klarmobil.de
Anzeige

Digitaler Impfnachweis mit CoVPass: Apotheken wollen ab dem 14.Juni starten

• 09.06.21 Die Corona Warn App gibt es nun gute 12 Monate, welche nun auch vermehrt zur Kontaktverfolgung Datenschutzkonform eingesetzt wird. Als Alternative ist die Luca App in den letzten Wochen aufgetaucht, welche aber mit reichlich Kritik von den Datenschützern und Informatikern leben muss. Nun wird es bald eine entsprechende App CoVPass für den digitalen Impfnachweis
Anzeige
geben. Dabei wollen viele deutsche Apotheken schon ab kommenden Montag, dem 14. Juni, loslegen, und einen digitalen Impfnachweis für vollständig gegen das Corona-Virus geimpfte ausstellen.

Digitaler Impfnachweis mit CoVPass: Apotheken wollen ab dem 14.Juni starten

So können dann im Internet auch Schnelltest-Apotheken gefunden werden, welche dann den Verbraucherinnen und Verbraucher ab dem 14.Juni den digitalen Impfnachweise kostenlos ausstellen. Als digitale App für die Corona-Impfungen aus dem gelben Impfbuch gibt es dann die App "CovPass". Diese App -im Auftrag des Bundesgesundheitsministeriums- soll dann in Kürze im App-Store verfügbar sein.

Digitaler Impfnachweis mit CoVPass: Apotheken wollen ab dem 14.Juni starten
Digitaler Impfnachweis mit CoVPass: Apotheken wollen ab dem 14.Juni starten -Screenshot: ABDA

Statt den gelben Impfpass der Weltgesundheitsorganisation WHO ständig bei sich tragen zu müssen, können Geimpfte ihre Immunisierung dann per Handy nachweisen und so gegebenenfalls Freiheiten bei Reise, Sport, Gastronomie oder Kultur genießen.

17 Millionen Menschen der Bevölkerung vollständig geimpft

Derzeit sind bereits mehr als 17 Millionen Menschen der Bevölkerung vollständig geimpft und können den digitalen Impfnachweis nachfragen.

"Wir wollten so schnell wie möglich ein Werkzeug entwickeln, mit dem Apotheken sicher und rechtsverbindlich einen Impfnachweis digitalisieren können. Über das wohnortnahe Apothekennetz bringen wir den Impfnachweis am besten zu den Menschen", sagt Thomas Dittrich, Vorsitzender des Deutschen Apothekerverbandes (DAV). "In den ersten Tagen wird die Zahl der Apotheken, die das Angebot machen, wahrscheinlich noch begrenzt sein. Wir gehen aber davon aus, dass die Zahl der Apotheken sehr schnell im vierstelligen Bereich liegt.".

Dazu wird es das Portal mein-apothekenmanager.de geben, wo sich Apotheken auf dem Verbändeportal des DAV dafür anmelden und registrieren lassen können. Auch hier gibt es eine Übersicht an Apotheken für den digitalen Impfnachweis.

Das Start ist der heutige Mittwoch mit der Registrierung. Das Verbändeportal ist für den Service der Digitalisierung der Impfnachweise an den zentralen Server des vom Bundesministerium für Gesundheit (BMG) beauftragten Dienstleisters IBM angebunden. Dieser stellt die digitalen Impfzertifikate aus, die dann vom Verbändeportal angezeigt und ausgedruckt werden können.

Impfnachweis "CovPass" soll bald verfügbar sein

Nach Angaben aus dem Bundesgesundheitsministerium soll die App CovPass vor dem 14. Juni für alle Interessenten in den App-Stores für Smartphones zur Verfügung stehen.

Denn digitalen Nachweis soll man sich auch künftig direkt in Praxen oder den Impfzentren erstellen lassen können. Auch nachträgliche Ausstellungen sollen möglich sein. Vor dem bundesweiten Start war ein Testlauf in ausgewählten Impfzentren begonnen worden.

Lübecker Bucht: Exklusive Einsatz der Luca App trotz Bedenken der Datenschützer und Informatiker?

Zuletzt hat schon Schleswig Holsteins Datenschutzbeauftragte Marit Hansen von der Luca App abgeraten, auch betrachten 70 IT-Forscher die Luca App für "völlig unverhältnismäßig". Nun kommt die Luca App bei der Modellregion Lübecker Bucht zum Einsatz. Und wie es aussieht, soll dort nur diese Form der Kontaktverfolgung eingesetzt werden.

Am 8.Mai startete die Lübecker Bucht an der Ostsee als Modellregion in Zeiten der Corona Pandemie. Zu der Region der Lübecker Bucht gehören die Stadt Neustadt in Holstein mit Pelzerhaken und Rettin, die Gemeinde Sierksdorf, die Gemeinde Scharbeutz mit Haffkrug sowie die Gemeinde Timmendorfer Strand mit Niendorf.

Lübecker Bucht: Exklusive Einsatz der Luca App trotz Bedenken der Datenschützer und Informatiker?
Lübecker Bucht: Exklusive Einsatz der Luca App trotz
Bedenken der Datenschützer und Informatiker? -Screenshot: luebecker-bucht-ostsee.de

Als Modellregion soll gezeigt werden, dass die Öffnung von Unterkunftsbetrieben und der Gastronomie verantwortungsvoll möglich ist. Immerhin gab es schon erfreuliche Werte aus anderen Modellregionen in SH, so dass der CDU Minister Günther den Urlaub auch wieder ab dem 17.Mai für getestete, geimpfte und genesene Personen öffnen will.

