Das Chaos mit der Kontakt-Nachverfolgung

Luca App

Über Monate wurde darüber diskutiert, wie man Veranstalter, Kulturschaffende, Läden, Gastronomie u.a. bei möglichen Öffnungen durch Kontaktverfolgungs-Apps unterstützen könnte.
Viele Software-Unternehmen haben Lösungen angeboten, die meisten davon ohne monetäre Hintergedanken, wie z.B. “Hello Q!“.

Nachdem der Landkreis München noch vor zwei Wochen eine Lizenz für “Darfichrein”  erworben hat, wurde nun gestern bekannt gegeben, dass der Freistaat jetzt auch eine Lizenz für “Luca” erworben habe.

Das Schlimmste daran ist, dass Interessierten suggeriert wird, man “müsse” die App “Luca” verpflichtend einsetzen, um eine digitale Kontakt-Nachverfolgung zu gewährleisten.
Dabei kann jeder Betreiber frei entscheiden, welche Lösung er einsetzen will.

Aber von vorn:
“Luca”, die Corona-Tracing-App, die unermüdlich von Smudo, einem Viertel der deutschen Rap-Legenden “Die Fantastischen Vier” in allen Medien beworben wurde, scheint nun überall das Rennen zu machen, obwohl die dahinter stehenden Firmen mit Anfängerfehlern und dubiosen Konzepten antreten. Politiker und Länder verstoßen gegen Vergaberichtlinien, um die App schnell zu verwenden uns ohne zu prüfen oder zu hinterfragen, ob die App gängige Sicherheits-Standards erfüllt.

Mecklenburg-Vorpommern hat als erstes Land für € 440.000.- eine Lizenz gekauft, weitere Bundesländer haben sich angeschlossen und spülten den Entwicklern, Inhabern und Betreibern des Luca-App-Systems, der Culture4life GmbH, der Nexenio GmbH, der Marcus Trojan UG, der Fantastic Capital Beteiligungsgesellschaft, sowie Centineo Investment GmbH & Co KG weit über 10 Millionen Steuergelder in die Kassen.

“Haben elf Bundesländer Lizenzen der “Luca-App” gekauft ohne Ausschreibung und auf Basis von online zusammen kopierten Textblöcken?”, fragt die Investigativ-Journalisting Eva Wolfangel. Es wird nicht lange dauern, bis Konkurrenten gerichtliche Schritte einleiten, eine Klage läuft offenbar schon. Dass eine Firmengruppe wie Culture4life unkompliziert und ohne Ausschreibungen Millionen an Steuergeldern erhält, entspricht nicht den Regeln, die normalerweise gelten.

Das alles könnte man ja noch verstehen, wenn die App wenigstens gut wäre, nur haben die Betreiber mittlerweile so viele Fehler gemacht, dass man sich fragen muss, ob das alles noch mit rechten Dingen zugeht.

Der Chaos Computer Club, wissenschaftliche Experten der Universitäten Lausanne und Radboud und Digital-Rights-Experte Michael Veale äußerten vernichtende Kritik:
Massenversand von SMS via Luca, Urheberrechtsverletzungen, katastrophal falsch verwendete GPL-Lizenzen, Nutzungsbestimmungen, die die Analyse und Publikation potenzieller Schwachstellen verhindern, fragwürdige Technik, unsichere und nicht nachvollziehbare Sicherheitslösungen, vor allem bei Verschlüsselung, Schlüsselablage und Metadaten und allgemein dem Datenschutz, und ein nur zaghaft, widerwillig und unvollständig veröffentlichter Code.

In Thüringen gaben Datenschützer nach einer Schnellprüfung zunächst grünes Licht für “Luca”, nach gründlicherer Prüfung schlug man aber Alarm. Über das ursprüngliche Urteil, das der App ein “gutes Niveau” bescheinigte, reagierten viele Experten mit Kopfschütteln.

Der Schlüsselanhänger, den auch die Hersteller der “Luca”-App anbieten, lässt sich einfach selbst erzeugen, was z.B. viele Kunden aus Rostock in den ersten Tagen verärgerte. Vor allem, als man feststellte, dass jede x-beliebige sechsstellige Zahl als Tan zur Bestätigung funktionierte.

Wer anonym mitmachen oder testen will, nutzt für die TANs SMS-Dienste wie SMS24.me. Offenbar machten das Hunderte von Testern. Auch das spricht nicht gerade für das Vertrauen, das Anwender in die App setzen.

Sicherheitsexperten fanden durch Testen der URLs heraus, dass die Daten der Standorte und die anwesenden Besucher nicht nur ohne Verschlüsselung und Authentifizierung auslesbar, sondern teilweise auch aus der Ferne änderbar sind. Man muss nicht vor Ort sein, um sich an einem Standort zu registrieren. Und diverse Einrichtungen dürften es nicht lustig finden, wenn ihre Adressen im Netz erscheinen.

