Bund der Steuerzahler Luca App: Kritik bei Vorauszahlungen mit zweifelhaftem Nutzen
• 10.11.21 Die Luca App stand immer im Rampenlicht der Datenschützer. Hinzu gab es etliche Pannen bei der App, so dass Daten von den Gesundheitsämtern sogar zeitweise ausspioniert werden konnten. So verwundert es nicht, dass nur die Hälfte der 114 der vom Spiegel befragten Gesundheitsämter in Deutschland mit Luca-Anschluss noch nie Daten abgefragt haben.
|
Bund der Steuerzahler Luca App: Kritik bei Vorauszahlungen mit zweifelhaftem Nutzen
Immerhin wurden über 21 Mio. Euro Steuergelder für die App ausgegeben. In Sachsen-Anhalt hatte das zuständige Landesministerium für Arbeit, Soziales und Integration die Luca-App im Frühjahr 2021 für fast 1 Mio. Euro auf den Weg gebracht.
Bund der Steuerzahler Luca App: Kritik bei Vorauszahlungen mit zweifelhaftem Nutzen -Bild: © PublicDomainPictures ((Pixabay-Lizenz)/ pixabay.com |
Dabei gab es Gelder für Software-Lizenzen, Zertifikate, Anwendersupport und Wartung in den Gesundheitsämtern im Jahr für insgesamt circa 252.000 Euro sowie für die IT-Infrastruktur und Rechenzentren rund 432.000 Euro für 1 Jahr. Hinzu kommen pauschale Einmalkosten für SMS in Höhe von rund 153.600 Euro netto. Unter Berücksichtigung der Mehrwertsteuer von 19 Prozent ergeben sich Ausgaben von circa 1 Mio. Euro, wobei zunächst von einer Laufzeit von einem Jahr ausgegangen wurde.
Doch derzeit wird die Luca-App zur Kontaktverfolgung in den Gesundheitsämtern nur wenig genutzt. Es hakt an verschiedenen Stellen. so bestehen in einzelnen Gesundheitsämtern Bedenken hinsichtlich der präzisen Nutzung, da die Kontaktdaten z. B. im Restaurant häufig nicht präzise genug erfaßt werden. Auch für Menschen, die kein Smartphone benutzen, ist die Anwendung gar nicht oder nur mit weiteren Hilfsmitteln möglich.
So bleibt es häufig bei der üblichen Kontaktdatenerfassung mit Zettel und Stift, so die Kritik vom Steuerzahlerbund.
Ferner ist die Pflicht zur Registrierung im Handel zum Beispiel bei geringer Corona-Inzidenz aufgehoben worden. Außerdem bestehen weitere Erleichterungen für Geimpfte und Genesene. Bei Großveranstaltungen wird immer öfter auf diese App verzichtet und stattdessen mit digitalen Ticketsystemen die personengebundenen Daten erfaßt. Auch das angebliche Alleinstellungsmerkmal der Luca-App ist ohne eine Ausschreibung nicht belegt.
Besonders gravierend ist zudem die Tatsache, dass bei der Luca-App die Jahreslizenzen im Voraus bezahlt wurden. Da nicht, wie sonst in der Branche üblich, nutzerabhängige Preismodelle vereinbart wurden, könnte der finanzielle Vorteil für den Luca-App-Anbieter umso höher sein, je weniger die App genutzt wird, weil er weniger Leistung erbringen muss.
Auch die Kosten für Rechenzentrenkapazitäten wurden bereits im Voraus bezahlt, obwohl nicht feststand, dass die Nutzung dem geplanten Umfang auch entsprechen wird.
Dies alles wirft Fragen laut dem Steuerzahlerbund zum wirtschaftlichen und sparsamen Einsatz von Steuergeld bei der Bekämpfung der Corona-Pandemie auf. Aus Sicht der Steuerzahler sieht die Beschaffung der Luca-App wenig strukturiert und kaum nachhaltig aus. Bei dieser Bewertung ist zu berücksichtigen, dass eine ganze Reihe weiterer Bundesländer ähnliche Lizenzen aus öffentlichen Mitteln in Höhe von insgesamt rund 21 Mio. Euro erworben haben sollen.
Luca App: In vielen Bundesländern und Kreisen lieferte die Luca App zuwenig Infektionsketten
Immerhin hatten zum Start der App mehr als 13 Bundesländer im Frühjahr die Dienste der Luca-App genutzt. Dabei ging man in den Behörden davon aus, dass die App Kontakte von Corona-Infizierten ermitteln kann. Allerdings hat sich laut einem Tagesschau Bericht gezeigt, wie wenige Infektionsketten tatsächlich ermittelt worden sind. Wir hatten dabei auch schon im letzten Monat über die geringe Anzahl von Infektionsketten bei der Luca App berichtet. Die Luca App hat einfach viel zu wenig Corona Kontakte identifiziert.Im Bremen gab es dann aber schon mal fünf bestätigte Corona Kontakte. Und hier im Norden von Schleswig-Holstein gab es bei den Gesundheitsämtern in Kiel, Neumünster und dem Landkreis Rendsburg-Eckernförde innerhalb der vergangenen drei Monate insgesamt 8 Corona Kontakte über die Luca App. Dabei wird in anderen Kreisen die Luca gar nicht mehr aktiv genutzt. Immerhin hatte unsere Tarifrechner Redaktion über die Kritik von Schleswig Holsteins Datenschutzbeauftragte Marit Hansen berichtet, welche von der Luca App abrät.
