News Luca App: Sicherheitsforscher warnen vor hohen Risiken der App

[Unnu]

Klar Open Source wäre genial, ist aber auch ein Nachteil die die App manipulieren möchten.

OpenSource ist in diesem Fall die einzige Chance die Du hast. JEDER der den Code nicht traut kann ihn sich ansehen!
Und das sind SEHR viele, vor allem bei Software die von unseren Neuländern kommt.
Nimm als Beispiel den Versuch von ein paar Studies Müll in den Linuxkernel zu patchen, was von Greg Kroah verhindert wurde und den „Researchern“ einen veritablen Shitstorm einbrachte, mitsamt Untersuchung deren Uni + Entschuldigung vom Dekan. Das „ManyEyes“-Prinzip hat gegriffen.
Jetzt nehmen wir eine ClosedSource Klitsche. Da sind der Architekt, SeniorDev und DevSecOps in Personalunion mit dem CTO. Und die anderen Beteiligten sind Lohnabhängige. Wer würde die Stoppen wenn sie was „Böses“ im Schilde führten?
Reingucken ist ja nicht so ohne weiteres möglich.

 

[chief]

Sollte wenigstens nicht faierweise der letzte Blogpost von Luca (Reaktion auf den Brief) erwähnt werden, wo sie aufzeigen was sie zukünftig ändern wollen?

 

[h00bi]

Die Kontaktverfolgung zur Bekämpfung von Pandemien sei „als solches“ generell zu befürworten, so die Unterzeichner der Stellungnahme. Die folgenden vier Prinzipien seien den Sicherheitsforschern zufolge aber essentiell für digitale Werkzeuge zur Kontaktpersonennachverfolgung und Risikokontaktbenachrichtigung:

• Freiwilligkeit: Die Nutzung bestimmter Werkzeuge zur digitalen Kontaktverfolgung muss freiwillig sein. Bürger:innen, die das Werkzeug nicht benutzen möchten, dürfen nicht von sozialen Aktivitäten, dem Zutritt zu öffentlichen Gebäuden, Geschäften, usw. ausgeschlossen werden.

Ich frage mich wie sich Sicherheitsforscher anmaßen können über die Freiwilligkeit zu urteilen, insbesonders in Geschäften, in denen der Betreiber Hausrecht hat.
Ich will keine Freiwilligkeit, ich will dass gefälligst jeder der mit mir in diesem Laden ist eine saubere, ehrliche und faire Kontaktverfolgung aktiv hat.
Und wen ich bei meinen sozialen Aktivitäten mitnehme hat ebenfalls kein Sicherheitsforscher zu entscheiden.

Verweigerer eine sauberen, ehrlichen und fairen Kontaktverfolgung MÜSSEN hier konsequent ausgeschlossen werden. Man kann nicht nur ständig auf seine Rechte pochen, man muss auch seinen Pflichten an der Gesellschaft nachkommen.

 

[Unnu]

Der Anteil der rauchenden Bevölkerung nimmt seit Jahrzehnten ab. Nurmalso.

Ja nu, auch nur in etwas gesundheitsbewussteren Staaten.
Insgesamt geht es aufwärts!

komisch ist nur die diskussion gerade in den medien dass einige menschen mehr rechte bekommen sollen als andere.

Das ist keine Diskussion. Das ist schon ausgemacht. Und ja, die Muster, das Framing und die mehrheitliche Unterstützung von der „Rückgabe“ von Grundrechten(!) in der Gesellschaft.
Die Parallelen sind da.
Das Beste an der Sache ist, dass man es nicht mal selbst in der Hand hat, ob man sie zurückbekommt oder nicht. Dank des massiven FuckUp unserer Regierung.

 

[Unnu]

Das kann man höchstens bringen, wenn alle die Chance haben zeitnah geimpft zu werden. Selbst dann wäre das aber schon kritisch. Ich dachte eigentlich, dass wir aus unserer Geschichte gelernt haben. Dieser Lerneffekt scheint aber bei einer Pandemie nicht mehr zu greifen. Bedenklich. Es wird jetzt schon viel zu intensiv an unseren Grundrechten rumgespielt. Und alle diese Massnahmen werden nur anhand des Inzidenzwertes entschieden.

THIS!
Nebenbei bemerkt werden die INZIDENZ-Werte mit vollkommen unterschiedlichen Methoden je Landkreis errechnet werden.
Somit ist die Einheitlichkeit irgendwo bei NULL! Und gar eine Vergleichbarkeit auch nicht gegeben. Das ist eine Veröffentlichung des Bundestages.
Aber egal.

