Kontaktverfolgung in Coronapandemie: Der Hype um die Luca-App
Rapper Smudo hat mit Programmierer:innen die Warn-App Luca entwickelt. Sie soll die Nachverfolgung von Infektionsketten erleichtern.
Seit den Beratungen von Bund und Ländern in der vergangenen Woche zeigen sich viele Politiker:innen euphorisch für die von Fanta 4-Rapper Smudo unterstützte „Luca-App“ des Berliner Start-ups Nexenio. Der Ministerpräsident von Nordrhein-Westfalen, Armin Laschet (CDU), wollte eigentlich schon Anfang der Woche auf eine bundesweit einheitliche App-Lösung zur Kontaktnachverfolgung drängen, doch die Entscheidung wurde vertagt. Die „Luca-App“ gilt dabei als favorisierte Lösung.
Mit der App funktioniert die Kontaktnachverfolgung digital, ganz ohne Berge von Papierlisten mit falschen Namen in Restaurants. Dazu laden sich die Nutzer:innen die App auf ihr Smartphone, melden sich mit Name und Adresse an und die Telefonnummer wird per SMS-Code verifiziert. Die App erstellt daraufhin wechselnde QR-Codes.
Bei einem Restaurant- oder Konzertbesuch wird der QR-Code von den Veranstaltern gescannt oder die App-Nutzer:innen scannen ihrerseits einen QR-Code. Am Ende checkt man sich dann manuell aus oder erlaubt der Luca-App über eine Standortbestimmung automatisch zu registrieren, wenn der Ort der Veranstaltung verlassen wurde. So wird eine Teilnehmerliste mit anonymisierten QR-Codes erstellt.
Vertrauen durch Transparenz
Im Fall einer Infektion werden alle Gäste informiert, die sich zur betreffenden Uhrzeit dort aufgehalten haben. Parallel werden die Daten den Gesundheitsämtern gemeldet. Diese haben dann automatisch Zugriff auf die Daten der übrigen Gäste. Nicht zuletzt wegen ihres prominenten Werbegesichts ist die Euphorie für die Luca-App groß. Dabei wird dann auch schnell darüber hinweggesehen, dass sie vollkommen intransparent ist.
Der Sourcecode der App sowie alle Serverkomponenten sind nicht Open Source. Es gibt keinerlei Informationen zum Standort von Servern oder Verschlüsselungen, dafür schwammige AGB. Dabei handelt es sich um sensible Daten, die Rückschlüsse auf Gesundheit und Aufenthaltsorte geben.
Vertrauen durch Transparenz in der Bevölkerung zu erzeugen, hat die Bundesregierung schon in der bisherigen Pandemiebekämpfung verpasst. Die Macher:innen der App scheinen das nicht anders zu sehen. Sie setzen stattdessen auf Prominenz ohne IT-Kenntnisse. Egal, wie die Entscheidung ausgeht, eine einheitliche, digitale Kontaktverfolgung kommt viel zu spät.
Leser*innenkommentare
jox
> Der Sourcecode der App sowie alle Serverkomponenten sind nicht Open Source.
Oh really?
Sie haben also Open Source Code von jemand anders kopiert und und versucht den als ihr eigenes Werk zu verkaufen?
So hat es jedenfalls den Anschein:
github.com/thesimj/jBaseZ85/issues/1
twitter.com/zerfor...377043580498378753
Die Originale Lizenz ist eine BSD-Lizenz. Die darf man durchaus in kommerziellen Anwendungen nutzen, unter Bedingungen die in der Lizenz ganz genau benannt sind. Aber eine Änderung der Lizenzinformation ist mit dem Urheberrecht schwerlich in Einklang zu bringen, ob absichtlich oder aus Versehen.
Lieblich
Auch hier ein weites Feld: die Gesetzgebung und die meisten Verordnungen von Bund und Länder sehen die analoge Kontaktverfolgung vor, digital allenfalls als Hilfsmittel. Dies und mehr hier: www.macwelt.de/new...rten-10990850.html. Die Unternehmen, die gerade an Open-Source-Apps arbeiten, rufen "Stopp". Jens Spahn will mit seiner Corona Warn App nicht als Looser dastehen und läßt diese weiterentwickeln, also ruft er auch auch "Stopp". Vermutlich stört sich das Coronavirus am Wenigsten an den Zuständen in Deutschland ;-)
Maria Burger
Die Menschen müssen sich zur Information hin bewegen, anstatt dass die Info zu ihnen kommt. Es gibt genug Gruppen, und das sind die am meisten gefährdeten, die wenig Ahnung von Apps haben, vielleicht kein smartphone besitzen... wo haben die einen Flyer im Briefkasten gehabt, all die Monate? Wo wurden die im TV auf dem Laufenden gehalten durch knappe, gut formulierte Infos, Wissen vor 8, Börse vor 8, wieso nicht Corona vor 8? Leute, wir haben Pandemie!