In Sachsen-Anhalt gab es in den vergangenen Monaten zwei Gesundheitsämtern mit einem bestätigten Corona Kontakt, laut einem MDR-Bericht. Weimar und der Kreis Schmalkalden-Meiningen beendeten schon die Zusammenarbeit nach Ablauf der Testphase Ende August.
In Baden-Württemberg sind konkrete Zahlen über die Kontaktnachverfolgung mit der Luca-App gar nicht erst vorhanden, teilte das Gesundheitsministerium auf einer SWR-Anfrage mit.
Luca App Macher ziehen allerdings positives Fazit
Die Entwickler der Luca App ziehen allerdings eine positive Zwischenbilanz. So soll es laut deren Feststellung zwischen dem Zeitraum Anfang Juni und Ende August 126.000 Menschen bestätigte Corona Kontakte durch die Luca-App gegeben haben, so der Luca-App Herausgeber Culture4Life. In diesem Zeitraum hätten die Gesundheitsämter 1750-mal von Betrieben gesammelte Kontaktdaten der betreffenden Besucher angefordert.
Bericht: Erst 60 mal hat die Luca App bei Infektionsketten geholfen
Auch gab es erst laut einem Spiegel Bericht vom letzten Monat bundesweit 60 Fälle, wo die Daten geholfen hätten, Infektionsketten nach zu verfolgen. Zum Vergleich, es gab 60 Fälle von 130.000 Neuinfektionen im selben Zeitraum.So hatte der Spiegel eine Umfrage unter den Gesundheitsämter gestartet. Dabei waren aber die Beamtinnen und Beamte unzufrieden mit der App, nur wenige beschreiben sie als Arbeitserleichterung. Auch gibt es einen dokumentierten Fall auf Sylt, wo die Luca App nicht geholfen hatte. Im Juli wurde auf Sylt ein Besucher in einer Bar positiv auf das Corona-Virus getestet. Dabei konnten dann später rund 80 weitere Besucher der Bar nicht ermittelt werden. Dabei kam es zum Einsatz der Luca-App in dem Lokal. Der Barbesitzer schiebt es auf einen "technischen Fehler" der App, der Betreiber dementierte dieses natürlich.
Auch in Thüringen sind mehrere Städte keine Freunde mehr der Luca App. Dort wurde die Testphase nicht verlängert, weil sich das Programm nicht durchgesetzt habe. Auch gibt es Kritik, dass die Luca App zu viele unkonkrete Daten sammle. Die Gesundheitsämter waren daher der Meinung, dass die App hier keine Hilfe war.
Schon im April gab es Berichte über Sicherheitslücken und der Chaos Computer Club fordert gar einen Ausstieg aus der Luca-App. Das Programm erfülle keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von "Contact Tracing-Apps", teilte der Verband im April mit.
Übersicht von Corona Tracing Apps bei der IHK
Immerhin sollten Restaurants, Cafés, Fitnessstudios, Friseure, Mode-Shop etc. sich nicht nur auf die Luca App verlassen, welche mit viel Werbeaufwand promotet wurde. Eine große Übersicht an Corona Tracing Apps gibt es bei der IHK auch online Dabei gibt es allerdings keine Qualitätsüberprüfung von seiten der IHK.
Fast 55,9 Millionen Menschen der Bevölkerung vollständig geimpft
Derzeit sind bereits 55,9 Mio Millionen Menschen der Bevölkerung vollständig geimpft und können den digitalen Impfnachweis nachfragen. Vor zwei Monaten waren es erst 48,9 Menschen. Der vollständige Impfschutz tritt nach weiteren 15 Tagen in Kraft. Damit sind 67,1 Prozent der Bevölkerung vollständig geimpft, Stand 10.11.2021Immerhin schaffte es der Gesundheitsminister Jens Spahn via Tweet seit mehreren Monaten nicht, eine entsprechende Unterscheidung zwischen "vollständig geimpft" und "vollständigen Impfschutz" herzustellen, Stand 24.08.2021. Wir haben schon im Sommer über einen vergleichbaren Tweet mit Falschmeldung von Jens Spahn berichtet. Immerhin sind Urlauber für Italien und sonstigen EM-Ländern auf korrekte Angaben beim "Vollständigen Impfschutz" angewiesen, sonst droht den Urlaubern statt Urlaubsfreude eine Quarantäne.
Daher werfen Kritiker ihm vor, die Corona Impflage zu verherrlichen und die Bürger und Wähler zu täuschen. Der vollständige Impfschutz tritt nach weiteren 15 Tagen in Kraft, erst nach der vollständigen Impfung. Die Corona Warn App und die die CoVPass sind daher klüger, als die permanenten Falschmeldungen vom Jens Spahn.
Lübecker Bucht: Exklusive Einsatz der Luca App trotz Bedenken der Datenschützer und Informatiker?