 

[mibbio]

das BSI schaut sich nicht ohne Auftrag irgendwelche Drittanbieter Apps oder Sonstiges an.

Ich hab ja auch nicht gesagt, dass das BSI selbstständig tätig werden soll bei der Luca App. Wollte nur deine Frage beantworten, inwiefern das BSI mit Apps aus der Privatwirtschaft zu tun hat. Zum einen kann es die halt auf Antrag prüfen und auch indirekt besteht eine Verbindung zwischen der App und dem BSI, und wenn diese von öffentlichen Stellen eingesetzt wird. Diese sollten sich dann nämlich an eventuelle Vorgaben vom BSI richten bei der Beschaffung von IT-Systemen oder Anwendung, ohne dass das BSI aktiv die zu beschaffenden Sachen prüft. Das sollte die öffentliche Stelle von sich aus machen bei der Beschaffung. Und wie du selbst ja schreibst, gibt es für das Gesundheitswesen eine entsprechende Richtlinie, die die Länder scheinbar nicht beachtet haben.
Spätestens bei dem Punkt, dass die App quasi eine Blackbox ist/war, hätten die Länder die erstmal nicht weiter in Betracht ziehen dürfen, bis die Funktionsweise der App nachprüfbar ist.

 

[Rubyurek]

@Unnu Das hat es ja auch von closed source an sich, damit man nicht im code rumfutscht oder was verfälscht.

 

[jonderson]

@Sekorhex Wie möchtest du denn an dem Code rumfuschen oder verfälschen?

 

[Serana]

OpenSource ist in diesem Fall die einzige Chance die Du hast.

Ich denke man kann davon ausgehen, daß der Ansatz "Security by Obscurity" entweder niemals oder niemals besonders lang funktioniert. Und dort wo er scheinbar funktioniert würde mit hoher Wahrscheinlichkeit auch ein Open Source Ansatz funktionieren.

OpenSSH und OpenPGP sind beides Open Source Implementierungen und gelten trotzdem als sicher. Sie gelten deshalb als sicher weil die zugrunde liegenden Mechanismen in sich sicher sind. Auch die Sicherheit grundlegender Verschlüsselungsalgorithmen basiert nicht auf Geheimhaltung, sondern darauf, daß sie in sich sicher sind.

Closed Source ist geeignet wenn man der Konkurrenz nicht zeigen will wie man ein bestimmtes Problem gelöst hat. Als Sicherheitsgarant hat Closed Source dagegen noch nie funktioniert.

Ein Sicherheitssystem das nur sicher ist solange der Gegner es nicht kennt, ist von Anfang an als unsicher einzustufen.

 

[Marcel55]

Nebenbei bemerkt werden die INZIDENZ-Werte mit vollkommen unterschiedlichen Methoden je Landkreis errechnet werden.

Was soll man denn da für unterschiedliche Methoden verwenden?
Man braucht doch im Grunde nur die Anzahl der positiv getesteten Personen und die Gesamtzahl der Einwohner, aus diesen beiden Zahlen lässt sich dann die 7-Tage-Inzidenz berechnen.
Haben wir beispielsweise einen Kreis oder eine Stadt mit 500.000 Einwohnern, und letzte Woche haben sich 100 pro Tag, also insgesamt 700 Leute infiziert.
Es gibt 5 x 100.000 Einwohner, also landen wir mit 700/5 bei einer 7-Tage-Inzidenz von 140.
Das wäre die einfachste Methode.

Wenn es nach mir ginge würde ich einen neuen Schlüsselwert einführen, der nicht nur die Inzidenz betrachtet, sondern auch wie viele Leute nach einer Infektion im Krankenhaus landen, davon auf Intensivstation, und viele Plätze dort noch zur Verfügung stehen, und wie viele bisher geimpft sind, um die akute Gefahr durch das Virus korrekt einschätzen zu können. Anhand dieser Werte lassen sich dann zumindest sinnvoll Maßnahmen bestimmen, und nicht nach dieser Pi-Mal-Daumen-Taktik die unsere Regierung gerade fährt.

Mit Impfungen, Schnelltests und Apps wie Luca oder vielleicht sogar besser der Corona-Warnapp können wir dann auf absehbare Zeit ein halbwegs normales Leben zurück erhalten, wo man jederzeit überall einkaufen, Essen gehen oder Freunde treffen kann.

 

[Unnu]

Ich frage mich wie sich Sicherheitsforscher anmaßen können über die Freiwilligkeit zu urteilen, insbesonders in Geschäften, in denen der Betreiber Hausrecht hat.

