Am 14.4. auf rbb24.de.:
»Die Hackervereinigung Chaos Computer Club (CCC) hat gefordert, für die neue Luca-App zur Kontaktnachverfolgung keine Steuermittel mehr auszugeben. Bei der App gebe es eine nicht abreißende Serie von Sicherheitsproblemen, sagte CCC-Sprecher Linus Neumann am Mittwoch laut Mitteilung.
Auf die IT-Sicherheitslücken hatten zuvor Datenschutz-Aktivisten hingewiesen. Vor allem der sogenannte Luca-Schlüsselanhänger sei ein Problem. Dieser Schlüsselanhänger soll Menschen ohne Smartphone helfen. Allerdings könnte den Aktivisten zufolge damit die Identität jedes Nutzers schnell kopiert und missbraucht werden. "Wer den QR-Code (eines Schlüsselanhängers) scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher waren", kritisierte Neumann.
Luca-Entwickler bestätigen IT-Sicherheitslücke
Die Schwachstellen sind bei Recherchen zutage getreten, die im Netz unter dem Namen "Lucatrack" veröffentlicht wurden. Dem CCC zufolge ist die Schwachstelle offensichtlich und unnötig. Sie zeuge von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit, so Neumann.
Die Luca-Kritiker bekamen unterdessen öffentlichkeitswirksam Unterstützung durch den TV-Star Jan Böhmermann. Der ZDF-Moderator forderte in der Nacht zu Mittwoch seine Fans auf Twitter auf, sich per QR-Code im Zoo Osnabrück einzuchecken. Er wollte mit seiner Störaktion beweisen, wie manipulationsanfällig die Luca-App ist, weil die Anwendung nicht überprüft, ob die Nutzer beim Einchecken tatsächlich vor Ort sind.
Der Entwickler der App, das Berliner Start-up Nexenio, räumte ein, "dass Dritte, die unbefugt im Besitz des QR-Codes auf dem Schlüsselanhänger waren, die jeweilige Kontakthistorie abrufen konnten." Das Unternehmen habe aber auf die Kritik reagiert und die IT-Sicherheitslücke geschlossen. Zu keiner Zeit sei es möglich gewesen, die hinterlegten Kontaktdaten wie Adresse oder Telefonnummer abzurufen…
Trotz der großen Sicherheitsbedenken wird die Luca-App bereits in einigen Gesundheitsämtern der Region eingerichtet…
Auch in Berlin kann die Luca-App bald flächendeckend eingesetzt werden. Die Mitarbeitenden werden demnach bereits seit Ende März geschult. Ein genaues Start-Datum nannte die Berliner Gesundheitsverwaltung auf Nachfrage von rbb|24 nicht. Die Kosten für die Nutzung belaufen sich nach Angaben des Senats auf rund 1,2 Millionen Euro.
Die Berliner Gesundheitsverwaltung teilt die Bedenken hinsichtlich des Datenschutzes nicht…«
Der Link zu Böhmermann führt nicht weiter, die Aktion scheint auch schon in der letzten Woche stattgefunden zu haben, der Link funktioniert: https://www.rbb24.de/panorama/thema/corona/beitraege/2021/04/boehmermann-luca-app-kontaktnachverfolgung-berlin-brandenburg.html
Und damit lenkt der CCC die Aufmerksamkeit nur auf Dinge die völlig nebensächlich sind. Die Wahrheit ist dass diese Anwendung mit oder ohne datenleck ein Mittel zur Unterdrückung ist. Und was das datenleck betrifft, es ist der Staat der mit unseren Daten Handel treibt
@Erfurt: Richtig. Aber alles, was die Regierungsseite vermasselt, hilft uns.
Der CCC lässt sich von großen IT Konzernen finanzieren.
@aa Lieber AA wieviel müssen diese Lakaien noch "vermasseln, "bevor etwas grundlegendes passiert? Reicht es nicht endlich?
Ich bin ziemlich verzeifelt ob dieser Situation und kann nichts tun.
"… die Aktion scheint auch schon in der letzten Woche stattgefunden zu haben…"
Genau, da war die taz schneller: 8.4.21 Luca-Nepp:
https://taz.de/Versagen-der-gehypten-Corona-Ap/!5759224/
Zur Luca-App hat mein Newsticker den Direktlink zu Pressetext und Demovideo gefunden:
https://lucatrack.de/
Äh, der Link in der Textmitte ".. der ZDF-Moderator" funzt nicht.
War nicht George Luca auch der Erfinder von Darth Vader?
… mein großer Bruder hat mal wieder, vor lauter Verschwörungstheorien, das "s" vergessen …
( … a propos "s" wie Essen : wie lange müssen die schlesischen Oma-Klöße, nach dem Luftringen an der Oberfläche, nochmal vor sich 'rum ziehen ? Darth Vader hin oder her …)
Ich weiß schonmal eines ganz sicher, diese möchtegern-Rapper von Cola Zero oder wie diese Luschen sich titulieren sind definitiv durch bei mir, ebenso WWM Jauche. Der Bundes Sepp war noch nie ganz dicht in der Birne. Und das Schätzchen braucht die Rolle halt.
Luca-App: CCC fordert Bundesnotbremse
2021-04-13 21:04:42, linus
Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab “Luca-App”.
In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt.
Dennoch verschwenden immer mehr Länder ohne korrektes Ausschreibungsverfahren Steuergelder auf das digitale Heilsversprechen. Mecklenburg-Vorpommern will die Installation sogar zur Voraussetzung der Teilhabe am öffentlichen Leben machen.
Der CCC fordert ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs. Für den Umgang mit hochsensiblen Gesundheits- und Bewegungsdaten verbietet sich der ländersubventionierte Roll-Out ungeprüfter Software von selbst.