Die Luca App fällt bei den Datenschützern und den Informatikern durch. Zuletzt hat schon Schleswig Holsteins Datenschutzbeauftragte Marit Hansen von der Luca App abgeraten, auch betrachten 70 IT-Forscher die Luca App für "völlig unverhältnismäßig". Nun kam die Luca App auch bei der Modellregion Lübecker Bucht zum Einsatz. Dabei war dann auch oftmals nur diese Form der Kontaktverfolgung möglich.Am 8.Mai startete die Lübecker Bucht an der Ostsee als Modellregion in Zeiten der Corona Pandemie. Zu der Region der Lübecker Bucht gehören die Stadt Neustadt in Holstein mit Pelzerhaken und Retten, die Gemeinde Sierksdorf, die Gemeinde Scharbeutz mit Haffkrug sowie die Gemeinde Timmendorfer Strand mit Niendorf.
Lübecker Bucht: Exklusive Einsatz der Luca App trotz Bedenken der Datenschützer und Informatiker? -Screenshot: luebecker-bucht-ostsee.de |
Als Modellregion soll gezeigt werden, dass die Öffnung von Unterkunftsbetrieben und der Gastronomie verantwortungsvoll möglich ist. Immerhin gab es schon erfreuliche Werte aus anderen Modellregionen in SH, so dass der CDU Minister Günther den Urlaub auch wieder ab dem 17.Mai für getestete, geimpfte und genesene Personen öffnen will.
Zur Kontaktverfolgung soll die Luca App eingesetzt werden. Dieses steht auf den Internet-Seiten und wird auch in den Medien verbreitet. Zuletzt hatte Schleswig Holsteins Datenschutzbeauftragte Marit Hansen schon den ausschließlichen Einsatz der Luca App in Modellregionen kritisiert, da dieses laut Schleswig Holsteins Datenschutzbeauftragte Marit Hansen im Widerspruch zur Corona-Bekämpfungsverordnung steht. Das hatte Frau Hansen auch am 20.April gegenüber dem NDR-Rundfunk betont.
Auch gibt es Kritik von Senioren an den Einsatz der Luca App bei der Lübecker Bucht, da diese oftmals nicht mit Handys ausgestattet sind, worauf die Luca App läuft. Diese Kritik gab es auch schon bei der Corona Warn App.
Auch muss jedes Familienmitglied die Luca App verwenden, dieses geht aus den FAQs hervor. Dazu gibt es den Hinweis "Jedes Familienmitglied muss die App verwenden. In Klärung ist noch das Mindestalter von Kindern.".
Modellregionen reagieren nicht auf Anfragen
Die Modellregion der Inneren Lübecker Bucht startete am 08. Mai 2021. Die involvierten Regionen haben auf unsere Presse Anfrage bzgl. Stellungnahmen nicht regiert. Zuständig ist bei einer Beschwerde die Schleswig Holsteins Datenschutzbeauftragte Marit Hansen. Hier kann man sich auch online über die exklusive Anwendung der Luca App beschweren.Mittlerweile gibt es auch bei Twitter bestätigte Berichte über "Code-Injection" Angriffe auf die Luca App, womit man sogar die Datenbanken der Gesundheitsbehörden über die Schnittstelle der Gesundheitsämter angreifen und ausspionieren kann. Im schlimmsten Fall hätte man dadurch die Arbeit der Ämter lahmgelegt und so die Pandemiebekämpfung behindert.
Derzeit ist die Luca App mit Sormas verbunden, dem Datenbanksystem, das viele Gesundheitsämter bereits jetzt zur Kontaktnachverfolgung nutzen. Daten von Luca laufen dann über eine Schnittstelle automatisch im Gesundheitsamt ein.
So hat nun das Gesundheitsamt Aachen die Luca App verbannt. Das Amt will die Luca-Anwendung nicht weiter nutzen. "Nach all den Sicherheitsproblemen ist mir das schlicht zu gefährlich", sagt Dezernent Ziemons. Dabei ist seine Sorge, wer es schaffe, über Sicherheitslücken in der Luca-Software ins Gesundheitsamt einzudringen, findet dort jede Menge sensible Daten. "Wir haben dort jeden Masernfall, jede Einstellungsuntersuchung von Beamten, jeden Todesfall.".
Ferner gibt es reichlich Bilder und Videos von Luca App Nutzern auf Twitter und Facebook, welche unfreiwillig, personenbezogene Daten preisgeben durch die Verwendung der Luca App.
Luca App: 70 IT-Forscher halten Luca App für völlig unverhältnismässig
Dabei halten 70 IT-Forscher die Luca App vor, dass es hier wenig Nutzen gibt in Verbindung mit dilettantischen Sicherheitslücken. Daher raten auch die 70 führende IT-Sicherheitsforscher von der Luca-App ab. Bislang haben schon mehrere Bundesländer diese Luca App zuvor teuer eingekauft, im Norden Deutschlands an der Ostsee verlangt man oftmals ausschließlich für Touristen-Strände die Luca App.
Luca App: Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von Luca App ab -Bild: Google Store |
Die Forscher sprechen sogar hier von einem "De-facto-Zwang zur Nutzung einer Lösung" aus, die "grundlegende Entwicklungsprinzipien eklatant verletzt", so in einer Stellungnahme gegenüber der "Zeit Online", welche die Erklärung vorab erhalten haben.
Daher fordern die IT-Experten von der Politik und Verwaltung sich stattdessen auf dezentrale Lösungen zu nutzen. Dabei wird explizit die Corona Warn App genannt.