Ich frage mich wie schwer es sein kann Texte im Kontext zu lesen.
Was jemand mit seinem Hausrecht anstellt ist sein Bier & bleibt es. Dann ist es auch mein Bier sein Angebot nicht wahrnehmen zu wollen, weil seine Lösung einer Kontaktnachverfolgung Scheiße ist. Dann gehe ich dann halt ins andere Cafè.

Es ist etwas völlig anderes, wenn Dir per Gesetz vorgeschrieben werden soll, dass Du diese "Lösung" gefälligst zu nutzen hast, weil die gesetzgeberischen Organe sich am liebsten von blenderischem PR-Geschwurbel von Promis einlullen lassen!

Diese App ist fraktal kaputt!
Da interessieren Nebnkriegsschauplätze nicht wirklich. Und es ist ja nicht so, als wären diese Sicherheitsforscher die einzigen, die gesagt haben, dass Luca Sch.... lecht ist.

 

[Unnu]

Und dort wo er scheinbar funktioniert würde mit hoher Wahrscheinlichkeit auch ein Open Source Ansatz funktionieren.

Du sagst es ja schon selbst: Scheinbar. FALLS alle Beteiligten wissen wie es wirklich geht (und das sind nur sehr wenige) und FALLS diese nicht gerade von irgendjemanden einen Incentive erhalten haben es schlecht, falsch oder mit einer Backdoor versehen zu machen. Es läuft auf die Vertrauensfrage hinaus.
Und da ich zur Not in OS selbst reinschauen kann, - und ich vor allem weiß, dass da jede Menge Leute reinschauen werden die's können (!) - wird der OS-Ansatz mit Sicherheit besser funktionieren. Pun not intended.

 

[Besuz]

Hallo @SV3N

ich habe selber keine Ahnung wie aufwändig oder erfolgversprechend dies wäre, aber hier wäre eine Stellungnahme der die Luca App einsetzenden Bundesländer interessant.
Auch wenn ich mir keine große Hoffnung mache, habe ich eben unsere Stadtverwaltung, welche die Luca App aktiv bewirbt, dazu angeschrieben und u.a. deinen Artikel erwähnt.

Hallo,

ich habe bereits heute morgen eine Antwort bekommen, in der man auf die gemeinsame Stellungnahme von SH Landkreistages, Städteverband SH und ITV.SH hinweist - hier einsehbar:
https://www.sh-landkreistag.de/file...2_2021/PM_SHLKT_StV_ITVSH_6_2021_luca-App.pdf
Da meine Fragen in der Stellungnahme nicht beantwortet werden, was ich auch nicht erwartet habe , habe ich die drei benannten Stellen erneut angeschrieben.

 

[Nobody007]

Ich habe ein wenig die Übersicht verloren.

Was war der Sinn und Vorteil dieser App im Vergleich zur hoch gelobten Corona App?

Was ist eigentlich aus der normalen Standard Corona-App geworden?

 

[anthony274]

In Deutschland muss vor allem immer der Datenschutz stimmen. Das ist immer sehr wichtig. Wenn die App dann datensicher ist im Sinne des Deutschen, kann sie zwar nix mehr, aber in der Werbung wird dann erst mal mit der Datensicherheit geworben. Das ist klar, weil die App den eigentlichen Zweck nicht mehr erfüllt.

Ich würde mal sagen: Lasst doch die Leute Geld verdienen. Der Benefit ist doch vorhanden.

 

[Damien White]

Was ist eigentlich aus der normalen Standard Corona-App geworden?

Die gibt es noch und sie kann ebenfalls QR-Codes lesen.

 

[sedot]

Die Luca-App wird hoffentlich bald ausgemustert, der nächste #lucahack ist da – klingt alles nicht so gut.

Wer es schaffe, über Sicherheitslücken in der Luca-Software ins Gesundheitsamt einzudringen, findet dort jede Menge sensible Daten. "Wir haben dort jeden Masernfall, jede Einstellungsuntersuchung von Beamten, jeden Todesfall." Und natürlich alle Covid-Fälle.