Zur Kontaktverfolgung soll die Luca App eingesetzt werden. Dieses steht auf den Internet-Seiten und wird auch in den Medien verbreitet. Zuletzt hatte Schleswig Holsteins Datenschutzbeauftragte Marit Hansen schon den ausschließlichen Einsatz der Luca App in Modellregionen kritisiert, da dieses laut Schleswig Holsteins Datenschutzbeauftragte Marit Hansen im Widerspruch zur Corona-Bekämpfungsverordnung steht. Das hatte Frau Hansen auch am 20.April gegenüber dem NDR-Rundfunk betont.

Auch gibt es Kritik von Senioren an den Einsatz der Luca App bei der Lübecker Bucht, da diese oftmals nicht mit Handys ausgestattet sind, worauf die Luca App läuft. Diese Kritik gab es auch schon bei der Corona Warn App.

Auch muss jedes Familienmitglied die Luca App verwenden, dieses geht aus den FAQs hervor. Dazu gibt es den Hinweis "Jedes Familienmitglied muss die App verwenden. In Klärung ist noch das Mindestalter von Kindern.".

Modellregionen reagieren nicht auf Anfragen

Die Modellregion der Inneren Lübecker Bucht startete am 08. Mai 2021. Die involvierten Regionen haben auf unsere Presse Anfrage bzgl. Stellungnahmen nicht regiert. Zuständig ist bei einer Beschwerde die Schleswig Holsteins Datenschutzbeauftragte Marit Hansen. Hier kann man sich auch online über die exklusive Anwendung der Luca App beschweren.

Mittlerweile gibt es auch bei Twitter bestätigte Berichte über "Code-Injection" Angriffe auf die Luca App, womit man sogar die Datenbanken der Gesundheitsbehörden über die Schnittstelle der Gesundheitsämter angreifen und ausspionieren kann. Im schlimmsten Fall hätte man dadurch die Arbeit der Ämter lahmgelegt und so die Pandemiebekämpfung behindert.

Derzeit ist die Luca App mit Sormas verbunden, dem Datenbanksystem, das viele Gesundheitsämter bereits jetzt zur Kontaktnachverfolgung nutzen. Daten von Luca laufen dann über eine Schnittstelle automatisch im Gesundheitsamt ein.

So hat nun das Gesundheitsamt Aachen die Luca App verbannt. Das Amt will die Luca-Anwendung nicht weiter nutzen. "Nach all den Sicherheitsproblemen ist mir das schlicht zu gefährlich", sagt Dezernent Ziemons. Dabei ist seine Sorge, wer es schaffe, über Sicherheitslücken in der Luca-Software ins Gesundheitsamt einzudringen, findet dort jede Menge sensible Daten. "Wir haben dort jeden Masernfall, jede Einstellungsuntersuchung von Beamten, jeden Todesfall.".

Ferner gibt es reichlich Bilder und Videos von Luca App Nutzern auf Twitter und Facebook, welche unfreiwillig, personenbezogene Daten preisgeben durch die Verwendung der Luca App.

Luca App: 70 IT-Forscher halten Luca App für völlig unverhältnismässig

Dabei halten 70 IT-Forscher die Luca App vor, dass es hier wenig Nutzen gibt in Verbindung mit dilettantischen Sicherheitslücken. Daher raten auch die 70 führende IT-Sicherheitsforscher von der Luca-App ab. Bislang haben schon mehrere Bundesländer diese Luca App zuvor teuer eingekauft, im Norden Deutschlands an der Ostsee verlangt man oftmals ausschließlich für Touristen-Strände die Luca App.

Luca App: Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von Luca App ab
Luca App: Schleswig Holsteins Datenschutzbeauftragte
Marit Hansen rät von Luca App ab -Bild: Google Store

Die Forscher sprechen sogar hier von einem "De-facto-Zwang zur Nutzung einer Lösung" aus, die "grundlegende Entwicklungsprinzipien eklatant verletzt", so in einer Stellungnahme gegenüber der "Zeit Online", welche die Erklärung vorab erhalten haben.

Daher fordern die IT-Experten von der Politik und Verwaltung sich stattdessen auf dezentrale Lösungen zu nutzen. Dabei wird explizit die Corona Warn App genannt.

Zu den Unterzeichnern der Erklärung gehören Kryptologinnen und IT-Sicherheitsforscher der wichtigsten deutschen Institutionen in diesem Bereich. Unter anderem zählen dazu Professorinnen und Professoren des CISPA Helmholtz Center for Information Security, der Ruhr-Universität Bochum, der TU Darmstadt, des neu gegründeten Forschungsinstituts Code der Universität der Bundeswehr und zahlreicher weiterer Universitäten und Institute.

Auch haben die Forscher bereits vor einem Jahr, in der Debatte um die Corona-Warn-App, auf vier Grundprinzipien zur Entwicklung solcher Werkzeuge hingewiesen: Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung. "Das bereits in vielen Bundesländern eingesetzte Luca-System erfüllt keine dieser Prinzipien.", so die Kritik der 70 Experten.

Grosse Konzeptionelle Sicherheitslücken

So bestätigen die Forscher schon die Kritik von den Informatikern, welche in dem Luca-System grosse Risiken sehen und diese "erscheinen völlig unverhältnismäßig", so die Erklärung der 70 Forscher.

Dabei werden von der "in großem Umfang" Bewegungs- und Kontaktdaten erfasst, welche dann auch noch an zentrale Stelle gespeichert wird. Dadurch ergibt sich ein massives Missbrauchspotenzial und das Risiko von gravierenden Datenleaks.