Statt dessen haben wir nichtssagende Flyer vom Wahlkampf im Briefkasten, wir in RLP und wo sonst noch gewählt wird. Wie trägt man Masken richtig, was bewirken die Schnelltests, wohin kann ich mich wenden, jeden, jeden Tag müssten diese Infos wie in der Sendung mit der Maus eingetrichtert werden, auch was eine App bringt und dass es sich lohnt, sie zu benutzen.
Sonntagssegler
@Maria Burger Wir in BW hatten so eine nichtsagende Werbung von der Landesregierung auch schon im Briefkasten.
So etwa im November.
Inhalt: wir machen das gut, protestiert bitte nicht. Unpolitische bzw. hilfreiche Fakten: keine.
Ich habe die Rückseite gar nicht mehr gelesen.
4813 (Profil gelöscht)
Gast
@Maria Burger Ja, wenn man keinen Fernseher hat und kein Internet wird es schwer.
zmx52
"...eine einheitliche, digitale Kontaktverfolgung kommt viel zu spät."
Das Problem liegt tiefer. Ich wundere mich darüber, mit welcher Selbstverständlichkeit davon ausgegangen wird, dass eine wirklich wirksame Anti-Corona-App in Deutschland auf die Beine gestellt werden könnte, wenn man nur wollte - natürlich unter Berücksichtgung des Datenschutzes. Das ist aber nicht so. Wenn eine Corona-App wirklich was reißen soll, kann sie nicht datenschutzfreundlich sein. Dann müssen sensible Gesundheits- und Bewegungsdaten zentral gespeichert werden, und die Auswertung dieser Daten muss knallharte Konsequenzen für die User haben (nämlich Qarantäne).
Nun kann man ja darauf verweisen, dass auch in Deutschland faktisch kein Datenschutz existiert und diese Tatsache fast allen egal ist. Der Deal "Daten gegen Apps" wird jedenfalls akzeptiert. Das ist aber nur scheinbar so: Weit verbreitet ist nicht das Einverständnis, sein Leben mit IT-Konzernen und Behörden zu teilen , sondern eine bodenlose Ignoranz. Immer dann, wenn die Folgen der Preisgabe persönlicher Daten direkt erfahrbar werden, schalten die Leute plötzlich in den Datenschutzmodus. Dann steht mitunter "Batman" oder "Micky Maus" in Restaurantlisten.
Mit dem IT-Konsum ist es also so wie mit dem Konsum von Industrielebensmitteln: Man weiß, dass nicht viel Gutes drinsteckt. Was genau drin ist, will man aber lieber nicht wissen, weil's dann nicht mehr schmeckt. In dem Moment, wo konkret aufgezeigt wird, wie das Zeug hergestellt wird, geht das Gewürge los, und die Menschen wenden sich mit Grausen ab.
Eine wirksame Corona-App würde auch dem Dümmsten schnell klarmachen, wie wichtig Datenschutz eigentlich ist. Mit der Folge, dass nicht nur die App in Verruf geriete, sondern das ganze Geschäftsmodell einer Branche, die so stark ist wie keine vor ihr - und entsprechend systemrelevant. Wir würden's gar nicht aushalten.
4813 (Profil gelöscht)
Gast
@zmx52 Wenn man keinen Datenschutz gewährleisten kann, da gebe ich ihnen vollkommen recht, dann muß man es in Zukunft schaffen, dass Gesundheitsdaten nicht wirtschaftlich verwertbar sind.
Dann kann man locker damit umgehen.
D.h. keine Diskriminierung von Kranken durch Krankenkassen, Arbeitgeber etc.
Denn, seien wir doch mal ehrlich. Die meisten Arztpraxen würden einem Hackerangriff nicht standhalten und die Daten, die meine Ärzte aufnehmen und in ihre Datenbanken schreiben sind Gold wert.
danny schneider
@4813 (Profil gelöscht) "Dann kann man locker damit umgehen."
Sorry, ein vollkommen unqualifizierter Kommentar.
Was ist mit Journalisten, Anwälten? Wollen sie das der Staat solche Gruppen Tracken kann?
Frauen die sich vor Ihren Peinigern verstecken, Politische Flüchtlinge,... wenn der Staat die Daten hat kommt vielleicht ein Anhänger Erdogans in Uniform mal den Aufenthaltsort einiger Dissidenten nach Hause zu melden.