Er sei von Anfang an skeptisch gewesen. Immer weitere Nachrichten von Sicherheitslücken und einem unausgegorenen Sicherheitskonzept hätten seine Befürchtungen bestätigt. Der größte Risikofaktor aber sei erst noch geplant gewesen: "Mit dem nächsten Update hätte Luca direkt auf unsere Server geschrieben", sagt Ziemons. Das bedeutet, dass jede Schwachstelle im Luca-System direkt auch eine Schwachstelle im System des Gesundheitsamts werden könnte.

https://www.zeit.de/digital/datensc...rfolgung-hackerangriff-risiko/komplettansicht

 

[j-d-s]

Komplettzitat entfernt. Wie es richtig geht, ist hier nachzulesen: https://www.computerbase.de/forum/t...es-beitrags-und-vermeidet-fullquotes.1955416/

Och, das wird ja immer wieder gemacht: https://www.tagesschau.de/inland/privilegien-geimpfte-101.html

Noch vor vier Monaten haben Spahn, Seehofer und Lauterbach versichert, es werde keine Vorteile für Geimpfte geben.

 

[j-d-s]

--So vermeidet man Vollzitate--

Das mit dem "Hausrecht" ist so eine Sache. Denn es ist eine Sache, wenn der Inhaber sein Hausrecht wirklich frei ausübt oder ob er unter Druck gesetzt wird, sein Hausrecht zu missbrauchen um Interessen anderer durchzusetzen.

Bspw. wurde hier (Bayern) von der Polizei gegenüber zahlreichen Betreibern von Supermärkten und Restaurants behauptet, dass der Inhaber ein Bußgeld bekommen könnte, wenn er nicht unter Androhung eines Hausverbots die Maskenpflicht durchsetze.
Das ist zwar rechtlich unwahr (https://www.verkuendung-bayern.de/baymbl/2021-206/ -> Bußgeld nur für den Kunden Nr. 6; für Betreiber ist Nr. 11 einschlägig und da ist eben gerade NUR ein Verstoß des Personals gegen die Maskenpflicht enthalten, NICHT aber von Kunden), aber ganz offenbar gab es da vonseiten des Innenministeriums die Anweisung, diese Falsche Information zu verbreiten - vermutlich weil es nicht genug Polizisten/Ordnungsbeamte gibt, welche in Supermärkten die Maskenpflicht überprüfen könnten.

Übrigens wäre es auch gar nicht möglich, die Überprüfung der Maskenpflicht der Kunden rechtlich auch tatsächlich dem Inhaber aufzuerlegen: Das ist eine hoheitliche Aufgabe, die nur Beamte durchführen können.
Genauso wie du auch von einem öffentlichen Parkplatz keinen Falschparker abschleppen lassen kannst. Du musst erstmal die Polizei rufen, damit die das machen.

Ehe du jetzt erwiderst, aber von meinem Privatgrundstück kann ich doch einen Falschparker abschleppen lassen: Ja, das kannst du. Aber du bekommst eben auch kein Bußgeld, wenn du es nicht tust.

Und das ist eben bei dem "Hausrecht" der Inhaber genauso: Da müsste schon gewährleistet sein, dass es frei ausgeübt wird und niemand den Inhaber unter Druck setzt, sein Hausrecht auszuüben um bspw. eine Test- oder Impfpflicht durchzusetzen. Denn wenn der Inhaber derart unter Druck gesetzt wird, handelt er nicht mehr im Rahmen seines Hausrechts, sondern er handelt mittelbar aufgrund des Drucks von außen, wodurch wir in eine andere rechtliche Kategorie kommen (staatliche Vorschriften statt Hausrecht).

Und ob wirklich Reihenweise Händler und Gastronomen ohne jegliche (auch angebliche, d.h. nicht wirklich existierende) Pflicht dann einen Teil ihrer Kunden ausschließen wollen, würde ich bezweifeln. Einzelne schon, aber die große Masse kann sich auf Dauer nicht leisten 10% weniger Kunden zu haben - so reich sind die meisten nicht.

PS: Diese "Pflicht des Inhabers" ist relevant, weil das eben auch die Pflicht zur Nutzung der Luca-App sein kann. Oder eine Pflicht, die so behauptet wird, ohne zu bestehen.
Und ich bezweifle eben, dass ein Inhaber, der wirklich frei und ohne Druck von Außen entscheiden kann wirklich die Luca-App zur Pflicht machen würde.
Zumal er bei einer Luca-App-Pflicht sicherlich mehr als 10% Kunden verlieren würde - ich denke da an viele ältere Menschen, die bereits bei solch einfachen Dingen am Handy/Computer wie eine Luca-Registrierung überfordert wären.

 

[Dieter.H]

https://www.zeit.de/digital/datensc...rfolgung-hackerangriff-risiko/komplettansicht

Da kann man echt nur noch den Kopf schütteln. Traurig alles. Dieser Inkompetenz soll man letztlich seine Gesundheit anvertrauen? Ne lass mal.. ich halte mich so weit wie möglich weg von all diesem Zeugs... egal bei was.