Luca App mal wieder

Noch vor der Bundestagswahl haben einige Personen E-Mails an unterschiedliche Stellen geschrieben, aus dem Grünen Landesarbeitskreis Digitalisierung gab es eine E-Mail an unterschiedliche Grüne Entscheidungsträger*innen im Land, die nochmal auf die Probleme der Luca App hingewiesen hat. Die E-Mail ging an den Fraktionsvorsitzenden, den Abgeordneten der für Digitales zuständig sei – leider weiß man nicht ob sich die Zuständigkeit auch auf den Einsatz der Luca App bezieht – Peter Seimer und an Uli Skerl, sowie Oliver Hildenbrand, sowie an den Gesundheitsminister Luca.

Darin schreiben die Unterzeichnenden, zu denen ich auch gehöre:

„Die zahlreichen Probleme, die im praktischen Einsatz der LUCA App bundesweit aufgetreten sind, zeigen, dass der Praxistauglichkeit der Anwendung sehr begrenzt ist. Schwerwiegende fachliche Mängel und geringe Support-Qualität führen zu mangelhafter Akzeptanz und Schwierigkeiten bei der Integration mit anderen digitalen Lösungen. Durch Defizite in den Bereichen IT-Sicherheit und Datenaustausch entsteht zusätzlich ein hohes Risiko des Datenmissbrauchs sensibler Gesundheitsdaten sowie von eingeschleppten Sicherheitsproblemen in den Gesundheitsbehörden.“

Und fordern:

„Wegfall einer verpflichtenden Personendaten-Erfassung fu?r Gastronomie Betriebe. Dies ist der einzige Grund für die Anwendung der LUCA App. Stattdessen reicht ein anonymisiertes Cluster Tracing, wie es in der Event-Registrierung der Corona-Warn-App VWA  seit April 2021 implementiert ist. Baden-Württemberg muss dem Beispiel von Nordrhein-Westfalen folgen, wo diese Anforderung schon im Juli aus der Verordnung gestrichen wurde.“

Ende August habe ich auch an den Landesrechnungshof geschrieben und meine Bedenken bezüglich der Luca App mitgeteilt und angeregt die Vergabe zu prüfen:

Sehr geehrter Herr Präsident Benz,
sehr geehrte Frau Vizepräsidentin Taxis,
sehr geehrte Damen und Herren,

Wohlwissend, dass der Rechnungshof selbst festlegt, was konkret geprüft werden soll, wenden wir uns heute an Sie mit der Bitte um die Prüfung der Nutzung der Luca App durch das Land Baden-Württemberg. Wir das sind Mitglieder*innen und Menschen im Umfeld des Chaos Computer Clubs Freiburg, für die und mit denen ich diese E-Mail verfasst habe, die aber nicht namentlich unterzeichnen.

(Update: Der Landesrechnungshof hat sich bei mir gemeldet und wir haben darüber gesprochen, bin gespannt ob hier noch eine Reaktion kommt. Dieser Text dient lediglich der Dokumentation meines Briefs, er erhebt keinen Anspruch auf Richtigkeit und Vollständigkeit, insbesondere ob es sich bei der Exportfunktion um eine API handelt oder eine andere Art Schnittstelle, ist zwischen Herstellern und Öffentlichkeit umstritten)

„Luca App mal wieder“ weiterlesen

Warum die Luca App uns nicht voran bringt

Die Luca App ist – datenschutztechnisch betrachtet – ein schlecht konstruiertes Kernkraftwerk. Ein Kernkraftwerk, weil es – by design – ein im Konzept innewohnendes Problem gibt, das man nicht ausräumen kann: Sie speichert alle Daten zentral auf ihrem Server, dabei fallen große Mengen frei einsehbarer Metadaten an.

Nutze ich den Schlüßelanhänger, kann ich sehen: Wann sich wer, wo eingeloggt hat. Dadurch entsteht ein Bewegungsprofil jeder Person, die die App nutzt. Auf der Ebene der Location, kann der Server sehen, welcher Ort gut frequentiert ist und welche Art von Endgeräten sich dort aufhalten.

Schlecht konstruiert bedeutet: Sie setzt dieses Konzept auch mit vielen Sicherheitsmängeln und Schwachstellen um, vor der sachkundige und interessierte Bürger:innen und Forschende, warnen.

Der Hersteller des Kernkraftwerks agiert nicht wie ein seriöses Unternehmen, sondern verspricht Funktionen zu liefern, die es noch gar nicht gibt oder die gar nicht funktionieren.