Datenschutz ist eines der höchsten Güter! Datenschutz und Datensparsamkeit schützen uns alle und diesen Staat.
4813 (Profil gelöscht)
Gast
@danny schneider Bitte was? Pfarrer haben sie vergessen.
Vermeintlicher Datenschutz schützt niemanden. Der russische Dissident läuft hier mit Smartphone rum und sie wollen mir erzählen, dass der nicht getrackt werden kann?
Träumen sie weiter.
Ich rede hier von Hinz und Kunz und ihren Gesundheitsdaten, die ein Schatz zur Pandemie Bekämpfung und zur Lösung vieler Forschungsprobleme wären.
Journalisten, wenn sie denn Mal Undercover unterwegs sind, lassen ihr Smartphone besser zu Hause...
Toto Barig
@zmx52 Besser kann man's nicht schreiben.
Genau so ist es.
Daher halte ich das Konzept Taiwans für vernünftig.
Dort wird auf eine allgemeine Corona-App komplett verzichtet.
Nur die Menschen, die gerade in Quarantäne sind, werden elektronisch überwacht.
D.h. nur wenige Menschen müssen für 14 Tage ihren sowieso verpflichtenden Standort (zuhause, im Hotel) dem Staat permanent preisgeben.
hey87654676
@zmx52 > Dann müssen sensible Gesundheits- und Bewegungsdaten zentral gespeichert werden
Oder auch nicht, die "normale" Corona-App funktioniert auch dezentral, nur leider haben sie nicht genug Leute installiert. (Vermutlich u.a. weil moderne Smartphones eben doch zu teuer sind und gleichzeitig kaum Barrierefreiheit bieten insbesondere für Ältere) Besonders angenehm finde ich, dass die App Opensource ist und eben kein Automatismus besteht Daten an ein Amt weiterzuleiten. Ich traue mich kaum zu erwähnen, was da für ein Missbrauchspotential besteht, wenn da eben doch ein Automatismus besteht - allerdings bin ich mir sicher, dass sich da der CCC sicher auch noch rechtzeitig zu Wort melden wird.
> Nun kann man ja darauf verweisen, dass auch in Deutschland faktisch kein Datenschutz existiert und diese Tatsache fast allen egal ist
Zumindest ist der Datenschutz besser als in den USA und den meisten anderen EU-Ländern.
DHM
@hey87654676 So viele alte Smartphone sind gar nicht im Umlauf, dass dies auch nur zu einem relevanten Teil erklären würde, warum die Corona-App nur eine so geringe Verbreitung erreicht hat. Das sind vielleicht noch 10 Mio. Geräte.
Ich glaube eher, dass ca. 20-30 Mio. Smartphonebesitzer (von über 60 Mio) zu bequem sind, die Corona-App zu installieren. Lieber installiert man sich ein weiteres Spiel (z. B. Candy-Crush), als dass man 2 min. seiner Zeit investiert, ohne davon / danach einen persönlichen Nutzen zu haben.
Derzeit ist die Corona-App wahrscheinlich nur auf gut 20 Mio. Geräten installiert. Denn von den 26 Mio. Downloads muss man ja die vielen Re-Installationen seit Juni 2020 abziehen, die aufgrund technischer Probleme oder Erwerb eines neuen Smartphones notwendig wurden.
Toto Barig
@DHM Ich kenne einige Menschen, die kein Smartphone haben und auch keines haben wollen.
Dazu kommen Leute wie ich, die gar kein Handy haben, weder smart noch dumm. Nur Festnetz.
Beide Gruppen werden in Statistiken systematisch unterrepräsentiert, weil sie nicht die typischen Teilnehmer von Online-Umfragen sind.
danny schneider
@zmx52 "Das ist aber nicht so. Wenn eine Corona-App wirklich was reißen soll, kann sie nicht datenschutzfreundlich sein. Dann müssen sensible Gesundheits- und Bewegungsdaten zentral gespeichert werden, und die Auswertung dieser Daten muss knallharte Konsequenzen für die User haben (nämlich Qarantäne)."
1.) eine solche App wäre nicht wirksamer, wenn man davon ausgeht das die Menschen verantwortungsvoll mit den Meldungen der existierenden CWA umgehen
2.) Die existierende CWA erzielt in etwa genau die vorhergesagten max. möglichen Effekte bei den aktuellen Nutzungszahlen... würden sie mehr Menschen nutzen würde sie "besser funktionieren"
3.) Der Datenschutz der App hat nix mit Deutschland zu tun. Zum einen ist die verwendete Technik limitiert weil diese nie für solch eine Verwendung geplant war, und zweitens haben Google und Apple, die die API zur Hardware bereitstellen, sich gemäß Expertenrat, darauf geeinigt datensparsam zu sein um Despoten und Diktaturen nicht zu ermöglichen dort die Bevölkerungen mit der API zu überwachen. und diese API ist weltweit identisch. Ergo kann es keine deutsche App geben die wesentlich weniger Datenschutz hat!