Auch seien solche Systeme erfahrungsgemäß kaum vor Angriffen zu schützen, warnen die Sicherheitsforscher. Auch bei großen Unternehmen scheitern diese Versuche."Es ist nicht zu erwarten, dass dies einem Start-up, das bereits durch zahlreiche konzeptionelle Sicherheitslücken, Datenleaks und fehlendes Verständnis von fundamentalen Sicherheitsprinzipien aufgefallen ist, besser gelingen sollte.". Die Entwickler der Luca App haben immer wieder die zentrale Datenspeicherung favorisiert, mit der Begründung, dass auch Banken und Telefongesellschaften eine zentrale Datenspeicherung betreiben.

Und weiter in der Kritik der Forscher "Die viel beworbene doppelte Verschlüsselung der Kontaktdaten liefert schon deshalb nicht die versprochene Sicherheit, da sich Bewegungsprofile der Nutzer:innen allein aufgrund der anfallenden Metadaten erstellen lassen.".

Zu Metadaten kann zum Beispiel die IP-Adresse zählen oder die Information, wann jemand mit der Luca-App in einer Bar eingecheckt hat. So kann man über die Luca App nachverfolgen, wo jemand wann war - und damit könnten möglicherweise auch Rückschlüsse auf die Person gezogen werden.

Die Forscher betonen, dass diese Risiken gegen die Vorteile abgewogen werden müssen. Auch sieht man bei Luca-Systems keinen Vorteil, weil die App im Wesentlichen Papierlisten digitalisiere, die aufwendige Auswertung jedoch weiterhin durch die Gesundheitsämter erfolge, schreiben die Forschenden.

Auch gegen andere Prinzipien verstoße Luca: "Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf Luca diskutiert", heißt es in der Erklärung.

Damit könne das Unternehmen, welches hinter der Luca App steht, auf Millionen deutschen Mobiltelefonen später für kommerzielle Zwecke zugreifen. Damit entstehe eine Abhängigkeit von einem einzelnen Privatunternehmen. Zudem sei "ein intransparent entwickeltes System" in Betrieb genommen worden, und "selbst leicht zu findende Sicherheitslücken" seien erst im laufenden Betrieb entdeckt worden.

Luca App: Laut Schleswig Holsteins Datenschutzbeauftragte Marit Hansen nur ein Schlüssel für alle Gesundheitsämter

Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von der Luca App ab. Auch wird von der Datenschützerin gegenüber den Lübecker Nachrichten (Hinter einer Pay-Wall) betont, dass es nur einen Schlüssel für alle Gesundheitsämter gibt. Dieses ist dabei auch mehr als bedenklich, da dann noch schneller der Schlüssel in unbefugte Hände geraten kann, so der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka.

So die Kritik von Margit Hansen "Problematisch sei, dass alle Gesundheitsämter über den gleichen Schlüssel zur Entschlüsselung der Daten verfügen und die Bewegungsdaten sämtlicher Nutzer zentral gespeichert würden.". Auch wird von der Datenschützerin kritisiert, dass es im Norden Regionen gibt, wo man nur mit der Luca App zutritt hat. Dieses stünde im Widerspruch zur Corona-Bekämpfungsverordnung. Das hatte Frau Hansen auch noch mal am heutigen Tag gegenüber dem NDR-Rundfunk betont.

Die zentrale Datenspeicherung wird auch von der letzten Datenschützerkonferenz kritisiert. Zudem ist ein Schlüssel für alle Gesundheitsämter ein hohes Risiko. Stand der Technik bei der Verschlüsselung ist, -wie zum Beispiel beim Internet-Browser-, dass man immer einen individuellen Schlüssel bekommt. Dieser Schlüssel ist auch noch zeitlich befristet. Dabei werden die Schlüssel auch noch von einer unabhängigen Trust Stelle zertifiziert. So kann man sicher sein, auf die richtige, verschlüsselte Internet-Seite zu gelangen. Wichtig zum Beispiel beim Online-Banking. Laut Meldungen von den Behörden, im Rahmen einer Ausschreibung im Bundesland Schleswig Holstein, ist nach Verfahrensdurchführung das Unternehmen "culture4life GmbH" die Zertifizierungsstelle.

Ausschreibung im Norden wegen Einsatzes der App

Bei der Luca App sind in Schleswig-Holstein alle Kreise und Kreisfreien Städte an das Erfassungssystem der Luca-App angeschlossen worden, teilte die Kreis Plön Sprecherin Nicole Heyck mit.

"In Schleswig-Holstein sind alle Kreise und Kreisfreien Städte an das Erfassungssystem der Luca-App angeschlossen worden, nachdem zuvor ein zentrales Vergabeverfahren, beauftragt durch den IT-Verbund Schleswig-Holstein (ITV.SH) und durchgeführt durch die Firma Dataport, erfolgt ist. Nach Verfahrensdurchführung hat die Firma Dataport dem Unternehmen 'culture4life GmbH' den Zuschlag erteilt.", so die Sprecherin.

Und weiter "Zwischenzeitlich ist aufgrund dieses Vergabeverfahrens ein Vertragsverhältnis zwischen dem Gesundheitsamt des Kreises Plön und dem App Anbieter /Zertifikatsgeber geschlossen worden.".

Wir haben hier beim Kreis Plön nachgefragt, weil der Chaos Computer Club hier Kritik anbrachte: "Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen", erklärte der CCC-Sprecher letzte Woche.

Auch hat der Steuerzahlerbund SH unsere Anfrage nun an den Bundesverband weiter geleitet. Daher wird die Ausschreibung im Norden und anderen Bundesländern genauer unter die Lupe genommen werden.