Zur politischen Lage

Die Luca App wird, so scheint es, vor allem eingeführt da sich die Bundesländer nach dem Beschluss der Ministerpräsidentenkonferenz vom 3.März erhoffen schneller und sicher in geregelte Öffnungen von Gastronomie, Kultur und Veranstaltungen zu kommen.

Daneben gibt es uneindeutige Aussagen, dass die Bundesregierung für die Kosten einstehen wird. So gibt es zwar eine Kostenzusage für die Schnittstelle, nicht aber für das ganze „LucaSystem“ bzw. die sog. „Fachanwendung“.

Dieses Öffnungsversprechen und die vermeintliche Kostenlosigkeit für die Bundesländer, aber auch die Städte und Landkreise, haben zu einer seltsamen Eigendynamik geführt. Bei der viele Entscheidungsträger:innen Tätigkeit simulieren wollten, vielleicht auch um vor Ostern oder zu Pfingsten Perspektiven für Öffnungen bieten zu können. Denn so glaubt man die Gefahr eines Anstiegs der Inzidenzen kontrollieren zu können. Stellenweise hatte ich sogar der Eindruck, man wolle einen Trend nicht verschlafen, besonders digital und öffnungsbereit zu wirken.

In Göttingen klebt an jeder Sitzreihe im Bus ein Luca App QR Code

Zur Technik

Technisch macht die Luca App jedoch nur eines: Sie digitalisiert den ungeliebten Zettelprozess aus dem Sommer 2020 mit der Pflicht Kontaktdaten in Restaurants und bei Veranstaltungen anzugeben. Das können neben Luca auch viele andere Systeme. Mit einer App muß ich mich auch nicht durch ein Onlineformular klicken, was schneller geht. Dadurch könnten dann an vielen Stellen zusätzliche Check-Ins erfolgen, etwa im Bus.

Hier versucht die „Luca App“ einen von der Landespolitik verschuldeten bürokratischen Fauxpax zu heilen: Die Corona Verordnungen der meisten Bundesländer, außer z.B. Sachsens (!), verlangen verpflichtend die Erfassung von Kontaktdaten, also Telefonnummer und E-Mail Adressen, wie auf den Zetteln auch. 2020  hatte man wohl die Hoffnung, dass die Listen den Gesundheitsämtern entscheidende Vorteile bringen würden bei der Aufspüren von Infektionsherden und -ketten.

Das hat sich im Nachhinein zumindest als großer Trugschluss herausgestellt: Die Zettel, auch wenn sie von Luca digital bereit gestellt werden, werden von den Gesundheitsämtern im Grunde nie angefragt und durch sie waren fast nie Kontaktketten zu erkennen, geschweige denn zu brechen.

Hierbei spielt Qualität der Daten und die benötigte Zeit eine wesentliche Rolle. Nachdem Polizei(behörd)en  im letzten Jahr Zugriff auf Papierlisten haben wollten, ging die Qualität der Angaben massiv zurück. Auch in einer Luca App finden sich viele Falschangaben.

Luca hat zudem noch die unangenehme Eigenschaft das die Daten zeitlich und örtlich mangelhaft aufgelöst werden, so ist ein Checkout regelmäßig nicht möglich, dass Geo-Fencing – das automatische Auschecken, nachdem sich das Handy aus einem Bereich heraus bewegt hat – funktioniert nicht. Menschen sind mitunter Tagelang an Orten eingecheckt. (siehe dazu Praxisbericht aus Weimar)

Örtlich sind große Areale mit nur einem einzigen QR-Code ein Extrembeispiel, aber alles was über den direkten Nahbereich hinaus geht und keinen eigenen QR-Code hat, ist für den Zweck der Kontaktverfolgung schlicht wertlos.

Kaum schneller als Papierlisten

Ein Märchen ist auch der Glaube, dass es mit der Luca App schneller ginge. Es mag sein, dass unter günstigen Bedingungen ein Tag gewonnen werden kann, im Vergleich zu schlecht gesammelten und schlecht leserlichen Papierlisten. Es ist aber immer noch so, dass es regelmäßig fünf Tage von Infektion bis zur Datenabfrage des Gesundheitsamts an der Location dauert. Dann ist es auch noch notwendig, dass die Anfrage durch die Location zeitnah bestätigt wird und den notwendigen privaten Schlüssel übermittelt.

