfolgung für sämtliches öffentliches Leben nötig sein wird.
Leider wieder falsch. Alle Checkin Daten werden nach 30 Tagen gelöscht
Ich möchte das hier nicht zu einer Privatdiskussion machen, aber ich arbeite in einem Unternehmen dass mit vielen Daten umgeht und aus mehreren regulatorischen Gründen Daten nach einer gewissen Zeit löschen muss. Und ich kann aus Erfahrung sagen, dass dies schwierig ist. Solchen Daten laufen durch verschiedene Server-Systeme, landen dann in Datenbanken, werden in Backups geschrieben, und und und. Dafür zu sorgen dass wirklich alle gelöscht werden, solange diese Daten nur in einem Unternehmen bleiben ist schon schwierig und erfordert Pflege, denn Datenströme ändern sich auch.
So, nun werden diese Daten aber noch an die Gesundheitsämter übertragen. Die müssen nun auch alle diese Verfahren umsetzen und kontrollieren. In meiner Erfahrung ist es hoch wahrscheinlich dass sich ob gewollt oder ungewollt Daten anhäufen werden.
1 „Gefällt mir“
Das ist eine sehr interessante Perspektive:
Das ist der Grund, warum eine vertrauenswürdige Öffentliche Instanz mit Betreiber und oder Entwickler einen Rahmenvertrag abschließen sollte:
Ich vermisse die sehr kritische Diskussion des Logbuchs netzpolitik in diesem Thread.
Hallo ChristianF,
inwiefern vermisst Du die Diskussion aus dem Logbuch?
trq hat ja in mehreren Fäden Bezug auf die Diskussion von LNP genommen und argumentiert warum das für sie nicht entscheidend / überzeugend ist.
Andere Talk-Diskutant:innen sind anderer Meinung und haben auch im Verlauf der Diskussion bezug auf verschiedene LNPs genommen.
Es gibt eine ganze Reihe von Threads zum Thema:
Sorry, habe ich inzwischen auch gesehen. Wollte nur sichergehen, dass das wahrgenommen wurde, aber Ihr seid tief im Thema 
Mit nur einem Bild eines beliebigen Schlüsselanhängers,der im «Luca App»-Systemverwendet wird, lässt sich mit einfachen Programmierkenntnissenunbemerkt dasBewegungsprofil der Nutzer:in des Anhängers auslesen.
Klar, werden sie wohl beheben das Problem. Nur wo schlummern sonst noch solche Fallstricke?
Ja, ist eine heftige Schwachstelle. Zusammen mit einigen anderen Schwachstellen wirft das doch langsam aber sicher ein wirklich fragwürdiges Licht nicht nur auf die Implementierung durch die Entwickler, sondern auch auf Design und Sicherheitskonzept. Zusammen mit deren oftmals verblüffenden Außenkommunikation geht sogar mir langsam das Vertrauen flöten …
Ändert aber an meiner Meinung nichts.
- Angesichts von Covidioten, Egoisten und Dummen könnten wir uns auf ein strikt anonyme Lösung zur Warnung vor Risikokontanten nicht allein verlassen. Wir brauchen die Kontaktnachverfolgung und daher die Kontaktdaten aller Besucher aller Cluster-Situation.
- Die heutigen handschriftlichen „Corona-Gästelisten“ sind unter Datenschutz- wie auch unter Effizienz-Gesichtspunkten indiskutabel. Eine Digitalisierung des kompletten Prozesses von Check-In in Locations und Events bis zur Kontaktnachverfolgung durch das Gesundheitsamt ist daher dringend erforderlich, damit die Gesundheitsämter entlastet werden.
- Das geht nicht mit eine Security-by-Design-Konzept, das auf Anonymität setzt. Auch auf eine gewissen Zentralität von Daten wird man nicht verzichten können. Und das Ganze macht nur Sinn, wenn die Lösung Zugangsvoraussetzung für möglichst alle Location und Events mit Cluster-Charakter wird.
- Natürlich wäre es besser, für eine solche Lösung ein Konzept, ein Protokoll und die Schnittstellen zu definieren und dann entweder die Lösung staatlicherseits zu entwickeln oder möglichst viele verschiedenen Lösungen zu integrieren. Doch, ich kann Mike Ryan von der WHO nicht häufig genug (sinngemäß) zitieren: Perfektion, Bedenken und Abwarten sind die drei besten Freunde des Virus. Daher müssen wir mit der am weitest gedienten Lösung vorlieb nehmen und alle Schwachstellen schnellstmöglich beseitigen. Das bedarf allerdings einer zentralen staatlichen Stelle, die die Vergabe steuert und koordiniert, Rahmenbedingungen definiert, Verträge abschließt, den Betrieb des Systems überwacht, … Statt dessen haben wir einen aufgeregten, unkoordinierten Flatterhaufen von Bundesländern, Städten und Kommunen, bei denen wahrscheinlich kaum einer Ahnung von sowas hat.