Zu den Unterzeichnern der Erklärung gehören Kryptologinnen und IT-Sicherheitsforscher der wichtigsten deutschen Institutionen in diesem Bereich. Unter anderem zählen dazu Professorinnen und Professoren des CISPA Helmholtz Center for Information Security, der Ruhr-Universität Bochum, der TU Darmstadt, des neu gegründeten Forschungsinstituts Code der Universität der Bundeswehr und zahlreicher weiterer Universitäten und Institute.
Auch haben die Forscher bereits vor einem Jahr, in der Debatte um die Corona-Warn-App, auf vier Grundprinzipien zur Entwicklung solcher Werkzeuge hingewiesen: Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. "Das bereits in vielen Bundesländern eingesetzte Luca-System erfüllt keine dieser Prinzipien.", so die Kritik der 70 Experten.
Grosse Konzeptionelle Sicherheitslücken
So bestätigen die Forscher schon die Kritik von den Informatikern, welche in dem Luca-System grosse Risiken sehen und diese "erscheinen völlig unverhältnismäßig", so die Erklärung der 70 Forscher.Dabei werden von der "in großem Umfang" Bewegungs- und Kontaktdaten erfasst, welche dann auch noch an zentrale Stelle gespeichert wird. Dadurch ergibt sich ein massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks.
Auch seien solche Systeme erfahrungsgemäß kaum vor Angriffen zu schützen, warnen die Sicherheitsforscher. Auch bei großen Unternehmen scheitern diese Versuche."Es ist nicht zu erwarten, dass dies einem Start-up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte.". Die Entwickler der Luca App haben immer wieder die zentrale Datenspeicherung favorisiert, mit der Begründung, dass auch Banken und Telefongesellschaften eine zentrale Datenspeicherung betreiben.
Und weiter in der Kritik der Forscher "Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer:innen allein aufgrund der anfallenden Metadaten erstellen lassen.".
Zu Metadaten kann zum Beispiel die IP-Adresse zählen oder die Information, wann jemand mit der Luca-App in einer Bar eingecheckt hat. So kann man über die Luca App nachverfolgen, wo jemand wann war - und damit könnten möglicherweise auch Rückschlüsse auf die Person gezogen werden.
Die Forscher betonen, dass diese Risiken gegen die Vorteile abgewogen werden müssen. Auch sieht man bei Luca-Systems keinen Vorteil, weil die App im Wesentlichen Papierlisten digitalisiere, die aufwendige Auswertung jedoch weiterhin durch die Gesundheitsämter erfolge, schreiben die Forschenden.
Auch gegen andere Prinzipien verstoße Luca: "Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf Luca diskutiert", heißt es in der Erklärung.
Damit könne das Unternehmen, welches hinter der Luca App steht, auf Millionen deutschen Mobiltelefonen später für kommerzielle Zwecke zugreifen. Damit entstehe eine Abhängigkeit von einem einzelnen Privatunternehmen. Zudem sei "ein intransparent entwickeltes System" in Betrieb genommen worden, und "selbst leicht zu findende Sicherheitslücken" seien erst im laufenden Betrieb entdeckt worden.
Luca App: Laut Schleswig Holsteins Datenschutzbeauftragte Marit Hansen nur ein Schlüssel für alle Gesundheitsämter
Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von der Luca App ab. Auch wird von der Datenschützerin gegenüber den Lübecker Nachrichten (Hinter einer Pay-Wall) betont, dass es nur einen Schlüssel für alle Gesundheitsämter gibt. Dieses ist dabei auch mehr als bedenklich, da dann noch schneller der Schlüssel in unbefugte Hände geraten kann, so der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka.So die Kritik von Margit Hansen "Problematisch sei, dass alle Gesundheitsämter über den gleichen Schlüssel zur Entschlüsselung der Daten verfügen und die Bewegungsdaten sämtlicher Nutzer zentral gespeichert würden.". Auch wird von der Datenschützerin kritisiert, dass es im Norden Regionen gibt, wo man nur mit der Luca App zutritt hat. Dieses stünde im Widerspruch zur Corona-Bekämpfungsverordnung. Das hatte Frau Hansen auch noch mal am heutigen Tag gegenüber dem NDR-Rundfunk betont.
Die zentrale Datenspeicherung wird auch von der letzten Datenschützerkonferenz kritisiert. Zudem ist ein Schlüssel für alle Gesundheitsämter ein hohes Risiko. Stand der Technik bei der Verschlüsselung ist, -wie zum Beispiel beim Internet-Browser-, dass man immer einen individuellen Schlüssel bekommt. Dieser Schlüssel ist auch noch zeitlich befristet. Dabei werden die Schlüssel auch noch von einer unabhängigen Trust Stelle zertifiziert. So kann man sicher sein, auf die richtige, verschlüsselte Internet-Seite zu gelangen. Wichtig zum Beispiel beim Online-Banking. Laut Meldungen von den Behörden, im Rahmen einer Ausschreibung im Bundesland Schleswig Holstein, ist nach Verfahrensdurchführung das Unternehmen "culture4life GmbH" die Zertifizierungsstelle.
