News Luca App: Sicherheitsforscher warnen vor hohen Risiken der App

[Tinpoint]

ich dachte zuerst das diese Luca App Satire ist, aber die meine ndas vollkommen ernst

 

[jonderson]

Nennt sich Version 2.0 der Corona Warn App
.
https://www.bundesregierung.de/breg-de/themen/coronavirus/corona-warn-app-version-2-0-1889868

Nein, in dieser Version kannst du dich zwar einchecken, die Daten verbleiben aber auf deinem Smartphone.

Bei "Datenschutzexpert:innen" habe ich aufgehört zu lesen, zumindest das Zitat.
Diesen Mist kann man nicht flüssig lesen.

Also so eine App solte in jedem Fall für nichts anderes genutzt werden,
als zur Seuchenbekämpfung. Wenn es nur um dem Kampf gegen Corona geht,
sollten alle Funktionen von Telefonen genutzt werden.

Sagt ein WhatsApp Nutzer der auch bereit ist die Daten Anderer zu verkaufen...
https://www.kuketz-blog.de/kommentar-der-datenschutz-als-suendenbock-in-der-corona-pandemie/

 

[MeyLee]

Geschäfte machen sich aktuell alles einfach dadurch. Haben Sie die LUCA App? nein? Ok, dann füllen Sie bitte den Zettel aus, wir übertragen das dann für Sie. Bitte was machen Sie? Ist kein Witz, selbst erlebt beim Saturn.

 

[Besuz]

Hallo @SV3N

ich habe selber keine Ahnung wie aufwändig oder erfolgversprechend dies wäre, aber hier wäre eine Stellungnahme der die Luca App einsetzenden Bundesländer interessant.
Auch wenn ich mir keine große Hoffnung mache, habe ich eben unsere Stadtverwaltung, welche die Luca App aktiv bewirbt, dazu angeschrieben und u.a. deinen Artikel erwähnt.

 

[Forstron]

Scheiß auf alle persönlichen Rechte und den Datenschutz! Es ist doch für die gute Sache!

 

[beercarrier]

Ich raffe es nicht. Die Regierung gibt für 60mio eine App in Auftrag, die alle Datenschutz Bestimmungen erfüllt um dann ein Jahr später noch einmal 20mio in eine App zu investieren, wo es viele Bedenken von Experten gibt, aber es ist denen einfach egal.

Wenn man bedenkt das einzelne Spielestudios mit 10 Millionen Entwicklungsbudget schon ganze Double A Spiele finanzieren. Deck 13 z.B. hat mit Budget in dieser Höhe schon öfter Spiele produziert bei denen ~50 Entwickler 2-3 Jahre beschäftigt waren. Und das sind ein paar mehr Codezeilen.

Und dann kommt eine immer noch recht simple Corona Warn App die das Entwicklungsbudget eines halben GTA5 oder Assasins Creed Valhalla verschlingt.

Aber weil das nicht reicht werden noch mal 20 Millionen Euro Förderung für eine Personalisierungsapp hinterhergeschmissen dessen Anonymisierungsverfahren mit dem eines Telefonbuchs vergleichbar ist.

Der umlagefinanzierte Verteilungsrat aka Bundestag ist seit Jahren besorgt über sogenannte Querdenker. Leuten die Pauschalisieren und Verunglimpfen und deren Meinung man nicht zwingend teilen möchte. Aber irgendwie macht man es den Leuten aber auch ein bißchen zu einfach, denke ich zumindest für mich.

Kann man den Geschäftsführern der Luca App das Geld nicht einfach so geben? Dann hätten wir wenigsten nicht kein Geld und eine kack App zu benutzen deren Daten irgendwo im Internet landen. Da können wir gleich Google artig bitten, die machen das "gratis".

 

[DFFVB]

Allein die Tatsache dass das Konzept nicht auf einem dezentralisierten Ansatz fußt, sollte einem jeden zu denken geben.

