News Luca App: Sicherheitsforscher warnen vor hohen Risiken der App

[blackstone]

Könnte jemand auf den Punkt bringen warum ein Start-Up mit Genwinnerzielungsabschicht weniger vertrauenswürdig sein soll als z.B. SAP und Deutsche Telekom welche auch gewinnorientierte Unternehmen sind und die CWA betreiben?
Die großen Player sind mit Sicherheit bislang nur duch fehlerfreies Management und ihre weiße Weste aufgefallen...

Ergänzend: Danke an Moep89, G00fY und jonderson für die Erklärung.

Mir war der Hintergrund so nicht bewusst. Ich habe mir die APP installiert weil der hiesige Landkreis diese als Möglichkeit zur Kontaktverfolgung angepriesen hat. Ich bin kein Freund von offen ausliegenden Listen die wirklich jeder einsehen kann. Da kam mir die unlesbare Version in Form eines QR-Codes etwas anonymer vor.
Das das ganze von Smudo beworben wurde wusste ich bis gestern nichtmal. Ich habe mich nicht wirklich damit beschäftigt und bin in dem Glauben gewesen wenn etwas vom Landkreis angepriesen wird würde die APP auch vom Lankreis kontrolliert.

Und wieder von Politikern und behörden im Stich gelassen.

 

[Chfle]

Wenn Geld wichtiger ist als Sicherheit.

 

[Ltcrusher]

Die Meinung von Sicherheitsforschern in allen Ehren, aber scheinbar haben die nichts anderes zu tun, als jetzt eine App zu diskreditieren, die momentan hilfreich ist.

Tja, eine App, die auf deutschem Boden konzipiert wurde, ist schneller anzufechten und in den Boden zu rammen, als die "Überwachungswanzen" von Google, Amazon oder Facebook.

Sobald die Impfsituation sich in unserem Land verbessert hat und vieles den alten Gang nehmen kann, verliert die App eh den Nutzen. Und Bewegungsprofile lassen sich doch eh schon gut erstellen: Smartwatches / neuere Fitness Tracker, Smartphones...Zahlungen mit Kredit- und EC-Karten bzw. per Google Pay / Apple Pay, usw.

 

[easy.2ci]

Alles wie immer. Man wirft mit Buzzwords nur so um sich, und das beeindruckt die Entscheidungsträger. Erleb ich in der Firma ständig.

 

[Marcel55]

Dieser Gender-Unsinn in dem zitierten Text macht mich bald mehr fertig als die eigentliche Meldung, Nunja. Man ist es ja mittlerweile gewohnt, allerdings sollten wir nicht stillschweigend hinnehmen wie man unsere Sprache verkommen lässt.

Also grundsätzlich ist die Idee hinter der App ja gut, aber Datenschutz ist in diesem Zusammenhang natürlich ein extrem wichtiger Faktor und sollte daher bestmöglich umgesetzt werden.
Hundertprozentig kann man eh keine Anwendung absichern...

 

[3125b]

Ja, das Ding können sie behalten.

Ich finde es übrigens bezeichnend, dass ausgerechnet immer die Threads zu politischen Unterfangen moderiert werden (müssen). Spricht nicht unbedingt für gute Politik ...

 

[MR2007]

Als ich das erste mal von Luca gehört habe, dachte ich, das wäre eine reine Konzeptvorlage mit einem "Minimum working example" als Vorschlag von der Veranstaltungsbranche. Bis dann auf einmal Millionen dafür hingelegt wurde.

Auch wenn die Kritik im Wesentlichen völlig richtig ist, sehe ich hier aber auch ein wenig pauschales Startup Gebashe.

Gerade die großen Unternehmen sind ja mit der Corona-Warn-App jetzt nicht sonderlich positiv aufgefallen. Wenn da jede noch so kleine Entscheidung erst einmal durch alle Gremien und Abteilungen wandert, und da garantiert auch noch über "Gewinnerzielungsabsichten" debattiert wird, führt das am Ende nur zu aufgeblähten Kosten und langsamer Entwicklung. Genau das, was bei der Corona-Warn-App passiert ist.