Luca App: Schleswig Holsteins Datenschutzbeauftragte Marit Hansen rät von Luca App ab

Der Datenschutz ist bei der Luca App weiterhin ein grosser Kritikpunkt. Im Gegenzug gibt es in Lübeck, Sylt und anderen Gemeinden Schleswig-Holsteins und Kreisen die Luca-App zur Kontaktnachverfolgung auch als Schlüsselanhänger. Damit können Menschen auch ohne Smartphone ihre Kontaktdaten hinterlegen.

Dabei gibt es den Schlüsselanhänger auch für Sylt, Föhr und Amrum. "Das Angebot kommt gut an, in den vergangenen zwei Wochen haben wir bereits rund 500 der Anhänger ausgegeben", sagte der Tourismuschef von Amrum, Frank Timpe.

Allerdings stellt sich die Landesdatenschutzbeauftragte Marit Hansen klar gegen die Luca App."In den letzten Tagen haben sich die Meldungen zu Schwachstellen bei der Luca-App und dem Luca-Schlüsselanhänger gehäuft", sagte die Landesdatenschutzbeauftragte. "Im Moment rate ich von der Benutzung ab", so die Datenschützerin weiter.

Zuletzt hatte auch der Chaos Computer Club vor dem Einsatz der Luca-App gewarnt. Seit letzte Woche ist nun der komplette Programm-Code auf GitLab von der Luca App verfügbar und einsehbar. Allerdings erst nach massiver Kritik und wochenlangen Zögern. Damit ist viel Vertrauen in der Luca App verspielt worden.

Luca App: Entwickler veröffentlichen nach langem Zögern kompletten Programmcode

Mit der Veröffentlichung des kompletten Programm-Codes, hat der Anbieter auf die öffentliche Kritik von Informatikern und dem Chaos Computer Club reagiert. Der Code ist auf GitLab einsehbar. Allerdings ist die Resonanz bei den Programmieren, wie erwartet, derzeit nicht vorhanden den Code auf Fehler zu untersuchen. Dazu ist zu viel Vertrauen in den letzten Wochen verspielt worden.

Immerhin will der Entwickler Culture4life GmbH, das Unternehmen hinter dem Luca-System, eine transparente Analyse und Weiterentwicklung der Software.

Dazu Patrick Hennig, CEO: "Das luca-System soll transparent entwickelt werden - auch um ein hohes Vertrauen in die Sicherheit bei allen Beteiligten und interessierten Nutzer:innen zu erzeugen. Die Standards und Peer-Reviews sorgen außerdem dafür, dass der Quellcode oft getestet und mögliche Issues schnell identifiziert werden können und ein unabhängiger Feedback Prozess ermöglicht wird.".

Auch soll der Missbrauch der Nutzerdaten durch den Einsatz eines Luca-Schlüsselanhängers nicht mehr möglich sein. Immerhin konnte man Nutzerdaten und Bewegungsprofile ausspionieren, wie am letzten Dienstag durch den "Lucatrack" veröffentlicht wurde. Dabei ist der Schlüssel selbst auf dem Schlüsselanhänger im QR-Code und der Seriennummer hinterlegt.

Auch wurde das Unternehmen und die zuständige Berliner Beauftragte für Datenschutz und Informationsfreiheit am 13. April 2021 darüber in Kenntnis gesetzt.

Luca App vergleicht sich mit Telekommunikationsanbietern und Kreditkartenunternehmen

Bei der Corona Warn App der Telekom und SAP wird auf ein dezentrales Datensystem gesetzt. Dazu haben die Entwickler auf die Einwände von Informatikern und Datenschützern gehört. Zumal in einer Gesundheits-App sensible Daten verfügbar sind.

Bei der Luca App ist es ein zentrales Datenspeicherungssystem. Hier will man die Kritik nicht gelten lassen, da im übrigen an vielen Stellen des gesellschaftlichen Lebens wie bei Telekommunikationsanbietern, Kreditkartenunternehmen und auch im Gesundheitswesen vielerorts zentrale Datensysteme zum Einsatz kommen.

Weitere Kritik von Informatikern

Dabei gibt es weiter hin Bedenken von der Informatikern bei der zentralen Datenspeicherung. So teilte der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka schon Anfang April mit, dass bei einer zentralen Speicherung -wie bei der Luca App - man als Betroffener seine Datenhoheit verliert. So die Kritik "Auch vergleicht man sich hier mit IT-Systemen von Banken und Telefonanbietern, die im Laufe von über 60 Jahren entwickelt worden sind. Dabei gab es im Laufe der Jahrzehnte Billiarden von Programmierstunden durch Millionen von Programmieren, um die Sicherheit zu erhöhen und Software-Fehler zu beseitigen. Das die Entwickler eines Start-Ups sich auf die Stufe von 60 Jahren Entwicklungsarbeit bei der zentralen Datenspeicherung stellen, ist dann schon Grössenwahn!".

Und weiter in der Kritik "Auch ist der Vergleich mit bestehenden zentralen IT-Systemen kein wissenschaftlicher und mathematischer Beweis der Korrektheit und Sicherheit von eigenen IT-Systemen. Durch Softwarefehler, auch 60 Jahre nach der Entwicklung, gibt es aus Erfahrungen immer wieder neue Sicherheitslücken. Daher sind Gesundheitssysteme mit einer dezentralen Datenspeicherung der derzeitige Stand der Informatik bei der Datenspeicherung. Schönreden schafft hier keine Datensicherheit!".