Wie schnell man Daten habhaft werden kann, zeigen Facebook & Co. zu genüge. Deshalb sollte bei solch sensiblen Daten immer ein dezentralisiertes Konzept zum Einsatz kommen.

Die Corona-Warn-App zeigt ja wie es gehen kann.

Zudem gehen die Forscher ja auf die Punkte ein, weshalb sie die Prinzipien für eine solche App als nicht erfüllt ansehen.

Sehe ich anders. Im Kern bin ich bei Dir, in der Praxis sind wir hier sehr schnell wieder dogmatisch / idealistisch. Das fängt mit den Prinzipien an. Was sind das für Prinzipien? Wer hat die aufgestellt? Geht es um Gesetze oder Prinzipien? Bsp. Prinzip der Offenheit? Ich persönlich bin auch kein Freund von Security by Obscurity. Ist das Prinzip deswegen per se unsicher? Ist ja nicht so, dass in OpenSource keine Fehler gefunden werden. Das ist halt das Problem: Da wird, weil jemand nicht den eigenen Prinzipien folgt, erstmal alles gebasht und die Punkte, die ggf. sinnvoll sind, gehen dann schnell unter. Ich hab mal Linus Neumann zugehört, kurz nach Spectre / Meltdown. Da meinte der, der hat quasi für jeden Dienst ne eigene E-Mail Adresse. Und natürlich betreibt er seinen eigenen Mail-Server, und wer kein PGP nutzt kann gleich seine Bank Pin auf die Girokarte schreiben etc. pp. Absolut gesehen bestimmt richtig. Relativ? Totaler Bullshit. Wenn er dann im gleichen Atemzug sagt, man sollte für jeden Dienst ein unterschiedliches Passwort haben, dann hat er damit 100% Recht. Geht aber unter, weil er davor realitätferne Dinge gesagt hat.

Und dezentral ist sicher ein Risiko, der Verweis auf große Player ist gut, wenn man dann im gleichen Atemzug die fehlende Zweckbindung kritisiert, hat das null mit Sicherheit zu tun.

Konkret zu Luca / CWA: Ich sag da nicht, dass Luca alles richtig macht, kann ich nicht wissen. Die CWA ist aber seit Dezember kaputt. Von 3 - 20 Risikobegegnungen täglich, hatte ich seitdem null. Trotz Zahnarzttermin, trotz zehn Minuten warten im Schnelltestzentrum. Trotz 30.000 Neuinfektionen. Trotz Spaziergang meiner Freundin mit einer später positiv Getesteten. Von daher: Ich als Datenschutzfan sage, ggf. muss man diesen dann etwas kompromittieren, wenn es um die Gesundheit geht. Über Neuseeland / Australien staunen ja viele. Was die nicht wissen: Wer sich dort nicht testen lässt kommt / kam direkt in Quarantänehäuser (Corona Jail). die haben da knallhart durchgegriffen. In China wird man anal getestet. Will mal die Querdenker sehen, wie da reagieren würden.

In a nutshell: Grundsätzlich finde ich Kritik richtig und wichtig, man sollte aber aufpassen, dass man nicht die ganze Zeit Feuer schreit, weil einem sonst keiner mehr glaubt, gerade wenn man sich die kaputte CWA anschaut.

 

[Autokiller677]

Geschäfte machen sich aktuell alles einfach dadurch. Haben Sie die LUCA App? nein? Ok, dann füllen Sie bitte den Zettel aus, wir übertragen das dann für Sie. Bitte was machen Sie? Ist kein Witz, selbst erlebt beim Saturn.

War ja auch immer so geplant. Damit hat Luca am Anfang offensiv Werbung gemacht - eine Lösung, in der alles erfasst wird, damit das GA alle Daten toll über Luca bekommt.
Dementsprechend entweder Smartphone, Schlüsselanhänger, oder Papier, das manuell eingetippt wird. Wenn ein Geschäft Luca benutzt, kann man als Kunde meist nicht mehr rein, ohne das die Daten bei Luca landen.