Denn eine App/API entwicklen, die QR Codes erstellt, liest und mit Veranstaltungen verknüpft, ist jetzt für sich absolut kein Hexenwerk. Das wurde an unserer Universität schon im Sommer 2020 so umgesetzt, lange vor Luca. Wenn man jetzt noch Leute, die Ahnung von Kryptographie und Server-Skalierung haben, ins Boot holt, die Daten lokal beim Veranstalter lässt, wäre das völlig okay gewesen. Praktisch jede Form davon ist besser als das Konzept "Zettelwirtschaft" zur Kontaktverfolgung.

Und hier enthalten die Prinzipien dieser Stellungnahme auch einen eklatanten Fehler:

Freiwilligkeit: Die Nutzung bestimmter Werkzeuge zur digitalen Kontaktverfolgung muss freiwillig sein. Bürger:innen, die das Werkzeug nicht benutzen möchten, dürfen nicht von sozialen Aktivitäten, dem Zutritt zu öffentlichen Gebäuden, Geschäften, usw. ausgeschlossen werden.

Die Apps/ausgedruckte QR Codes/ausgefüllte Zettel haben ja (in der Theorie) genau ein Ziel: nämlich die gesetzliche Auflage der Erfassung der Kontaktdaten aufgrund der in den jeweiligen Corona Verordnungen vorgeschriebenen Kontaktnachverfolgung zu erfüllen. Das ist per Definition nicht "freiwillig" oder anonym möglich. Im Gegenteil, Pseudonymisierung durch QR-Hashs ist ja immer noch besser als Kontaktdaten im Klartext auf Papier, idealerweise noch eine Tabelle wo jeder alles sehen kann. Also hier verlangt man das Perpetuum Mobile.


Besonders amüsant an der ganzen Geschichte fand ich allerdings, dass von Anfang an die App bei vielen Corona-Zweifler und Warn-App-Verweigerer gefeiert wurde (im Sinne von "endlich macht mal jemand was"), obwohl alles für das die Corona-Warn-App zu Unrecht kritisiert wurde, hier zutrifft.

Hätte jeder konsequent die Corona-Warn-App im Einsatz (und hätte man damals auch direkt geregelt, dass man mit einem Risikokontakt auch getestet und nicht weggeschickt wird), bräuchte man keine Luca App (vorallem jetzt, wo die Generation ohne Smartphone weitesgehend durchgeimpft ist).

 

[DFFVB]

Mein Problem bei Sicherheitsforschern ist immer: Die berichten von Lücken und Risiken. Die Tragweite bzw die Bewertung bleibt aus. Da wird ein Vorhängeschloss als unsicher bezeichnet, weil man es leicht knacken kann. Für meinen Keller reicht es, für die Bank natürlich nicht. Daher weiß ich immer nicht, wieviel ich hierfauf geben soll. Insbesondere, wenn dann auch noch rechtliche Aspekte wie Datenschutz dazukommen.

 

[DFFVB]

Spricht nicht unbedingt für gute Politik ..

Sehe ich anders. Computerbase will Hetzern keine Plattform geben, und macht extra Arbeit für die Moderatoren. Ich finds gut.

 

[mibbio]

Muss ich nicht verstehen.

Hab letztens auch irgendwo gelesen, das die Leute der Luca App tatsächlicht mehr vertrauen als der CoronaWarnApp, obwohl letztere das deutlich bessere Konzept (dezentrale Speicherung) hat.

Ich hoffe, dass Smudo mit seinen Leuten hier nacharbeitet, sodass die App sauber und gut funktioniert.
Kontaktnachverfolgung ist nach wie vor extrem wichtig.