Luca App: Chaos Computer Club warnt vor Luca-App --Steuerverschwendung bei der App

Immerhin investieren zwölf Bundesländer und viele Landkreise Steuergelder in die Tracking App Luca. Nun sehen die Computer-Experten vom Chaos Computer Club erhebliche Sicherheitslücken. Bei dem Luca-System lassen sich Kontaktdaten zum Beispiel bei Restaurant-Besuchen erfassen. Der QR-Code wird mit der Handy-App gescannt wird. Bei einer Infektion sollen die Daten direkt und verschlüsselt an die kooperierenden Gesundheitsämter übermittelt werden.

So hat nun auch die europäische Hackervereinigung Chaos Computer Club (CCC) gefordert, keine Steuermittel mehr für die Luca-App zur Corona-Kontaktnachverfolgung auszugeben. Dabei verwies der Club-Sprecher Linus Neumann auf eine "nicht abreißende Serie von Sicherheitsproblemen" bei dem System. Zuvor hatten Datenschutz-Aktivisten auf Schwachstellen bei den Luca-Schlüsselanhängern verwiesen, die für Menschen ohne Smartphone gedacht sind.

"Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren", kritisierte Neumann zuletzt. Er verwies dabei auf Recherchen, die im Netz unter dem Titel "Lucatrack" veröffentlicht wurden. "Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit.".

Und weiter in der Kritik "Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen", erklärte der CCC-Sprecher. "Mecklenburg-Vorpommern will die Installation sogar zur Voraussetzung der Teilhabe am öffentlichen Leben machen."

Der Chaos Computer Club forderte ein Moratorium beim Einsatz der Luca-App. Die Vergabepraktiken in den Bundesländern müssten durch den Bundesrechnungshof überprüft werden. Niemand dürfe gezwungen werden, die App zu verwenden, um am öffentlichen Leben teilzunehmen, so die Kritik weiter.

Dabei räumen Entwickler Fehler ein

Dabei räumen die Entwickler der App, das Berliner Start-up Nexenio, die Fehler ein. So können Unbefugte, welche im Besitz des QR-Codes auf dem Schlüsselanhänger sind, die jeweilige Kontakthistorie abrufen.

Der Sprecher des Berliner Start-up Nexenio "Wir haben diese Möglichkeit sofort nach der erfolgten Meldung deaktiviert und bedanken uns für die Mitteilung. Es konnten zu keinem Zeitpunkt hinterlegte Kontaktdaten wie Adresse oder Telefonnummer abgerufen werden.".

Derzeit wird die Luca App in Mecklenburg-Vorpommern, Berlin, Brandenburg, Niedersachsen, Hessen, Rheinland-Pfalz, Baden-Württemberg, Schleswig-Holstein, Saarland, Bayern, Sachsen-Anhalt und Hamburg eingesetzt.

20 Mio. Euro Steuergelder schon geflossen

Nach bisherigen Recherchen von Netzpolitik.org bezahlen die Länder insgesamt 20 Millionen Euro für der Einsatz. Dieses Geld wird für die Entwicklung der App, die Anbindung der Gesundheitsämter sowie den SMS-Service zur Validierung der Telefonnummern der Anwender verwendet.

Die hohe Summe von 20 Mio. Euro geht aus Antworten hervor, die netzpolitik.org von den zuständigen Staatskanzleien und Ministerien erhalten hat. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million. Angaben aus dem Saarland stehen noch aus.

Vergangene Woche gab Bayern seine Entscheidung für Luca bekannt und zahlt mit 5,5 Millionen den höchsten Preis für die Jahreslizenz. Es handelt sich um das bislang einzige Bundesland, das die Vergabe der App überhaupt ausgeschrieben hat. Die anderen Länder verweisen darauf, dass die Vergabeverordnung Ausnahmen zulassen, wenn eine besondere Dringlichkeit vorliege oder ohnehin nur ein Anbieter in der Lage sei, den Auftrag zu erfüllen.

So schreibt etwa Mecklenburg-Vorpommern: "Bei der Beschaffung eines Systems zur Kontaktnachverfolgung ging es uns um eine möglichst schnelle Lösung, die aber insbesondere unsere hohen Anforderungen an den Datenschutz erfüllen musste. Eine sehr zeitaufwändige Ausschreibung, die in der Regel mehrere Monate dauert, kam für uns in diesem Fall ausnahmsweise nicht in Frage." Laut Zeit Online hat das zuständige Ministeriums für Energie, Infrastruktur und Digitalisierung dafür lediglich Textblöcke aus dem Internet zusammen kopiert Luca-Kosten für die einzelnen Bundesländer:

    • Mecklenburg-Vorpommern: 440.000 Euro
    • Berlin: 1.200.000
    • Brandenburg 990.000
    • Niedersachsen: 3.000.000
    • Hessen: über 2.000.000
    • Rheinland-Pfalz: 1.726.000
    • Bremen: rund 260.000
    • Baden-Württemberg: 3.700.000
    • Schleswig-Holstein: rund 1.000.000
    • Saarland: ?
    • Bayern: 5.500.000
    • Sachsen-Anhalt: rund 1.000.000
    • Hamburg: 615.000
Laut Patrick Hennig, Geschäftsführer der Firma neXenio, die Luca entwickelt, werden die Preise nicht allein auf Basis der Einwohnerzahl errechnet. Rund ein Drittel der Kosten sei für die SMS, die Luca verschickt, um die Telefonnummern zu verifizieren. Da unklar ist, wie viele dieser Nachrichten tatsächlich anfallen werden, würden diese Kosten pauschal nach Einwohnerzahl abgerechnet.