Luca versucht hier staatlich gefördert auf möglichst viele Smartphones zu kommen und will diese Plattform mit allen Daten dann zu Geld machen. Tests, Ticketing, alles was geht soll dann über diesen Standart laufen. Die App hat ja auch schon kluger Weise einen Namen, der auch nach Corona noch bestens verwendet werden kann - und ist auch markenrechtlich schon für alles mögliche, was mit der Event-Branche zu tun hat, geschützt
Quelle: FragDenStaat nach IFG. https://twitter.com/benfooben/status/1378018407329767433?s=21

Da haben einfach ein paar windige Gestalten sich überlegt, wie sie unter dem Deckmantel der Pandemie ohne große Konkurrenz staatliche Förderung zum Aufbau ihrer Event-Dienstleistungsplattform bekommen. Und einen ganzen Haufen Daten, die man vergolden kann noch dazu.
Wer mal einen Blick in die Nutzungsbedingungen wirft, stellt auch fest, dass Luca sich das Recht einräumt, persönliche Daten der Nutzer mit diversen Parteien zu teilen - lange nicht nur das Gesundheitsamt.

 

[Moeller13]

Mit Nacharbeiten wird es da nicht getan sein, wie die App an sich ja schon auf einem ungeeigneten Konzept (zentrale Datenspeicherung) beruht. So lange funktionsbedingt sämtliche Tracking-Daten bei einem gewinnorientierten Privatunternehmen lagern, kann dir niemand garantieren, dass die Daten nicht zweckentfremdet und am Ende der Pandemie auch unwiderruflich gelöscht werden.

Dann hätte ich mich vielleicht drastischer ausdrücken müssen, meinte aber das gleiche

Der Denkfehler liegt darin, daß Du nur ein nixht so saueber und Lucken siehst und dabei das zugrundeliegende Konzept dahinter jicht erkennst. Das ist nämlich bedenklich. Ein gewinnorientiertes Unternehmen sammelt zentral Namen, Adressen, Telefonnummer, Beaegugsprofile in einer Zeit, in der mit Daten massiv Gewine gemacht werden. Das klingeln nicht die Glocken?

Der Denkfehler liegt darin, dass Du nur das liest, was du lesen willst, nicht das, was gemeint sein könnte.
Nicht alle schwingen direkt die große Keule. Da klingeln nicht die Glocken?
Siehe oben, wie man es besser schreibt

 

[MR2007]

Und warum kann die CWA das dann aber Datenschutzkonform?

Weil die CWA nicht dazu da ist, die gesetzliche Auflage, die Kontaktdaten für Veranstalter, Geschäfte, Gastronomie zu erfassen, zu erfüllen. Das ist eine zielgerichtete Anforderung, damit bei potentiellen Superspreader Zellen das Gesundheitsamt schnell handeln kann.

Die CWA dagegen, ist viel allgemeiner und vorallem ein individuelles Werkzeug, um das Risiko der eigenen Exposition zu verfolgen und ggf. in Eigenverantwortung zu handeln, wenn ein Risikokontakt vorhanden ist.

Das alles sagt ja auch schon der Name, Corona-Warn-App, und nicht Corona-Kontaktdaten-Erfassungs-App (so wie Luca es wäre). Ersteres geht völlig anonym mit Bluetooth Hashs, letzteres per Definition schon nur maximal pseudonymisiert.

Aber ja, mittlerweile werden auch zunehmend solche Features auch in die CWA eingebaut.

 

[begin_prog]

ist die Freiwilligkeit nicht gegeben

Corona, Long Covid und Firmenpleiten sind auch nicht "freiwillig". Ich hab deshalb kein Verständnis für das Gejammer über "Freiwilligkeit". Wir stehen zudem ganz kurz davor, die Kontrolle über die Pandemie zurück zu gewinnen. 1-2 Monate sind ruck, zuck vergangen.