Ingo Bernable
@danny schneider "Ergo kann es keine deutsche App geben die wesentlich weniger Datenschutz hat!"
Die App an einen Account oder eine Registrierung zu binden wäre technisch relativ trivial, aber es würde absehbar massiv Vertrauen kosten und deshalb ist es schon richtig, dass man die Finger davon lässt.
danny schneider
@Ingo Bernable "Die App an einen Account oder eine Registrierung zu binden wäre technisch relativ trivial"
Und das bringt was? der Infizierte, der sich testen lässt ist dem Staat bekannt - auch ohne Account oder eine Registrierung.
Und möglich Kontakte sind auch mit einem Account oder eine Registrierung völlig Anonym, da die API von Google/Apple nur ständig wechselnde randomisierte ID's austauscht. Dies lässt keine Rückschlüsse auf einen Account oder eine Registrierung zu.
Fakt ist: Es ist technisch nicht möglich! Das ist so gewollt.
PS: bei heise(youtube) bzw, beim Chaos Computer Club finden sie Interviews und Vorträge mit/von Entwicklern der App, die sehr detailliert in die Architektur und technischen Randbedingungen einführen.
PPS: Niemand benötigt einen Account oder eine Registrierung. Wären die ID's die Ausgetauscht sind eindeutig für ein Gerät steckt in jeder Sim-Karte eine eindeutige Nummer (IMSI - de.wikipedia.org/w...bscriber_Identity), die zumindest in Deutschland eindeutig dem Nutzer der SimKarte zuordnenbar ist. Alles keine Rocketsience.
Aber wie gesagt: All diese Tricksereien wurden beim Systemdesign ausgeschlossen und international so für alle gleich um gesetzt. Kein deutscher Sonderweg!
Ingo Bernable
Und was genau ist nun das Feature der Luca-App das die bisherige CWA nicht hat?
Wie genau wird die Benachrichtigung abgewickelt? Der Umstand, dass eine Registrierung notwendig ist lässt eher vermuten, dass die QR-Codes zentral gespeicherten Accounts zugeordnet sind, als dass eine Liste mit kritischen QR-Codes an alle Clients verteilt wird, denn in dem Fall wäre eine Registrierung technisch nicht notwendig.
Und ist es nicht letztlich eher kontraproduktiv der ohnehin eher zu wenig genutzten CWA mit einer weiteren App Konkurrenz zu machen, die dazu führen wird, dass die User-Base beider vermutlich inkompatibler Programme kleiner wird und so die Chance kritische Kontakte erkennen zu können noch kleiner wird?
danny schneider
@Ingo Bernable "Und was genau ist nun das Feature der Luca-App das die bisherige CWA nicht hat?"
Sie gehen an einen Ort und geben dem Veranstalter / Betreiber Ihre Daten (Name, Adresse,...).
Ist jemand infiziert der ebenfalls am dem Ort war, kann der Veranstalter / Betreiber eine Liste aller Besucher bereit stellen.
bei der CWA würden sie lediglich anonym gewarnt das sie Kontakt mit einem mögl. Infizierten hatten. Niemand sonst wüsste davon, sie könnten nicht vom Gesundheitsamt kontaktiert werden.
Ingo Bernable
@danny schneider Ob das funktioniert hängt aber in beiden Fällen vom guten Willen und ggf. dem Erinnerungsvermögen der infizierten Person ab. Dass man selbst ein Interesse haben dürfte sich bei Verdacht testen zu lassen dürfte naheliegend sein. Das Wissen um den Kontakt beim Gesundheitsamt würde hingegen nur dann etwas ändern wenn Test oder Quarantäne nach einem mitgeteilten Risikokontakt auch tatsächlich kontrolliert würden, das aber passiert nicht weil die ohnehin über dem Limit belastet sind. Unterm Strich macht es daher mE keinen Unterschied.
Sonntagssegler
@Ingo Bernable stimmt nicht.
Zumindest die Registrierung über die Telefonnummer ist ja eindeutig.
Und die Registrierung am Eingang ist ja nicht freiwillig.
Man müsste wohl schon eine Fake-Luca- App schreiben, um komplett anonym zu bleiben.
Die Corona Warn-App kann man einfach ausschalten.