Ein weiterer Teil sei für die Unterstützung und Infrastruktur der Gesundheitsämter, die Luca ebenfalls nutzen, um die Daten abzurufen und berechne sich aus der Zahl der Ämter pro Bundesland. Der Rest des Preises sei für die eigentlichen Softwarelizenzen des Systemkomponenten von Luca und deren Wartung.

Luca App: Auch Hamburgs Datenschützer Caspar kritisiert den Datenschutz

So bemängelt Hamburgs Datenschutzbeauftragter Johannes Caspar die Intransparenz bei der Luca-App gegenüber der Düsseldorfer Tageszeitung Rheinische Post. Auch würde nach seiner Sicht eine Datenschutzfolgenabschätzung fehlen.

"Es geht darum, Transparenz gegenüber der Öffentlichkeit zu erreichen. Ohne den Quellcode ist nicht einsehbar, wie eine Software funktioniert", so Caspar in seiner Kritik.

Auch geht es um die Datenschutzfolgenabschätzung, welche bisher noch nicht bekanntgegeben worden ist. Diese sei aber für eine datenschutzrechtliche Bewertung unerlässlich und sollte dringend nachgeholt werden, so der Datenschützer.

Eigentlich sollte eine datenschutzrechtliche Dokumentationen vor der Inbetriebnahme erstellt werden und das Risiko für die Rechte und Freiheiten der betroffenen Personen bekannt sein, so Casper gegenüber der Zeitung.

Auch sieht Caspar keinen Widerspruch zwischen Datenschutz und einer digitalen Kontaktnachverfolgung. Er befürwortet sogar explizit digitale Werkzeuge. "Wir haben ein großes Interesse daran, dass der Datenschutz hier ermächtigt und nicht verhindert.". Auch braucht es gesetzliche Vorgaben zur digitalen Kontaktverfolgung.

In der Vergangenheit hatte die "Die Grünen"schon mal ein Gesetz für die Corona App gefordert. Diese ist mittlerweile 10 Monate auf den Markt. Durch das Corona App Gesetz sollen mögliche Benachteiligungen für Personen verhindert werden. Damals kam Kritik auf, weil die App für Senioren und auf alten Handys nicht nutzbar war.

Wurde der Quellcode geklaut?

Zuletzt hatte der Hersteller der Luca-App versprochen, den Quellcode dazu als Open Source zu veröffentlichen. Allerdings stellen die Entwickler den Quell-Code zuerst nicht unter einer der üblichen Lizenzen bereit, sondern unter einer selbst geschriebenen Lizenz. Dieses sorgt für massive Kritik Die Lizenz hätte eine Überprüfung durch Dritte nur erschwert. Nach der Kritik soll der Quellcode dann unter die GNU GPLv3 gestellt werden.

So wurde nun der Quellcode Anfang April veröffentlicht. Der Fokus berichtet in seiner aktuellen Online-Ausgabe darüber, dass der Quellcode möglicherweise geklaut wurde.

So hatten sich die Entwickler der Luca App bei Open-Source-Programmmodulen bedient, aber dabei die nötigen Lizenz- und Urheberrechtshinweise auf den fremden Code entfernt. Auch haben die Hacker der Gruppe "Zerforschung" analysiert, dass bei der Luca App der kopierte Code mit einer eigenen, klar restriktiveren Lizenz veröffentlicht wurde.

Auch ist das Gesamtsystem der Luca-App erst nach wochenlangen Zögern seit dem gestrigen Mittwoche unabhängig überprüfbar. Immerhin sind schon laut netzpolitik.org seit dem 20 Mio. Euro an Steuergeldern geflossen.

Luca App: Zentrale Datenspeicherung wird von Datenschutzkonferenz kritisiert

Die Luca App wird in immer mehr Kommunen zur Kontaktverfolgung eingesetzt. Nun auch im Norden Deutschlands zum Beispiel im Kreis Plön im Land Schleswig Holstein. Daher haben sich die Datenschützer und die Informatiker die App mal genauer angesehen. Und stoßen auf gravierende strukturelle Probleme beim Datenschutz, welche zum Beispiel bei der Corona Warn App vom RKI nicht vorliegen.

In einer Stellungnahme durch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 26.03.2021 gibt es erhebliche Sicherheitsbedenken.

Die App des Unternehmens culture4life GmbH hat dabei in den vergangenen Wochen besonderes mediales Interesse erfahren. Culture4life hat bei mehreren Aufsichtsbehörden um ein datenschutzrechtliches Votum zu der Lösung ersucht.

Darüber hinaus haben einige Länder und Landkreise die Absicht bekundet, diese App einzuführen und dann eine Verbindung zu den jeweiligen Gesundheitsämtern herzustellen. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) weist ausdrücklich darauf hin, dass digitale Verfahren zur Verarbeitung von Kontakt-und Anwesenheitsdaten datenschutzkonform betrieben werden müssen.

Um eine bundesweit, einheitliche Datensparsame digitale Infektionsnachverfolgung zu ermöglichen, fehlt es bislang allerdings an gesetzlichen Regelungen. Hierfür sollten bundeseinheitliche normenklare Vorgaben zur digitalen Kontaktnachverfolgung geschaffen werden.

So warnen die Datenschützer von Bund und Ländern vor einer "schweren Beeinträchtigung" für den Einzelnen und die Gesellschaft durch zentral gespeicherte Daten zur Kontaktnachverfolgung. Dabei liegen die Daten verschlüsselt auf einen Server. Durch einen Hack kann man auf die verschlüsselten Daten gelangen.