Das hat gestern auch Moderator Jan Böhmermann vorgeführt: “Digitalisierung machts möglich: “Ich habe mich soeben um 0:40 Uhr über diesen QR-Code mit der LucaApp als ‘Michi Beck’ von Berlin aus im Zoo Osnabrück eingecheckt und verbringe jetzt eine Nacht virtuell in Gedanken bei Elefantenbaby Yaro”, schrieb der 40-Jährige auf Twitter. Zum Einloggen genügte ein Foto, das den QR-Code vor dem Zoo zeigt.”

Wie immer scheinen unsere Politiker eher auf Lösungen zu setzen, bei denen man Steuergelder aus dem Fenster wirft, als zu prüfen, was sinnvoll ist oder vielleicht auch gar nichts kostet.

Auch die “Corona-Warn-App” hat bis heute mit technischen Problemen zu kämpfen, die Akzeptanz in der Bevölkerung zur Verwendung der App ist immer noch nicht so hoch, wie die Macher dies gerne hätten. 68 Millionen Euro (ohne Kosten für das Marketing) hat die “Corona-Warn-App” bisher gekostet. Für diese Summe sollte es eigentlich möglich sein, etwas zu entwickeln, was auch funktioniert. Mandarfgespannt sein, wie das Kontakt-Nachverfolgungs-Update (das nach den Osterferien veröffentlicht werden soll) funktioniert.

An sich spricht nichts dagegen, das die Sache mit der digitalen Kontakt-Nachverfolgung nun endlich in die Gänge kommt. Nur ist die Art und Weise, warum sich jetzt ein Bundesland nach dem Anderen ohne Vergabeverfahren und Prüfung für “Luca” ausspricht, sehr fragwürdig.

Es gibt da draußen unzählige Entwickler und Experten, die in den letzten Monaten viel Zeit und Enthusiasmus  aufgebracht haben und den Verantwortlichen einfache, transparente Lösungen angeboten haben. Aber ohne prominente Unterstützung hört ja leider niemand auf sie.

Im Endeffekt läuft es wie auch schon bei der “Maskenaffäre” um CSU-Mitglied Alfred Sauter darauf hinaus: Wer die besseren Kontakte in die Politik oder Prominent ist, gewinnt.

Quellen:
heise.de “Die Luca-App: Dilettantisch und sinnlos
Süddeutsche Zeitung: “Bayern setzt bei Kontakt-Nachverfolgung auf Luca-App
Stern.de: “
Nachts im Zoo: Jan Böhmermann macht sich über die Luca-App lustig

Beitragsbild von iXimus auf Pixabay

Eine Antwort auf “Das Chaos mit der Kontakt-Nachverfolgung”

  1. Ja, die Politik hat es nicht einfach: Schreibt sie eine Software aus und lässt diese von einem nicht besonders qualifizierten Konsortium neu entwickeln und betreiben, bekommt sie Spott und Häme für langsame und teure Softwareentwicklung (siehe Corona-App). Und im Fall der Luca-App sieht sie sich dem Vorwurf ausgesetzt, nicht überlegt und hemdsärmelig eine Software einzukaufen – diesmal zwar ohne Ausschreibung, dafür aber von einem Experten-Unternehmen, denn die Hasso-Plattner Ausgründung neXenio ist Spezialist für Mobile Zugangskontrolle (https://www.seamless.me/).

    Dies ist auch ein Erklärungsansatz für den oft kritisierten Umstand, dass neXenio die Software nicht veröffentlicht. Da Luca wohl kaum in der kürze der Zeit neu entwickelt wurde, liegt der Vermutung nahe, dass neXenio seine Bestandssoftware angepasst hat, sodass die “Zugangskontrolle” den Anforderungen der Pandemiebekämpfung entspricht. Und welches Software-Unternehmen legt seinen unternehmerischen Wettbewerbsvorteil mal eben öffentlich? Oder haben Sie beispielsweise den Quellcode von Zoom, Microsoft Office oder die gar Google Such-Algorithmen irgendwo in Github gefunden?

    Ja, der omnipräsente Einsatz von Smudo bzw. den Fanta Vier für die Luca-App war – zumindest in meinen Augen/Ohren – nervig. Schuster bleib bei Deinen Leisten, fällt mir da ein – bzw. Rapper, bleib bei Deinen Reimen. Aber das ändert ja im Kern nichts daran, dass die Luca-App eine verfügbare und skalierende, professionelle Software ist, die uns den Alltag in der Pandemie erleichter kann. Andere Apps darf man deswegen nicht ausschließen, das ist wahr – aber bremsen sollte man den Einsatz von Luca auch nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.