Ausschreibung im Norden wegen Einsatzes der App
Bei der Luca App sind in Schleswig-Holstein alle Kreise und Kreisfreien Städte an das Erfassungssystem der Luca-App angeschlossen worden, teilte die Kreis Plön Sprecherin Nicole Heyck zuletzt mit."In Schleswig-Holstein sind alle Kreise und Kreisfreien Städte an das Erfassungssystem der Luca-App angeschlossen worden, nachdem zuvor ein zentrales Vergabeverfahren, beauftragt durch den IT-Verbund Schleswig-Holstein (ITV.SH) und durchgeführt durch die Firma Dataport, erfolgt ist. Nach Verfahrensdurchführung hat die Firma Dataport dem Unternehmen 'culture4life GmbH' den Zuschlag erteilt.", so die Sprecherin.
Und weiter "Zwischenzeitlich ist aufgrund dieses Vergabeverfahrens ein Vertragsverhältnis zwischen dem Gesundheitsamt des Kreises Plön und dem App Anbieter /Zertifikatsgeber geschlossen worden.".
Wir haben hier beim Kreis Plön nachgefragt, weil der Chaos Computer Club hier Kritik anbrachte: "Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen", erklärte der CCC-Sprecher letzte Woche.
Auch hat der Steuerzahlerbund SH unsere Anfrage nun an den Bundesverband weiter geleitet. Daher wird die Ausschreibung im Norden und anderen Bundesländern genauer unter die Lupe genommen werden.
Luca App: Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von Luca App ab
Der Datenschutz ist bei der Luca App weiterhin ein grosser Kritikpunkt. Im Gegenzug gibt es in Lübeck, Sylt und anderen Gemeinden Schleswig-Holsteins und Kreisen die Luca-App zur Kontaktnachverfolgung auch als Schlüsselanhänger. Damit können Menschen auch ohne Smartphone ihre Kontaktdaten hinterlegen.Dabei gibt es den Schlüsselanhänger auch für Sylt, Föhr und Amrum. "Das Angebot kommt gut an, in den vergangenen zwei Wochen haben wir bereits rund 500 der Anhänger ausgegeben", sagte der Tourismuschef von Amrum, Frank Timpe.
Allerdings stellt sich die Landesdatenschutzbeauftragte Marit Hansen klar gegen die Luca App."In den letzten Tagen haben sich die Meldungen zu Schwachstellen bei der Luca-App und dem Luca-Schlüsselanhänger gehäuft", sagte die Landesdatenschutzbeauftragte. "Im Moment rate ich von der Benutzung ab", so die Datenschützerin weiter.
Zuletzt hatte auch der Chaos Computer Club vor dem Einsatz der Luca-App gewarnt. Seit letzte Woche ist nun der komplette Programm-Code auf GitLab von der Luca App verfügbar und einsehbar. Allerdings erst nach massiver Kritik und wochenlangen Zögern. Damit ist viel Vertrauen in der Luca App verspielt worden.
Luca App: Entwickler veröffentlichen nach langem Zögern kompletten Programmcode
Mit der Veröffentlichung des kompletten Programm-Codes, hat der Anbieter auf die öffentliche Kritik von Informatikern und dem Chaos Computer Club reagiert. Der Code ist auf GitLab einsehbar. Allerdings ist die Resonanz bei den Programmieren, wie erwartet, derzeit nicht vorhanden den Code auf Fehler zu untersuchen. Dazu ist zu viel Vertrauen in den letzten Wochen verspielt worden.Immerhin will der Entwickler Culture4life GmbH, das Unternehmen hinter dem Luca-System, eine transparente Analyse und Weiterentwicklung der Software.
Dazu Patrick Hennig, CEO: "Das luca-System soll transparent entwickelt werden - auch um ein hohes Vertrauen in die Sicherheit bei allen Beteiligten und interessierten Nutzer:innen zu erzeugen. Die Standards und Peer-Reviews sorgen außerdem dafür, dass der Quellcode oft getestet und mögliche Issues schnell identifiziert werden können und ein unabhängiger Feedback Prozess ermöglicht wird.".
Auch soll der Missbrauch der Nutzerdaten durch den Einsatz eines Luca-Schlüsselanhängers nicht mehr möglich sein. Immerhin konnte man Nutzerdaten und Bewegungsprofile ausspionieren, wie am letzten Dienstag durch den "Lucatrack" veröffentlicht wurde. Dabei ist der Schlüssel selbst auf dem Schlüsselanhänger im QR-Code und der Seriennummer hinterlegt.
Auch wurde das Unternehmen und die zuständige Berliner Beauftragte für Datenschutz und Informationsfreiheit am 13. April 2021 darüber in Kenntnis gesetzt.
Luca App vergleicht sich mit Telekommunikationsanbietern und Kreditkartenunternehmen
Bei der Corona Warn App der Telekom und SAP wird auf ein dezentrales Datensystem gesetzt. Dazu haben die Entwickler auf die Einwände von Informatikern und Datenschützern gehört. Zumal in einer Gesundheits-App sensible Daten verfügbar sind.Bei der Luca App ist es ein zentrales Datenspeicherungssystem. Hier will man die Kritik nicht gelten lassen, da im übrigen an vielen Stellen des gesellschaftlichen Lebens wie bei Telekommunikationsanbietern, Kreditkartenunternehmen und auch im Gesundheitswesen vielerorts zentrale Datensysteme zum Einsatz kommen.
