Posts Tagged ‘luca app’

Luca App wird von Gesundheitsämtern kaum genutzt

22. August 2021

Der Chaos Computer Club Freiburg hat eine Hintergrundrecherche zur Nutzung der Luca App veröffentlicht. Der CCC hat über 100 Antworten zusammen getragen, und wird dieses mal keine detaillierte Auswertung durchführen. Im wesentlichen liesse sich aber folgendes festhalten:

1. Es gab fast kein Einsatz, der eine Hilfe in der Pandemielage ist.
2. Falls die Tracings funktionieren, was auch nicht selbstverständlich ist, führen diese selten zu einer Quarantäne – die häufigste Ursachen dafür sind: Die Warnungen und Meldungen kommen zu spät, die zeitliche und örtliche Auflösung ist häufig viel zu grob. Teils sind auch die Daten mangel- und fehlerhaft.

Dabei veröffentlicht die Luca App selbst keine sinnvollen Statistiken. Was aber Mitglieder des CCC herausfinden konnten, dafür musste ein Zugang gewählt werden, der etwas hacken bedeutete. Auf jeden Fall konnten die Engagierten des CCC herausfinden:

Die Luca-App läuft auf ungefähr 6,3 Mio Endgeräten (Tageswert 15.8.21). Die Downloadzahlen in dem Apple- und Androidstore geben ein sehr verzerrtes Bild über die tatsächliche Nutzung. Beispielsweise werden gelöschte, oder dauerhaft geschlossene Apps nicht gesondert erfasst. Die Luca-App kann also bestenfalls von 10% der Bürger*innen eingesetzt werden.

Es gibt täglich nur etwas mehr als 1,2 Mio Checkins – in etwa 1 Checkin auf 80 Bürger*innen, bzw. etwa 1% der Bevölkerung macht am Tag maximal einen relevanten Checkin in Luca. Man kann also unabhängig von der theoretischen Einsatzmöglichkeit davon ausgehen, dass Luca im wesentlichen weder von Endnutzerinnen, noch von Betreibern und Kulturstätten genutzt wird.

Etwa 10% dieser Checkins werden nicht automatisch ausgecheckt, sind also in der Regel noch eingecheckt – ohne das die Bürger*innen das wollten.

Das bedeutet auch, dass bei einer substantiellen Anzahl von Fällen, die App nicht funktioniert wie sie soll, daher der automatische Check-Out funktioniert nicht.

Näher führt der CCC aus:

1) 172 Logins von einzelnen Mitarbeitern der Gesundheitsämter, die versuchen auf Daten zuzugreifen.
2) 1,25 Mio Checkins trotz Wochenende und ausgiebigen Kulturbetrieb
3) 137 angefragte Historien von Nutzenden.
4) daraus resultieren 5990 Kontaktdaten, eine Umfrage des CCC bei den Gesundheitsämtern hat ergeben, dass solche Daten in der Regel nicht in Folgemaßnahmen münden.

Übersicht

Auch sonst gibt es viele Merkwürdigkeiten:

Klare politische Forderung von mir: Verträge nicht verlängern und bei der Kontaktverfolgung auf die Corona-Warn-App umsteigen.

Pandemie? Dafür gibts doch eine App! Impuls und Diskussion beim Freiburger Digitaltag.

10. Juni 2021
Datum: 18.06.2021, 15:00 – 16:00
BigBlueButton der Stadtverwaltung Freiburg.
Sebastian Müller und Mystery Guests!
  • Die Luca App ist – datenschutztechnisch betrachtet – ein schlecht konstruiertes Kernkraftwerk.
  • Die CoronaWarnApp wegen Datenschutz doch einfach nur nutzlos.
  • Der Digitale Impfpass kommt viel zu Spät und „damit stoßen sich die Apotheken gesund. Denn 18 EUR sind ja mehr als ich für eine Rektum Untersuchung bekomme.“, Zitat Ärztin.
  • Impfterminservice.de, damit kommt man dann zum Impftermin.
  • Nora App? Nie gehört.
  • KatWarn braucht nur der Katastrophenschutz, oder?
  • Mit Telegramm kann ich prima den Leuten folgen, die bei twitter rausgeflogen sind.
Wir vergleichen spielerisch Merkmale wie Datenschutz, Nutzbarkeit, Sicherheit, Bedienbarkeit unterschiedlicher Apps in der Corona Pandemie und geben Tipps für alte weiße Männer aus Politik, Verwaltung und den Bürger.
Vortrag im Rahmen des Freiburger Digitaltags.