Je nach Studie wird man aber zwischen dem dritten und fünften Tag selbst ansteckend. Eine Warnung nach fünf Tagen ist daher wenig hilfreich, da man ab dem 5. Tag meist selbst schon Symptome hat. Diese Warnung erfolgt dann über einen Anruf durch das Gesundheitsamt, in der App selbst sieht der Nutzende nur, dass Daten an das Gesundheitsamt übermittelt wurden, nicht dass er selbst etwas tun soll. Hier fehlt die mehrfach beworbene Warnung der Nutzenden.

Deutlich schneller wäre die Warnung über die Corona-Warn-App, die seit dem 21.4.2021 auch eine Check-In-Funktion hat. Die Corona-Warn-App umgeht dabei ganz bewusst das Gesundheitsamt und gewinnt nicht nur Zeit. Sie ist schneller, genauer und schafft keine unnötigen Risiken für die (Gesundheits)Daten der Nutzer:innnen. Sie ermöglicht auch ein anonymes Einchecken, etwa in sozialen Situationen in denen man die eigenen Kontaktdaten oder den Namen nicht offenlegen will, etwa beim Besuch im Bordell und der dann folgenden Beichte in der Kirche oder bei einer Demo.

So bleibt, als einziger „Unique Selling Point“, dass Argument der Luca App, dass sie das von der Landespolitik geschaffene Problem der Corona VO (§7, Abs (4), mit dem Erfassen von Kontaktlisten mit Adress- und Telefondaten, digitaler löst, als Zettel. Dieses Problem könnte man aber mit einer Änderung der Verordnung leicht beheben.

Keine Pflicht zur Nutzung, Orte müssen analoge Möglichkeiten anbieten

Unter § 7 „Datenverarbeitung“, regelt die Corona-Verordnung (CoronaVO), der Landesregierung unter Absatz 4: „Wird eine Datenverarbeitung nach Satz 1 vorgesehen, ist alternativ eine analoge Erhebung von Kontaktdaten der betroffenen Person zu ermöglichen., Wobei sich Satz 1 auf die Möglichkeit bezieht eine digitale Möglichkeit zur Datenerfassung anzubieten. Es halt also kein Geschäft oder Veranstalter das Recht auf einen Check-In mit der Luca App zu bestehen.

Haftung für die Daten bleibt beim Veranstalter

Die Luca App Hersteller versuchen es mit viel Aufwand so aussehen zu lassen als ob das Übermitteln Ende zu Ende verschlüsselt geschieht, dem ist vielfach nicht so.

Richtig ist, das Betreiber nicht mehr so leicht in die Daten einsehen können. Allerdings haben die Betreiber oder Veranstalter weiter die volle Verantwortung für die Daten – im Sinne der DSGVO wie auch der Corona-Schutz-Verordnung. Dessen dürften sich die meisten Betreiber nicht bewusst sein.

Sicherheitsmängel und schlecht programmiert

Es würde den Umfang dieses Blogartikels sprengen, alle Sicherheitsmängel, Programmierfehler oder Schwachstellen, die in den vergangenen Wochen aufgefallen sind, aufzulisten. Daher findet sich hier nur eine Auswahl. (Wer mehr will, lese bei Manuel Atug einen Twitter Thread mit bald 700 Einträgen)

„Warum die Luca App uns nicht voran bringt“ weiterlesen

Installiert die Corona-Warn-App!! Jetzt auf mehr Telefonen denn je möglich!

Untersuchungen von Mitgliedern des Chaos Computer Club Freiburg haben ergeben, dass bei der Installation der Corona-Warn-App noch Luft nach oben ist! (Bericht in diesem Blog, Bericht der Badischen Zeitung online)

Deshalb hier nochmal der Aufruf: Installiert die Corona-Warn-App!
(für Iphone) (für Android: google Play) (für Android: f-droid)

Der Computerkonzern Apple Inc. hat die Funktionalität auch auf die sieben Jahre alten Modelle Iphone 5s und 6 ausgedehnt. Eine Umsetzung sollte von SAP und Telekom bald folgen.

Open Source Enthusiasten haben die komplette Corona-Warn-App und die notwendigen Hintergrunddienste nun auch im von Google unabhängigen Store F-Droid verfügbar gemacht. Damit können nun auch etwa Besitzer von Huaweii Handys, die durch das US Handelsembargo ausgeschlossen sind oder älteren Geräte die App nutzen.

In der Chaosradio Sendung vom 21.12.2020 haben wir das Thema nochmal aufbereitet.

Daneben wurde die Risikoberechung überarbeitet und die Version 2 des Exposure Notification Framework wird nun verwendet. Wodurch die Risikobewertung genauer wird.

„Installiert die Corona-Warn-App!! Jetzt auf mehr Telefonen denn je möglich!“ weiterlesen

Chaos Computer Club Freiburg ruft zu Computer-Spenden auf!