Nach Ansicht der Datenschutzkonferenz hat die Luca-App zwar die Vorteile digitaler Lösungen umgesetzt, bisher identifizierte Risiken aber nur teilweise behandelt. Daher werde das Unternehmen aufgefordert, "weitere Anpassungen an dem System vorzunehmen, um den Schutz der teilnehmenden Personen weiter zu erhöhen".

Die zentrale Datenspeicherung wird daher ausgiebig kritisiert. "Die unbefugte Einsicht in diesen großen Datenbestand kann je nach Umfang zu einer schweren Beeinträchtigung für die Einzelnen und das Gemeinwesen führen".

Zuvor waren auch schon die Sicherheitsforscher der Schweizer Universität Lausanne und der niederländischen Universität Radboud in einer ausgiebigen Untersuchung zu dem Ergebnis gekommen, dass die zentrale Datenspeicherung auf dem Luca-Server ein hohes Risiko darstellt. Die Forscher kritisieren das Sicherheitskonzept, welches ausschließlich auf Verfahrenskontrollen basiert und erfordert volles Vertrauen in den Luca-Dienstbetreiber, die Protokolle genau zu befolgen.

Auch die zentrale Verwaltung der Schlüssel bei der Luca App birgt ein Risiko. Immerhin werden die Daten der Luca-App doppelt verschlüsselt, was aber für Angreifer bei der zentralen Kontrolle keine Rolle spielt.

Die Veranstaltern und Geschäfte bekommen einen individuellen Schlüssel sowie ein täglich wechselnden Schlüssel, der von allen Gesundheitsämtern in Deutschland verwendet werden kann. Die Schlüsselverwaltung wird von den Betreibern der Luca-App, der Culture4life GmbH, übernommen. Daher liegt hier das "hohe Risiko" durch einen Hack bei der Culture4life GmbH auch die Daten auf dem zentralen Server zu entschlüsseln.

Die Datenschützer bei der Datenschutzkonferenz schreiben dazu "Das birgt das vermeidbare Risiko, dass durch das Ausspähen oder den Missbrauch dieser Schlüssel auf eine hohe Anzahl der von dem System zentral verwalteten Daten unberechtigt zugegriffen werden kann".

Auch wird kritisiert, dass es für die Veranstalter schwierig zu überprüfen sei, ob eine Anforderung zur Entschlüsselung berechtigt ist. Daher können Angreifer sich hier als Behörde oder Berechtigter ausgeben.

Informatiker mit weiteren Bedenken

Auch gibt es weitere Bedenken von der Informatikern. So teilt der Chefredakteur vom Redaktionsnetzwerk Tarifrechner und Informatiker, Dipl. Inform. Martin Kopka, dass bei einer zentralen Speicherung -wie bei der Luca App - als Betroffener seine Datenhoheit verliert. Als Nutzer wird man nicht mehr um Erlaubnis bei der Datenfreigabe gefragt, damit wird das Tracking von Personen ungehemmt ermöglicht. Dieses steht im Widerspruch zu dem dem Schutz von Anwälten, Richtern, und Journalisten, welche auf diese Art und Weise ausspioniert werden können. Bei Journalisten verliert man den Informanten- und Quellen-Schutz, welcher durch das Grundrecht auf Pressefreiheit gewährt wird. Bei der Corona Warn App bleiben die Daten auf dem Handy der App Nutzer. Auch kann man den Verlust der Datenhoheit als Nutzer als Eingriffe in das Grundrecht auf informationelle Selbstbestimmung betrachten. Die Tragweite solcher Verfahren kann man oftmals erst im nach hinein überprüfen und bewerten. Wenn dann Unbefugte Zugriff auf die zentralen Daten erhalten und diese entschlüsseln können und damit Missbrauch betreiben, ist es zu spät. Auch können Behördenmitarbeiter hier ungehemmt, ohne eine Kontrollfunktion, auf eine Pool von schützenswerten, personenbezogene Daten zugreifen.

Erst nach langem Zögern stellen die Entwickler den Quelltext der App zur Verfügung. Dabei geht es nicht nur darum, dass man nachvollziehen kann, was die App macht, sondern auch um reichlich Software-Fehler, die man beseitigen kann. Immerhin wurde durch eine grosse Community bei der Corona Warn App tausende von Software-Fehler in den letzten Monaten beseitigt. Jeder Software-Fehler kann auch Einfallstor für eine Sicherheitslücke sein, so die Kritik vom Chefredakteur weiter.

Durch eine mangelhafte und fehlerhafte Programmierung bei der Tracing App, können Nutzerdaten mitunter ausgespäht werden und so Nutzer zu Schaden kommen. So werden bei der Software-Entwicklung entsprechende Software-Testmethoden eingesetzt, um die Fehlerzahl im Programm-Code zu reduzieren. Allerdings gibt es nie 0 Programmier-Fehler.

"Überlicherweise muss man bei einem hohen Entwicklungs-Standard bei der Verwendung von gängigen Software-Testmethoden in nebenläufigen und sequentiellen Systemen von 5 Fehlern pro 1.000 Zeilen Code ausgehen. Bei sicherheitsrelevanten Systemen sollten es nicht mehr als 0.5 Fehler pro 1.000 Zeilen Programm-Code sein", so der Chefredakteur vom Redaktionsnetzwerk Tarifrechner, Dipl. Inform. Martin Kopka. Da es gerade viele Fehlerquellen bei der Verwendung der Bluetooth-Schnittstelle bei den WLAN-Chips gibt, sollte man auch über eine Haftung reden müssen. Dieses wäre ideal per Gesetz zu regeln und man würde zusätzliches Vertrauen in der Bevölkerung für den App Einsatz schaffen.