Warum die Luca App uns nicht voran bringt

19. Mai 2021

Die Luca App ist – datenschutztechnisch betrachtet – ein schlecht konstruiertes Kernkraftwerk. Ein Kernkraftwerk, weil es – by design – ein im Konzept innewohnendes Problem gibt, das man nicht ausräumen kann: Sie speichert alle Daten zentral auf ihrem Server, dabei fallen große Mengen frei einsehbarer Metadaten an.

Nutze ich den Schlüßelanhänger, kann ich sehen: Wann sich wer, wo eingeloggt hat. Dadurch entsteht ein Bewegungsprofil jeder Person, die die App nutzt. Auf der Ebene der Location, kann der Server sehen, welcher Ort gut frequentiert ist und welche Art von Endgeräten sich dort aufhalten.

Schlecht konstruiert bedeutet: Sie setzt dieses Konzept auch mit vielen Sicherheitsmängeln und Schwachstellen um, vor der sachkundige und interessierte Bürger:innen und Forschende, warnen.

Der Hersteller des Kernkraftwerks agiert nicht wie ein seriöses Unternehmen, sondern verspricht Funktionen zu liefern, die es noch gar nicht gibt oder die gar nicht funktionieren.

Zur politischen Lage

Die Luca App wird, so scheint es, vor allem eingeführt da sich die Bundesländer nach dem Beschluss der Ministerpräsidentenkonferenz vom 3.März erhoffen schneller und sicher in geregelte Öffnungen von Gastronomie, Kultur und Veranstaltungen zu kommen.

Daneben gibt es uneindeutige Aussagen, dass die Bundesregierung für die Kosten einstehen wird. So gibt es zwar eine Kostenzusage für die Schnittstelle, nicht aber für das ganze „LucaSystem“ bzw. die sog. „Fachanwendung“.

Dieses Öffnungsversprechen und die vermeintliche Kostenlosigkeit für die Bundesländer, aber auch die Städte und Landkreise, haben zu einer seltsamen Eigendynamik geführt. Bei der viele Entscheidungsträger:innen Tätigkeit simulieren wollten, vielleicht auch um vor Ostern oder zu Pfingsten Perspektiven für Öffnungen bieten zu können. Denn so glaubt man die Gefahr eines Anstiegs der Inzidenzen kontrollieren zu können. Stellenweise hatte ich sogar der Eindruck, man wolle einen Trend nicht verschlafen, besonders digital und öffnungsbereit zu wirken.

In Göttingen klebt an jeder Sitzreihe im Bus ein Luca App QR Code

Zur Technik

Technisch macht die Luca App jedoch nur eines: Sie digitalisiert den ungeliebten Zettelprozess aus dem Sommer 2020 mit der Pflicht Kontaktdaten in Restaurants und bei Veranstaltungen anzugeben. Das können neben Luca auch viele andere Systeme. Mit einer App muß ich mich auch nicht durch ein Onlineformular klicken, was schneller geht. Dadurch könnten dann an vielen Stellen zusätzliche Check-Ins erfolgen, etwa im Bus.

Hier versucht die „Luca App“ einen von der Landespolitik verschuldeten bürokratischen Fauxpax zu heilen: Die Corona Verordnungen der meisten Bundesländer, außer z.B. Sachsens (!), verlangen verpflichtend die Erfassung von Kontaktdaten, also Telefonnummer und E-Mail Adressen, wie auf den Zetteln auch. 2020  hatte man wohl die Hoffnung, dass die Listen den Gesundheitsämtern entscheidende Vorteile bringen würden bei der Aufspüren von Infektionsherden und -ketten.

Das hat sich im Nachhinein zumindest als großer Trugschluss herausgestellt: Die Zettel, auch wenn sie von Luca digital bereit gestellt werden, werden von den Gesundheitsämtern im Grunde nie angefragt und durch sie waren fast nie Kontaktketten zu erkennen, geschweige denn zu brechen.

Hierbei spielt Qualität der Daten und die benötigte Zeit eine wesentliche Rolle. Nachdem Polizei(behörd)en  im letzten Jahr Zugriff auf Papierlisten haben wollten, ging die Qualität der Angaben massiv zurück. Auch in einer Luca App finden sich viele Falschangaben.

Luca hat zudem noch die unangenehme Eigenschaft das die Daten zeitlich und örtlich mangelhaft aufgelöst werden, so ist ein Checkout regelmäßig nicht möglich, dass Geo-Fencing – das automatische Auschecken, nachdem sich das Handy aus einem Bereich heraus bewegt hat – funktioniert nicht. Menschen sind mitunter Tagelang an Orten eingecheckt. (siehe dazu Praxisbericht aus Weimar)

Örtlich sind große Areale mit nur einem einzigen QR-Code ein Extrembeispiel, aber alles was über den direkten Nahbereich hinaus geht und keinen eigenen QR-Code hat, ist für den Zweck der Kontaktverfolgung schlicht wertlos.