Mit Nacharbeiten wird es da nicht getan sein, wie die App an sich ja schon auf einem ungeeigneten Konzept (zentrale Datenspeicherung) beruht. So lange funktionsbedingt sämtliche Tracking-Daten bei einem gewinnorientierten Privatunternehmen lagern, kann dir niemand garantieren, dass die Daten nicht zweckentfremdet und am Ende der Pandemie auch unwiderruflich gelöscht werden.

 

[AGB-Leser]

Ich find's faszinierend. Die App wäre ohne Promibonus völlig in der Versenkung verschwunden. Und jetze 20mio Steuergeld eingestrichen. Für nen Konzept, wovor viele Leute, die sich in dem Thema auch auskennen, warnen. Aber wie immer, drückt man das mit aller Gewalt und völliger Ignoranz dem Bürger gegenüber durch. Also haben sie doch alles richtig gemacht

 

[GREENBARN]

Deutschland haut das Geld raus als wenn es kein Morgen mehr gibt
Aber kein Problem die Deutschen zahlen dann gerne mehr Steuern damit es wieder reinkommt.

 

[Moep89]

Könnte jemand auf den Punkt bringen warum ein Start-Up mit Genwinnerzielungsabschicht weniger vertrauenswürdig sein soll als z.B. SAP und Deutsche Telekom welche auch gewinnorientierte Unternehmen sind und die CWA betreiben?

Weil Luca von einem Privatunternehmen entwickelt und betrieben wird. Die CWA ist eine Auftragsarbeit vom Staat. Telekom und Co. arbeiten hier nicht einfach für sich selbst sondern sind Auftragnehmer. Die Vorgaben kommen also vom Staat, der keine Gewinnerzielungsabsichten hat.

Zur App: Das Grundkonzept fand ich durchaus sinnig, aber die Umsetzung ist wie so oft katastrophal. Dass dieses winzige Start-Up die Sicherheit der Daten wirklich gewährleisten kann ist ausgeschlossen. Da haben schon ganz andere, deutlich erfahrenere Unternehmen massive Sicherheitslücken gehabt. Aber da der Betreiber selber die Daten gewinnbringend nutzen will, ist das am Ende fast nicht mehr relevant. Solche hochsensiblen Apps müssen von echten Fachleuten vom Staat extrem konkret mit hohen Auflagen in Auftrag gegeben, von vertrauenswürdigen Firmen entwickelt und die Entwicklung engmaschig überwacht werden. Ein Bedingungsloses Open-Source Konzept ist ebenfalls ein Muss. Sowas wie Luca, egal welche Musiker und Ex-Entwickler dafür werben, kann nie funktionieren.

 

[G00fY]

Könnte jemand auf den Punkt bringen warum ein Start-Up mit Genwinnerzielungsabschicht weniger vertrauenswürdig sein soll als z.B. SAP und Deutsche Telekom welche auch gewinnorientierte Unternehmen sind und die CWA betreiben?

Herausgeber und Datenschutzverantwortlicher der CWA sind weder SAP noch die Telekom, sondern die Deutsche Bundesregierung, vertreten durch das RKI. Das ist also ein bedeutender Unterschied.

Und dass SAP und die Deutsche Telekom vermutlich mehr Expertise und einen größeren Pool and fähigen Entwicklern, Sicherheitsforschern, QA etc. hat, sollte einleuchten. Ich bin selbst Android Entwickler und habe mir den Code der Luca App angeschaut. Das ist alleine was die Softwarearchitektur betrifft nicht professionell. Und das hat nichts mit Start-Up Gebashe zu tun (damit würde ich mich selbst angreifen).

Es ist genau wie die Sicherheitsforscher beschrieben haben eine, wenn nicht sogar zwei oder drei Nummern zu groß für ein Unternehmen dieser Art. Und das war mir von vornherein klar. Hier hat man einfach oberflächliches Marketing betrieben (in Form eines Rappers in einer Talkshow ). Die Bundesländer haben dann (wie ich vermute) die Lizenz erworben, um sich nicht nachsagen zu müssen, dass sie Maßnahmen auslassen.