Weitere Kritik von Informatikern
Dabei gibt es weiter hin Bedenken von der Informatikern bei der zentralen Datenspeicherung. So teilte der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka schon Anfang April mit, dass bei einer zentralen Speicherung -wie bei der Luca App - man als Betroffener seine Datenhoheit verliert. So die Kritik "Auch vergleicht man sich hier mit IT-Systemen von Banken und Telefonanbietern, die im Laufe von über 60 Jahren entwickelt worden sind. Dabei gab es im Laufe der Jahrzehnte Billiarden von Programmierstunden durch Millionen von Programmieren, um die Sicherheit zu erhöhen und Software-Fehler zu beseitigen. Das die Entwickler eines Start-Ups sich auf die Stufe von 60 Jahren Entwicklungsarbeit bei der zentralen Datenspeicherung stellen, ist dann schon Grössenwahn!".Und weiter in der Kritik "Auch ist der Vergleich mit bestehenden zentralen IT-Systemen kein wissenschaftlicher und mathematischer Beweis der Korrektheit und Sicherheit von eigenen IT-Systemen. Durch Softwarefehler, auch 60 Jahre nach der Entwicklung, gibt es aus Erfahrungen immer wieder neue Sicherheitslücken. Daher sind Gesundheitssysteme mit einer dezentralen Datenspeicherung der derzeitige Stand der Informatik bei der Datenspeicherung. Schönreden schafft hier keine Datensicherheit!".
Luca App: Chaos Computer Club warnt vor Luca-App --Steuerverschwendung bei der App
Immerhin investieren zwölf Bundesländer und viele Landkreise Steuergelder in die Tracking App Luca. Nun sehen die Computer-Experten vom Chaos Computer Club erhebliche Sicherheitslücken. Bei dem Luca-System lassen sich Kontaktdaten zum Beispiel bei Restaurant-Besuchen erfassen. Der QR-Code wird mit der Handy-App gescannt wird. Bei einer Infektion sollen die Daten direkt und verschlüsselt an die kooperierenden Gesundheitsämter übermittelt werden.So hat nun auch die europäische Hackervereinigung Chaos Computer Club (CCC) gefordert, keine Steuermittel mehr für die Luca-App zur Corona-Kontaktnachverfolgung auszugeben. Dabei verwies der Club-Sprecher Linus Neumann auf eine "nicht abreißende Serie von Sicherheitsproblemen" bei dem System. Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind.
"Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren", kritisierte Neumann zuletzt. Er verwies dabei auf Recherchen, die im Netz unter dem Titel "Lucatrack" veröffentlicht wurden. "Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit.".
Und weiter in der Kritik "Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen", erklärte der CCC-Sprecher. "Mecklenburg-Vorpommern will die Installation sogar zur Voraussetzung der Teilhabe am öffentlichen Leben machen."
Der Chaos Computer Club forderte ein Moratorium beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten durch den Bundesrechnungshof überprüft werden. Niemand dürfe gezwungen werden, die App zu verwenden, um am öffentlichen Leben teilzunehmen, so die Kritik weiter.
Dabei räumen Entwickler Fehler ein
Dabei räumen die Entwickler der App, das Berliner Start-up Nexenio, die Fehler ein. So können Unbefugte, welche im Besitz des QR-Codes auf dem Schlüsselanhänger sind, die jeweilige Kontakthistorie abrufen.Der Sprecher des Berliner Start-up Nexenio "Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.".
Derzeit wird die Luca App in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg eingesetzt.
20 Mio. Euro Steuergelder schon geflossen
Nach bisherigen Recherchen von Netzpolitik.org bezahlen die Länder insgesamt 20 Millionen Euro für der Einsatz. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.Die hohe Summe von 20 Mio. Euro geht aus Antworten hervor, die netzpolitik.org von den zuständigen Staatskanzleien und Ministerien erhalten hat. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million. Angaben aus dem Saarland stehen noch aus.
Zuletzt gab auch Bayern seine Entscheidung für Luca bekannt und zahlt mit 5,5 Millionen den höchsten Preis für die Jahreslizenz. Es handelt sich um das bislang einzige Bundesland, das die Vergabe der App überhaupt ausgeschrieben hat. Die anderen Länder verweisen darauf, dass die Vergabeverordnung Ausnahmen zulassen, wenn eine besondere Dringlichkeit vorliege oder ohnehin nur ein Anbieter in der Lage sei, den Auftrag zu erfüllen.
So schreibt etwa Mecklenburg-Vorpommern: "Bei der Beschaffung eines Systems zur Kontaktnachverfolgung ging es uns um eine möglichst schnelle Lösung, die aber insbesondere unsere hohen Anforderungen an den Datenschutz erfüllen musste. Eine sehr zeitaufwändige Ausschreibung, die in der Regel mehrere Monate dauert, kam für uns in diesem Fall ausnahmsweise nicht in Frage." Laut Zeit Online hat das zuständige Ministeriums für Energie, Infrastruktur und Digitalisierung dafür lediglich Textblöcke aus dem Internet zusammen kopiert Luca-Kosten für die einzelnen Bundesländer:
-
• Mecklenburg-Vorpommern: 440.000 Euro
• Berlin: 1.200.000
• Brandenburg 990.000
• Niedersachsen: 3.000.000
• Hessen: über 2.000.000
• Rheinland-Pfalz: 1.726.000
• Bremen: rund 260.000
• Baden-Württemberg: 3.700.000
• Schleswig-Holstein: rund 1.000.000
• Saarland: ?