Kaum schneller als Papierlisten

Ein Märchen ist auch der Glaube, dass es mit der Luca App schneller ginge. Es mag sein, dass unter günstigen Bedingungen ein Tag gewonnen werden kann, im Vergleich zu schlecht gesammelten und schlecht leserlichen Papierlisten. Es ist aber immer noch so, dass es regelmäßig fünf Tage von Infektion bis zur Datenabfrage des Gesundheitsamts an der Location dauert. Dann ist es auch noch notwendig, dass die Anfrage durch die Location zeitnah bestätigt wird und den notwendigen privaten Schlüssel übermittelt.

Je nach Studie wird man aber zwischen dem dritten und fünften Tag selbst ansteckend. Eine Warnung nach fünf Tagen ist daher wenig hilfreich, da man ab dem 5. Tag meist selbst schon Symptome hat. Diese Warnung erfolgt dann über einen Anruf durch das Gesundheitsamt, in der App selbst sieht der Nutzende nur, dass Daten an das Gesundheitsamt übermittelt wurden, nicht dass er selbst etwas tun soll. Hier fehlt die mehrfach beworbene Warnung der Nutzenden.

Deutlich schneller wäre die Warnung über die Corona-Warn-App, die seit dem 21.4.2021 auch eine Check-In-Funktion hat. Die Corona-Warn-App umgeht dabei ganz bewusst das Gesundheitsamt und gewinnt nicht nur Zeit. Sie ist schneller, genauer und schafft keine unnötigen Risiken für die (Gesundheits)Daten der Nutzer:innnen. Sie ermöglicht auch ein anonymes Einchecken, etwa in sozialen Situationen in denen man die eigenen Kontaktdaten oder den Namen nicht offenlegen will, etwa beim Besuch im Bordell und der dann folgenden Beichte in der Kirche oder bei einer Demo.

So bleibt, als einziger „Unique Selling Point“, dass Argument der Luca App, dass sie das von der Landespolitik geschaffene Problem der Corona VO (§7, Abs (4), mit dem Erfassen von Kontaktlisten mit Adress- und Telefondaten, digitaler löst, als Zettel. Dieses Problem könnte man aber mit einer Änderung der Verordnung leicht beheben.

Keine Pflicht zur Nutzung, Orte müssen analoge Möglichkeiten anbieten

Unter § 7 „Datenverarbeitung“, regelt die Corona-Verordnung (CoronaVO), der Landesregierung unter Absatz 4: „Wird eine Datenverarbeitung nach Satz 1 vorgesehen, ist alternativ eine analoge Erhebung von Kontaktdaten der betroffenen Person zu ermöglichen., Wobei sich Satz 1 auf die Möglichkeit bezieht eine digitale Möglichkeit zur Datenerfassung anzubieten. Es halt also kein Geschäft oder Veranstalter das Recht auf einen Check-In mit der Luca App zu bestehen.

Haftung für die Daten bleibt beim Veranstalter

Die Luca App Hersteller versuchen es mit viel Aufwand so aussehen zu lassen als ob das Übermitteln Ende zu Ende verschlüsselt geschieht, dem ist vielfach nicht so.

Richtig ist, das Betreiber nicht mehr so leicht in die Daten einsehen können. Allerdings haben die Betreiber oder Veranstalter weiter die volle Verantwortung für die Daten – im Sinne der DSGVO wie auch der Corona-Schutz-Verordnung. Dessen dürften sich die meisten Betreiber nicht bewusst sein.

Sicherheitsmängel und schlecht programmiert

Es würde den Umfang dieses Blogartikels sprengen, alle Sicherheitsmängel, Programmierfehler oder Schwachstellen, die in den vergangenen Wochen aufgefallen sind, aufzulisten. Daher findet sich hier nur eine Auswahl. (Wer mehr will, lese bei Manuel Atug einen Twitter Thread mit bald 700 Einträgen)

(more…)

Luca Update

10. April 2021

Diverse wichtige Leute haben den Hinweis auf den Brief geteilt:

Im Artikel des RND wird gut erklärt was alles kaputt ist:

Auch sehr gut erklärt es Ralf Rottmann in diesem Interview / Podcast auf Wochendämmerung: „Die Luca-App trat bei Anne Will, vertreten durch den prominenten Fanta-Vier-Musiker Smudo, als smarte Lösung zur Kontaktverfolgung auf. Gründer und Investor Ralf Rottmann erklärt, warum die Idee gut, die Umsetzung mindestens problematisch und die App selbst massiv in der Kritik ist“