 

[Atze-Peng]

"In der Politik scheint die Kritik an der Luca App noch nicht angekommen zu sein, mehrere Bundesländer investierten bereits insgesamt rund 20 Millionen Euro für die Nutzung der App und versprechen sich davon eine bessere Kontaktnachverfolgung und damit einhergehend mehr und schnellere Möglichkeiten zur Öffnung von Restaurants, Theatern und Geschäften."

Ich möchte hier nicht den politikverdrossenen Bürger mimen, der sich jeden Abend bei der Tagesschau eine Tüte Empörung aufreisst. Aber ich frage mich seit geraumer Zeit, ob die entsprechenden Entscheidungsträger in der Politik überhaupt noch mitbekommen was eigentlich abgeht. Mir scheint die Kluft zwischen denen da "oben" und denen dort "unten" immer größer zu werden.

An allen Ecken und Enden brennt es und wir kriegen einfach nix mehr gebacken. Aber das Ende der Fahnenstange scheint noch nicht erreicht.

Die Sache mit der Luca App geht ja schon seit einigen Wochen und ist nur symptomatisch dafür, dass wir in vielen Bereichen der Digitalisierung einfach in der Steinzeit verharren. Sehr traurig.

Ja, die Kluft wird immer größer. Ich empfehle Turchin als Lektüre diesbezüglich.

 

[beercarrier]

Corona, Long Covid und Firmenpleiten sind auch nicht "freiwillig". Ich hab deshalb kein Verständnis für das Gejammer über "Freiwilligkeit". Wir stehen zudem ganz kurz davor, die Kontrolle über die Pandemie zurück zu gewinnen. 1-2 Monate sind ruck, zuck vergangen.

Diesen Blödsinn erzählen sogar gestandene Wissenschaftler, sich völlig im Klaren darüber das sie damit etwas anderes meinen als die Bevölkerung, was besonders dann klar wird wenn man kritisch hinterfragt was die Konsequenzen sind.
Mit die Kontrolle über die Pandemie zurückgewinnen ist gemeint das Fallzahlen und Ansteckungsquote in der Gegenwart mit den im Jetzt gegeben Ressourcen managebar sind, mit einer Mutation sieht deren Welt schon wieder ganz anders aus. Die Bevölkerung hingegen hört aus diesem Begriff es wäre steuerbar, was überhaupt nicht der Fall ist. Das einzige was steuerbar ist sind die Pandemieausgaben, nämlich besteuerbar, weil der Großteil der Aufträge privatwirtschaftlich vergeben wird. Dort gibt es Gewinner die sich mit Angebot und Nachfrage marktwirtschaftlich positionieren.
Was in 1-2 Monaten ist kann dir niemand ehrlich sagen. Wahrscheinlichkeit ist da der große Punkt, wir haben etwas das simpel aufgebaut ist und durch Benutzung angepasst wird, fällt eine Möglichkeit weg gibt es x-mögliche Variationen die diese Lücke füllen können. Möglich das es in 1-2 Monaten durch Impfung zu weniger Ansteckung kommt, aber auch gut möglich das bis dahin ein neue Variante entstanden ist die nicht auf die Impfung reagiert.
Ohne jahrelanges testen und immer wieder angepasste Impfungen geht überhaupt nichts.

btt
Da gibt es einige die Substanzielles leisten, Impfstoffe sowie Tests entwickeln und herstellen, deren Firmen ein Vermögen aus dieser Situation generieren.
Und dann gibt es andere wie die Entwickler der Luca App die schnell mal Kundendaten und weitere staatliche Mittel abgreifen wollen. Die ihnen auch noch gewährt werden weil jeder noch so rationale Politiker am Ende des Tages sagen können möchte er habe alles menschenmögliche getan. Ja hat er dann wohl, aber auch viel ohne Sinn und Verstand, auf kosten der Allgemeinheit. Aber das ist einigen wenigen Politikern ja nicht fremd.