• Bayern: 5.500.000
• Sachsen-Anhalt: rund 1.000.000
• Hamburg: 615.000
Ein weiterer Teil sei für die Unterstützung und Infrastruktur der Gesundheitsämter, die Luca ebenfalls nutzen, um die Daten abzurufen und berechne sich aus der Zahl der Ämter pro Bundesland. Der Rest des Preises sei für die eigentlichen Softwarelizenzen des Systemkomponenten von Luca und deren Wartung.
Luca App: Auch Hamburgs Datenschützer Caspar kritisiert den Datenschutz
So bemängelt Hamburgs Datenschutzbeauftragter Johannes Caspar die Intransparenz bei der Luca-App gegenüber der Düsseldorfer Tageszeitung Rheinische Post. Auch würde nach seiner Sicht eine Datenschutzfolgenabschätzung fehlen."Es geht darum, Transparenz gegenüber der Öffentlichkeit zu erreichen. Ohne den Quellcode ist nicht einsehbar, wie eine Software funktioniert", so Caspar in seiner Kritik.
Auch geht es um die Datenschutzfolgenabschätzung, welche bisher noch nicht bekanntgegeben worden ist. Diese sei aber für eine datenschutzrechtliche Bewertung unerlässlich und sollte dringend nachgeholt werden, so der Datenschützer.
Eigentlich sollte eine datenschutzrechtliche Dokumentationen vor der Inbetriebnahme erstellt werden und das Risiko für die Rechte und Freiheiten der betroffenen Personen bekannt sein, so Casper gegenüber der Zeitung.
Auch sieht Caspar keinen Widerspruch zwischen Datenschutz und einer digitalen Kontaktnachverfolgung. Er befürwortet sogar explizit digitale Werkzeuge. "Wir haben ein großes Interesse daran, dass der Datenschutz hier ermächtigt und nicht verhindert.". Auch braucht es gesetzliche Vorgaben zur digitalen Kontaktverfolgung.
In der Vergangenheit hatte die "Die Grünen"schon mal ein Gesetz für die Corona App gefordert. Diese ist mittlerweile 10 Monate auf den Markt. Durch das Corona App Gesetz sollen mögliche Benachteiligungen für Personen verhindert werden. Damals kam Kritik auf, weil die App für Senioren und auf alten Handys nicht nutzbar war.
Wurde der Quellcode geklaut? Zuletzt hatte der Hersteller der Luca-App versprochen, den Quellcode dazu als Open Source zu veröffentlichen. Allerdings stellen die Entwickler den Quell-Code zuerst nicht unter einer der üblichen Lizenzen bereit, sondern unter einer selbst geschriebenen Lizenz. Dieses sorgt für massive Kritik Die Lizenz hätte eine Überprüfung durch Dritte nur erschwert. Nach der Kritik soll der Quellcode dann unter die GNU GPLv3 gestellt werden.
So wurde nun der Quellcode Anfang April veröffentlicht. Der Fokus berichtet in seiner Online-Ausgabe darüber, dass der Quellcode möglicherweise geklaut wurde.
So hatten sich die Entwickler der Luca App bei Open-Source-Programmmodulen bedient, aber dabei die nötigen Lizenz- und Urheberrechtshinweise auf den fremden Code entfernt. Auch haben die Hacker der Gruppe "Zerforschung" analysiert, dass bei der Luca App der kopierte Code mit einer eigenen, klar restriktiveren Lizenz veröffentlicht wurde.
Auch ist das Gesamtsystem der Luca-App erst nach wochenlangen Zögern seit dem gestrigen Mittwoche unabhängig überprüfbar. Immerhin sind schon laut netzpolitik.org seit dem 20 Mio. Euro an Steuergeldern geflossen.
Luca App: Zentrale Datenspeicherung wird von Datenschutzkonferenz kritisiert
Die Luca App wird in immer mehr Kommunen zur Kontaktverfolgung eingesetzt. Nun auch im Norden Deutschlands zum Beispiel im Kreis Plön im Land Schleswig Holstein. Daher haben sich die Datenschützer und die Informatiker die App mal genauer angesehen. Und stoßen auf gravierende strukturelle Probleme beim Datenschutz, welche zum Beispiel bei der Corona Warn App vom RKI nicht vorliegen.In einer Stellungnahme durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 26.03.2021 gibt es erhebliche Sicherheitsbedenken.
Die App des Unternehmens culture4life GmbH hat dabei in den vergangenen Wochen besonderes mediales Interesse erfahren. Culture4life hat bei mehreren Aufsichtsbehörden um ein datenschutzrechtliches Votum zu der Lösung ersucht.
Darüber hinaus haben einige Länder und Landkreise die Absicht bekundet, diese App einzuführen und dann eine Verbindung zu den jeweiligen Gesundheitsämtern herzustellen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt-und Anwesenheitsdaten datenschutzkonform betrieben werden müssen.
Um eine bundesweit, einheitliche Datensparsame digitale Infektionsnachverfolgung zu ermöglichen, fehlt es bislang allerdings an gesetzlichen Regelungen. Hierfür sollten bundeseinheitliche normenklare Vorgaben zur digitalen Kontaktnachverfolgung geschaffen werden.
So warnen die Datenschützer von Bund und Ländern vor einer "schweren Beeinträchtigung" für den Einzelnen und die Gesellschaft durch zentral gespeicherte Daten zur Kontaktnachverfolgung. Dabei liegen die Daten verschlüsselt auf einen Server. Durch einen Hack kann man auf die verschlüsselten Daten gelangen.