Böhmermann fasst es auf Linktree gut zusammen

Und natürlich tauchen auch täglich neue Lücken auf:

Ich will gar nicht verschweigen, das ich am 1.3. darum gebeten habe, die Einführung der App in Freiburg zu prüfen. Eingeführt wurde sie, geprüft wohl nicht so viel.

offener Brief: Nutzung der Luca App bedenklich

8. April 2021

Mitglieder des Freiburger Chaos Computer Club, haben in einem offenen Brief an das Sozialministerium Bedenken über die Nutzung der Luca App geäußert. „In den vergangenen Tagen haben nahezu täglich unterschiedliche Medienberichte und Meldungen in sozialen Medien gelesen, die auf konzeptionelle Mängel, unsaubere Programmierung des Software der Luca App und ein befremdliches Geschäftsgebaren der Betreiberfirma hindeuten. (…) Alles dies lässt aus unserer Sicht den Einsatz und den Erwerb der Lizenz für die App höchst fragwürdig erscheinen.“

Betreff: Nutzung und Erwerbe einer Lizenz für die „Luca App“ durch das Land Baden-Württemberg

Sehr geehrte Damen und Herren,
sehr geehrter Herr Prof. Dr. Lahl,
sehr geehrter Herr Dr. Brink,

Wir schreiben Ihnen, weil wir besorgt sind über den Ankauf einer Lizenz für die Nutzung der „Luca-App“ durch das Land Baden-Württemberg.

In den vergangenen Tagen haben nahezu täglich unterschiedliche Medienberichte und Meldungen in sozialen Medien gelesen, die auf konzeptionelle Mängel, unsaubere Programmierung des Software der Luca App und ein befremdliches Geschäftsgebaren der Betreiberfirma hindeuten. Im wesentlichen sind dies:

1. Es scheint Unregelmäßigkeiten bei dem Erwerb der App gegeben zu haben:

Eva Wolfangel Journalistin bei der Zeit fasst auf twitter zusammen:

In einem internen Vergabe-Dokument des Ministeriums für Energie, Infrastruktur und Digitalisierung MV wird ein Vergleich zwischen der #LucaApp und acht anderen Check-In-Apps angestellt – mittels von deren Website kopierter Textblöcke. Gespräche fanden offenbar keine statt. Die Vergabe in Mecklenburg wird derzeit rechtlich geprüft – denn andere finden schon, dass es Vergleichbares auf dem Markt gibt: Etwa 50 weitere Startups haben Check-in-Apps entwickelt, von denen mindestens eines aktuell die Vergabe juristisch anficht.“ (siehe: https://twitter.com/evawolfangel/status/1378612565245362176?s=21) Sie führt dann weiter aus, die App sei aufgrund einer fehlerhaften bzw. unvollständigen Markterkundung gekauft worden.

2. Es gibt erhebliche Sicherheits- und Datenschutz- Bedenken aufgrund der Konzeption der App, und das, obwohl es sich um besonders schützenswerte Daten gemäß Art. 9 (1) DSGVO handelt.

So kann etwa der API-Endpunkt zum Versenden der TAN-SMS beliebig ausgelöst werden und somit können ungewollte SMS-Nachrichten an beliebige Telefonnummern gesendet werden. Darauf hat die Betreiberfirma bis heute nicht reagiert, obwohl sie von Mitgliedern des Chaos Computer Club Freiburg darauf aufmerksam gemacht wurde.

Siehe: https://wiki.cccfr.de/luca_app_sms-tan

Die Sicherheitsforscher Stadler, Lueks et al haben eine „Vorläufige Analyse des Schad-Potentials im Luca Kontaktverfolgungssystem“, als wissenschaftliches Paper auf einem Preprint Server vorgelegt. (Quelle: https://arxiv.org/abs/2103.11958). Sie sehen schon vom Konzept her folgenden Hauptprobleme, selbst wenn man beste Umsetzung und Absichten unterstellt:

(more…)

Luca App

3. März 2021

Am Montag habe ich einen Brief an Oberbürgermeister und Landrätin gerichtet und um die Einführung der Luca-App gebeten.

Gestern schrieb mir der erste Landesbeamte: Tatsächlich sind wir aktuell dabei, die Einführung der Luca App auf der
technischen Seite für das Gesundheitsamt Freiburg, als Pilot für Baden-Württemberg, einzurichten.

Ich bin gespannt.

(more…)