 

[thuering]

<3 Luca-App, egal was extremistische Datenschutzextremisten so von sich geben. :-)

 

[cosamed]

Deutschland haut das Geld raus als wenn es kein Morgen mehr gibt
Aber kein Problem die Deutschen zahlen dann gerne mehr Steuern damit es wieder reinkommt.

Bist du kein Deutscher, der das mit seinen Steuern mitfinanziert?

 

[Serana]

Tests, Ticketing, alles was geht soll dann über diesen Standart laufen. Die App hat ja auch schon kluger Weise einen Namen, der auch nach Corona noch bestens verwendet werden kann - und ist auch markenrechtlich schon für alles mögliche, was mit der Event-Branche zu tun hat, geschützt

Das wäre ich zur Not ja noch bereit zu tolerieren. Das große Problem dahinter ist aber, daß diese tolle App ungefähr die Sicherheitsstufe eines selbstgestrickten Amateurblogs hat.

Da haben einfach ein paar windige gestalten sich überlegt, wie sie unter dem Deckmantel der Pandemie ohne große Konkurrenz staatliche Förderung zum Aufbau ihrer Event-Dienstleistungsplattform bekommen. Und einen ganzen Haufen Daten, die man vergolden kann noch dazu.

Das ist ohnehin das beste an der ganzen Geschichte. Wäre ich fies dann würde ich sagen, daß die Luca-App und das Unternehmen dahinter die Altersversorgung der Mitglieder einer deutschen Hip Hop Band ist. Smudo ist mit 53 ja auch nicht mehr der jüngste, da muß man schon mal an die Zukunft denken.

 

[Red_Bull]

Corona, Long Covid und Firmenpleiten sind auch nicht "freiwillig". Ich hab deshalb kein Verständnis für das Gejammer über "Freiwilligkeit". Wir stehen zudem ganz kurz davor, die Kontrolle über die Pandemie zurück zu gewinnen. 1-2 Monate sind ruck, zuck vergangen.

ja ich bin auch dafür endlich diese nutzlose Freiwilligkeit abzuschaffen!
Wenn dann schon richtig!
sofort allesdichtmachen!

 

[DannyBoy]

Soviel Angst davor, als politikverdrossen zu gelten, daß du dich erstmal vorsorglich davon abgrenzen musst? Wo sind wir hingekommen....den Herrschaftstrick mit dem "Wasser auf die Mühlen der Falschen" oder "es könnte den Falschen (definiere den "Falschen") nutzen" scheinen wirklich viele verinnerlicht zu haben. Letztlich ist es ein zuverlässiger Konformismusindikator.

Richtig erkannt. Ich immunisiere mich mittlerweile in jeder Aussage selbst. Letzten Endes auch der Grund warum ich meinen letzten Job aufgegeben habe. Soweit sind wir schon.

 

[Forum-Fraggle]

Der Denkfehler liegt darin, dass Du nur das liest, was du lesen willst, nicht das, was gemeint sein könnte.

Ist nicht Dein ernst, oder? Wenn Du in den Aussagrn liest was gemeint sein könnte anstatt was drin steht, brauchen wir nicht weiter diskutieren.

Weil die CWA nicht dazu da ist, die gesetzliche Auflage, die Kontaktdaten für Veranstalter, Geschäfte, Gastronomie zu erfassen, zu erfüllen. Das ist eine zielgerichtete Anforderung, damit bei potentiellen Superspreader Zellen das Gesundheitsamt schnell handeln kann.

Seltsam, warum soll das aber genauso kommen?

 

[stolperstein]

Wie immer..solange vom CCC es kein Okay gibt, solange kommt die App auch nicht aufs Handy.
Die Corona Warn App hat diese "Freigabe" und wurde somit, jedenfalls bei uns in der Familie, fleißig installiert.



Viele Grüße,
stolpi