Nach Ansicht der Datenschutzkonferenz hat die Luca-App zwar die Vorteile digitaler Lösungen umgesetzt, bisher identifizierte Risiken aber nur teilweise behandelt. Daher werde das Unternehmen aufgefordert, "weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen".
Die zentrale Datenspeicherung wird daher ausgiebig kritisiert. "Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen".
Zuvor waren auch schon die Sicherheitsforscher der Schweizer Universität Lausanne und der niederländischen Universität Radboud in einer ausgiebigen Untersuchung zu dem Ergebnis gekommen, dass die zentrale Datenspeicherung auf dem Luca-Server ein hohes Risiko darstellt. Die Forscher kritisieren das Sicherheitskonzept, welches ausschließlich auf Verfahrenskontrollen basiert und erfordert volles Vertrauen in den Luca-Dienstbetreiber, die Protokolle genau zu befolgen.
Auch die zentrale Verwaltung der Schlüssel bei der Luca App birgt ein Risiko. Immerhin werden die Daten der Luca-App doppelt verschlüsselt, was aber für Angreifer bei der zentralen Kontrolle keine Rolle spielt.
Die Veranstaltern und Geschäfte bekommen einen individuellen Schlüssel sowie ein täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann. Die Schlüsselverwaltung wird von den Betreibern der Luca-App, der Culture4life GmbH, übernommen. Daher liegt hier das "hohe Risiko" durch einen Hack bei der Culture4life GmbH auch die Daten auf dem zentralen Server zu entschlüsseln.
Die Datenschützer bei der Datenschutzkonferenz schreiben dazu "Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann".
Auch wird kritisiert, dass es für die Veranstalter schwierig zu überprüfen sei, ob eine Anforderung zur Entschlüsselung berechtigt ist. Daher können Angreifer sich hier als Behörde oder Berechtigter ausgeben.
Informatiker mit weiteren Bedenken
Auch gibt es weitere Bedenken von der Informatikern. So teilt der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka, dass bei einer zentralen Speicherung -wie bei der Luca App - als Betroffener seine Datenhoheit verliert. Als Nutzer wird man nicht mehr um Erlaubnis bei der Datenfreigabe gefragt, damit wird das Tracking von Personen ungehemmt ermöglicht. Dieses steht im Widerspruch zu dem dem Schutz von Anwälten, Richtern, und Journalisten, welche auf diese Art und Weise ausspioniert werden können. Bei Journalisten verliert man den Informanten- und Quellen-Schutz, welcher durch das Grundrecht auf Pressefreiheit gewährt wird. Bei der Corona Warn App bleiben die Daten auf dem Handy der App Nutzer. Auch kann man den Verlust der Datenhoheit als Nutzer als Eingriffe in das Grundrecht auf informationelle Selbstbestimmung betrachten. Die Tragweite solcher Verfahren kann man oftmals erst im nach hinein überprüfen und bewerten. Wenn dann Unbefugte Zugriff auf die zentralen Daten erhalten und diese entschlüsseln können und damit Missbrauch betreiben, ist es zu spät. Auch können Behördenmitarbeiter hier ungehemmt, ohne eine Kontrollfunktion, auf eine Pool von schützenswerten, personenbezogene Daten zugreifen.Erst nach langem Zögern stellen die Entwickler den Quelltext der App zur Verfügung. Dabei geht es nicht nur darum, dass man nachvollziehen kann, was die App macht, sondern auch um reichlich Software-Fehler, die man beseitigen kann. Immerhin wurde durch eine grosse Community bei der Corona Warn App tausende von Software-Fehler in den letzten Monaten beseitigt. Jeder Software-Fehler kann auch Einfallstor für eine Sicherheitslücke sein, so die Kritik vom Chefredakteur weiter.
Durch eine mangelhafte und fehlerhafte Programmierung bei der Tracing App, können Nutzerdaten mitunter ausgespäht werden und so Nutzer zu Schaden kommen. So werden bei der Software-Entwicklung entsprechende Software-Testmethoden eingesetzt, um die Fehlerzahl im Programm-Code zu reduzieren. Allerdings gibt es nie 0 Programmier-Fehler.
"Überlicherweise muss man bei einem hohen Entwicklungs-Standard bei der Verwendung von gängigen Software-Testmethoden in nebenläufigen und sequentiellen Systemen von 5 Fehlern pro 1.000 Zeilen Code ausgehen. Bei sicherheitsrelevanten Systemen sollten es nicht mehr als 0.5 Fehler pro 1.000 Zeilen Programm-Code sein", so der Chefredakteur vom Redaktionsnetzwerk Tarifrechner, Dipl. Inform. Martin Kopka. Da es gerade viele Fehlerquellen bei der Verwendung der Bluetooth-Schnittstelle und bei den WLAN-Chips gibt, sollte man auch über eine Haftung reden müssen. Dieses wäre ideal per Gesetz zu regeln und man würde zusätzliches Vertrauen in der Bevölkerung für den App Einsatz schaffen.
Damit Ihnen in Zukunft keine aktuelle News oder Spar-Angebot entgeht, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller sind Sie aber via Twitter und Facebook informiert.
Verwandte Nachrichten: |
|
Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten |
|