Bundesamt veröffentlicht Sicherheitsanforderungen für Gesundheits-Apps

Durch die entsprechende Technische Richtlinie vom Bundesamt für Sicherheit in der Informationstechnik, müssen mobile Gesundheitsanwendungen besonders achtsam mit sensiblen und besonders schützenswerten persönlichen Daten umgehen. Das Bundesamt Informationstechnik (BSI) hat dazu eine Technische Richtlinie (TR) entwickelt.

Die TR "Sicherheitsanforderungen an digitale Gesundheitsanwendungen" (BSI TR-03161) ist unabhängig von und bereits im Vorfeld der gegenwärtigen Corona-Pandemie für Gesundheits-Apps entwickelt worden. Sie kann grundsätzlich für alle mobilen Anwendungen, die sensible Daten verarbeiten und speichern, herangezogen werden. Grundsätzlich fordert das BSI, Sicherheitsanforderungen von Anfang an bei der Software-Entwicklung mitzudenken.

"Sensible Gesundheitsdaten verdienen einen besonderen Schutz. Sowohl das jeweilige Smartphone der Nutzerinnen und Nutzer als auch die Hintergrundanwendungen auf Seiten der Anbieter müssen daher ein Mindestmaß an Sicherheit vorweisen können. Denn die Veröffentlichung solch sensibler Daten wie Pulsfrequenz, Schlafrhythmus oder Medikationspläne, lässt sich nicht ungeschehen machen. Hier kann nicht, wie im Falle eines Missbrauchs beim Online-Banking, der Fehlbetrag zurückgebucht werden. Mit der nun bereitgestellten Technischen Richtlinie stellt das BSI als die Cyber-Sicherheitsbehörde des Bundes einen wichtigen Leitfaden zur Verfügung, damit die Anwendungen das erforderliche IT-Sicherheitsniveau erreichen können.", so der Präsident des BSI, Arne Schönbohm.

Die technische Richtlinie verfolgt die grundsätzlichen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Sie kann als Mindestanforderung für den sicheren Betrieb einer Anwendung betrachtet werden.

In zukünftigen Versionen sollen auf Grundlage der Erfahrungen und der Rückmeldungen aus der Industrie, Erweiterungen vorgenommen, die eine Zertifizierung von Apps nach dieser Technischen Richtlinie ermöglichen.

Bluetooth-Schnittstelle kämpft derzeit mit Sicherheitslücken

Bei einer Bluetooth basierten Technologie gibt es aber derzeit noch Sicherheitslücken. Diese Sicherheitslücken befinden sich in den Bluetooth-Chips und lassen sich bereits ausnutzen, wenn auf einem Gerät nur Bluetooth aktiviert ist. Damit könnten Angreifer gezielten Missbrauch betreiben. So gibt es gerade wieder ein neues Update für das Samsung Galaxy S8, weil die Bluetooth Schnittstelle angreifbar ist. Dieser Design Fehler im Bluetooth Chip wird aber die Geräte immer wieder verfolgen.

Damit Ihnen in Zukunft keine aktuelle News oder Spar-Angebot entgeht, können Sie sich auch bei unserem kostenlosen Newsletter anmelden. Einmal in der Woche bekommen Sie dann eine Übersicht an Aktionen und wichtigen Änderungen im Telefonmarkt. Noch schneller sind Sie aber via Twitter und Facebook informiert.


Verwandte Nachrichten:

Auf dieser Seite gibt es Affilate Links, die den Preis nicht beeinflussen. Damit wird der hochwertige Journalismus kostenfrei angeboten

Suchen Sie in unserem Datenbestand:

klarmobil.de
Anzeige

News-Feed: Google-News RSS Feed
     Preistipp Sommerferien:
  • 6 GB LTE Daten-Flat
  • Handy- und SMS-Flatrate
  • mtl. 6,66 €
  • bis 50 MBit/s
  • 3 Monate Laufzeit
  • Jetzt sparen und wechseln!

     Redaktionstipp:
  • 3 GB LTE Daten-Flat
  • 1 GB Datenvolumen gratis
  • Handy-u. SMS Flatrate
  • 50 MBit/s
  • 3 Monate Laufzeit
  • mtl. 4,99 € statt 6,99 €
  • 6,82 € Wechselbonus
  • Aktion bis 03.08 11 Uhr
  • Jetzt sparen und Bestellen!

     Spartipp O2-Netz:
  • 10 GB LTE Daten-Flat
  • Telefon und SMS-Flat
  • 50 MBit/s
  • mtl. Laufzeit
  • mtl. 9,99 € statt 14,99 €
  • 6,82 € Wechselbonus
  • Aktion bis 03.08 11 Uhr
  • Jetzt sparen und Bestellen!

     Besten 10 GB Tarife:
  • Spartarife ab 9,99 €
  • Aktionen mit Rabatten,
  • Gutscheinen,
  • Anschlusspreisbefreiungen
  • Jetzt sparen und Vergleichen!

Kostenloser Newsletter:
Mit unserem kostenlosen Newsletter verpassen Sie ab sofort keine Schnäppchen und Aktionen mehr.
Ihre E-Mail-Adresse:
Datenschutzhinweise

Weitere Nachrichten:

Telefontarifrechner.de
TopBlogs.de das Original - Blogverzeichnis | Blog Top Liste

 Datenschutzhinweise © Copyright 1998-2021 by DATA INFORM-Datenmanagementsysteme der Informatik GmbH  Impressum