 

[noxcivi]

Tjo, nur wird es wie immer kommen: Die Politik ignoriert die Warnungen, und wenn der Schaden am Ende da ist "oooh, davon wussten wir aber nix" -.-
Und zur Rechenschaft wird natürlich auch niemand gezogen...

Das steht nicht fest. Am 26. September ist Bundestagswahl. Die Mandate könnte man gerne mal an 'zig andere Personen verteilen (mehr Personen unter 50 Jahre, mehr Frauen, mehr nicht-Lehrer, mehr nicht-Juristen, mehr Personen mit Willen zu Veränderung, etc).

 

[grill]

Offenheit und Transparenz: Fachleuten, IT-Sicherheits- und Datenschutzexpert:innen muss frühzeitig die Möglichkeit gegeben werden, sich konstruktiv am Entwicklungsprozess zu beteiligen oder diesen unabhängig zu begutachten.

Warum arbeiten die Sicherheitsexpert und Datenschutzexpert nur innen? Gibts die nicht für außen?

Ansonsten, ich war schon immer gegen diesen tracking Kram, aber im Zeichen von Corona scheint man damit echt allein zu stehen, egal was da mit den Daten passiert.

 

[SVΞN]

Mein Problem bei Sicherheitsforschern ist immer: Die berichten von Lücken und Risiken. Die Tragweite bzw die Bewertung bleibt aus.

Allein die Tatsache dass das Konzept nicht auf einem dezentralisierten Ansatz fußt, sollte einem jeden zu denken geben.

Wie schnell man Daten habhaft werden kann, zeigen Facebook & Co. zu genüge. Deshalb sollte bei solch sensiblen Daten immer ein dezentralisiertes Konzept zum Einsatz kommen.

Die Corona-Warn-App zeigt ja wie es gehen kann.

Zudem gehen die Forscher ja auf die Punkte ein, weshalb sie die Prinzipien für eine solche App als nicht erfüllt ansehen.

Herausgeber und Datenschutzverantwortlicher der CWA sind weder SAP noch die Telekom, sondern die Deutsche Bundesregierung, vertreten durch das RKI. Das ist also ein bedeutender Unterschied.

Danke, du bringst es auf den Punkt.

 

[Falc410]

Der Erste in der Liste:
Prof. Dr. Florian Alt, Forschungsinstitut CODE, Universität der Bundeswehr München

Das gibt einem doch zu denken.

Was gibt dir das zu denken? Das Forschungsinstitut CODE ist ziemlich berühmt in der Akademischen Welt wenn es um Cybersecurity geht.

 

[Blumentopf1989]

Der Erste in der Liste:
Prof. Dr. Florian Alt, Forschungsinstitut CODE, Universität der Bundeswehr München

Das gibt einem doch zu denken.

Wo genau ist das Problem?

Ergänzung (30. April 2021)

Ich finde es haarsträubend, dass dieser Luca App überhaupt so viel Aufmerksamkeit gegeben wird. Nur weil ein Promi, der an sich keine Ahnung von der Materie hat das ganze promotet wird die App ja nicht besser. Das sie dann am Ende auch noch im großen Stil vom Staat eingekauft wird macht mich fassungslos. Warum wird vor einem solch überhasteten Kauf denn nicht mal die App an sich geprüft, wer entscheidet so etwas?

 

[sedot]

Ansonsten, ich war schon immer gegen diesen tracking Kram, aber im Zeichen von Corona scheint man damit echt allein zu stehen, egal was da mit den Daten passiert.

Natürlich stehst du nicht allein und es gibt eine bessere Alternative, die die politischen Entscheider:innen nur leider etwas aus dem Fokus verloren haben weil Smudo ankam.