Der Chaos Computer Club Freiburg hat in den letzten Wochen eine Vielzahl von Hardwarespenden erhalten, meist nicht ganz so alte Laptops, die von Privatpersonen oder Firmen aussortiert wurden. Zusammen mit der Computertruhe hat er diese an bedürftige Menschen in der Region Freiburg verteilt. 

Nun ruft er Bürger*innen auf, die an Weihnachten ein neues Laptop, PC, Tablet oder anderes Gerät bekommen, diese zu spenden, damit sie an Bedürftige weitergegeben werden können.

Spendet eure alten Geräte an den Chaos Computer Club Freiburg, damit er diese an Bedürftige weitergeben kann!

„Chaos Computer Club Freiburg ruft zu Computer-Spenden auf!“ weiterlesen

Der falsche Prophet: der Vortrag von 5G Gegner Peter Hensinger im Faktencheck

Die Freiburger 5G Gegner behaupten, sie argumentierten mit wissenschaftlichen Fakten über die Gefahren von „Mobilfunkstrahlung“, die verwendeten Studien haben jedoch im besten Falle methodische Mängel, im schlimmsten Fall sind sie zurückgezogen, stammen von Forschern mit zweifelhaftem Ruf oder waren nicht reproduzierbar.

Das alles wäre nicht so schlimm, wenn die aufgeregte Diskussion um denkbare Schäden, nicht von anderen Umweltgefahren wie etwa der Luftverschmutzung durch Autoverkehr oder Rauchen ablenken würde oder die notwendige kritische Auseinandersetzung mit digitalen Medien im Schulunterricht schlicht unmöglich machen.
Im Artikel mache ich die Muster deutlich.

Die Freiburger 5G Gegner behaupten, sie argumentierten mit wissenschaftlichen Fakten über die Gefahren von „Mobilfunkstrahlung“, die verwendeten Studien haben jedoch im besten Falle methodische Mängel, im schlimmsten Fall sind sie zurückgezogen, stammen von Forschern mit zweifelhaftem Ruf oder waren nicht reproduzierbar.

Schon der von den Gegner verwendete Begriff „Mobilfunkstrahlung“ ist ein geschicktes Framing, erinnert er ja mehr an Radioaktive Strahlung als an Funkwellen oder Radiowellen.

In den vergangenen Wochen war ich bei zwei Veranstaltungen des „Aktionsbündnis Freiburg 5G-frei“, beide male hatten sie den Stuttgarter Mobilfunkritiker Peter Hensinger eingeladen.

Peter Hensinger hat nach einem Studium der Germanistik und Pädagogik und Ausbildung zum Drucker in der Psychiatrie gearbeitet und ist Mitglied im Vorstand von Diagnose-Funk e.V und des Stuttgarter BUND.

Beide Male war der Saal voll, das Publikum würde ich als gut situierte, ältere Menschen beschreiben, darunter viele Gesichter, die man schon aus anderen Freiburger Verhinderungsbürgerinitativen (Stadion, Dietenbach) kennt. Es waren aber auch viele Menschen an der Veranstaltung, die die vorgebrachten Argumente kritisch sahen.

Peter Hensinger hat inzwischen dem Chaos Computer Club Freiburg seine Präsentation mit 150 Folien zur Verfügung gestellt. Die Aufforderung an beiden Abenden lautete nicht alles zu glauben was einem Industrie und Politik erzählen. Das habe ich mir zu Herzen genommen und versucht die Aussagen im Vortrag und insbesondere die wissenschaftlichen Quellen einer eigenen kritischen Bewertung zu unterziehen. Bekannte aus dem CCC in Freiburg und Freunde bis nach Italien haben mir geholfen. Daraus entstand dann ein sogenannter Twitter thread.

Auch in meinem Blog ist kein Platz alle 150 Folien im Detail zu besprechen und ich habe dazu auch nicht die Zeit. Ich möchte aber einige zentrale Aussagen kritisch hinterfragen.

Der Vortrag begann mit der Schilderung der sogenannten „Funkerkrankheit“ und bereits der Name dient als Hinweis, dass Funkstrahlen gefährlich sein sollen. An dieser Funkerkrankheit litten in West- und Ostdeutschland tausende ehemaliger Soldaten, die Radaranlagen, also nicht Funkgeräte, bei laufendem Betrieb reparieren mußten.

„Der falsche Prophet: der Vortrag von 5G Gegner Peter Hensinger im Faktencheck“ weiterlesen