Investor Smudo auf Talkshow-Tour
Eine mehrmonatige Marketing-Kampagne des Rappers Smudo hat es ermöglicht: Trotz eklatanter Mängel haben verschiedene Bundesländer bisher mehr als 20 Millionen Euro an Steuergeldern für Lizenzen zur Nutzung der Luca-App investiert. Dabei erfüllt die App keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von „Contact Tracing"-Apps.
Staatlich subventioniertes Geschäftsmodell
Obwohl Steuergelder großzügig eingesetzt werden, verbleiben Daten, App und Infrastruktur selbstverständlich in den Händen der privatwirtschaftlichen Betreiber. Dabei gelten die teuren Lizenzen nur für ein Jahr – genug Zeit, um die Luca-App zum de-facto-Standard für Einlass-Systeme zu machen. Mecklenburg-Vorpommern hat die Nutzung bereits offiziell im Rahmen der Infektionsschutzverordnung verpflichtend angeordnet.
Für die Zeit nach dem steuerlichen Geldregen haben die Eigentümer schon heute ungenierte Pläne zur weiteren Kommerzialisierung der Kontaktverfolgung: Neben der Anbindung in Ticketing-Systeme hofft man auf breite Verbindung mit unterschiedlichen Geschäftsmodellen. Die Marke „luca” wurde mit unternehmerischer Weitsicht unter anderem für „Zutrittskontrolle, Besuchermanagement, gedruckte Eintrittskarten, sowie für die Reservierung von Tickets für Veranstaltungen, insbesondere für Kultur- und Sportveranstaltungen, politische Veranstaltungen, Veranstaltungen für Bildungs- und Fortbildungszwecke und für wissenschaftliche Tagungen” eingetragen.
Fragwürdige Vergabepraxis
Als Spitzenreiter hat das Bundesland Bayern allein 5,5 Mio. Euro für eine Einjahreslizenz ausgegeben. Andere Länder wie Baden-Württemberg (3,7 Mio. Euro), Niedersachsen (3,0 Mio. Euro) und Berlin (1,2 Mio. Euro) haben die Lizenzen unter Umgehung der Ausschreibungspflicht erstanden. Der regierende Oberbürgermeister von Berlin Müller rühmt sich sogar damit, die Lizenz ohne technische Prüfung erstanden zu haben. Er habe noch nicht einmal mit Smudo gesprochen und offenbarte damit wohl unbewusst den Hauptgrund seiner Spendierlaune. Kurz nach dem Spontankauf warnte die Berliner Datenschutzbeauftragte vor „beträchtlichen Risiken” bei der Luca-App.
Alternativen geflissentlich ignoriert
Dabei ist Luca nicht alternativlos: Mehr als dreißig Konkurrentinnen lobbyieren im Bündnis „Wir für Digitalisierung” seit Wochen erfolglos gegen die Werbemacht des Stuttgarter Rappers Smudo an. „Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind”, stellte Linus Neumann, Sprecher des Chaos Computer Clubs, fest.
Die großzügige Verschwendung von Steuergeldern wird umso unverständlicher, weil die Landesregierungen damit in Konkurrenz zur dezentralen, datensparsamen und quelloffenen Corona-Warn-App gehen, die mit dem nächsten Update eine vergleichbare Funktionalität erhalten soll. Die vom Bund finanzierte Corona-Warn-App hat bereits eine breite Nutzungsbasis, wurde aber nach einem erfolgreichen Start mehrere Monate lang nur stiefmütterlich weiterentwickelt. Dieses Versäumnis soll nun die privatwirtschaftliche Luca-App monetarisieren.
Zweifelhafter Nutzen
Der Nutzen der App bleibt dabei fragwürdig und ihre Anwendungsmöglichkeiten begrenzt. Beispiele im 20 Hektar großen Osnabrücker Zoo und verschiedenen IKEA-Filialen erheitern seit Tagen das Netz: Ein sinnvoller Beitrag zur Pandemie-Bekämpfung lässt sich auch mit viel Kreativität nicht konstruieren.
Als besonderes Leistungsmerkmal wird die Anbindung an Gesundheitsämter betont. Die Gesundheitsämter sind bisher jedoch weder durch besonders schnelle Kontaktverfolgung noch durch besonderes Interesse an Besuchslisten aufgefallen: Regelmäßig sind diese zu umfangreich und zu ungenau, um relevante Kontakte zu identifizieren.
„Impfungen und effektive Seuchenschutzmaßnahmen sind die einzige sinnvolle Möglichkeit, der Pandemie Einhalt zu gebieten. Es würde mich nicht wundern, wenn das digitale Heilsversprechen Luca-App bald zum Sündenbock für das fortwährende Versagen der Bundes- und Landesregierungen wird”, spekulierte Neumann.
Betreiber greifen in zentralen Datenbestand ein
Ein Team aus international renommierten Privacy- und Security-Forscherinnen warnte schon früh in einer achtzehnseitigen „vorläufigen Analyse” vor verschiedensten Missbrauchspotenzialen des zentralen Ansatzes.
Das zentralisierte Luca-System speichert alle Daten bei den Betreibern und ermöglicht dadurch ein Monitoring sämtlicher Check-in-Vorgänge in Echtzeit. Das gilt auch für jene Check-ins, die in der App als „privat” gekennzeichnet sind. Die Betreiber scheuen auch nicht davor zurück, in diese Treffen aktiv einzugreifen und sie beispielsweise zu löschen.
Handwerkliche Mängel und Schwachstellen
Die bisher gefundenen Schwachstellen und Peinlichkeiten der Luca-App sind ein bunter Strauß der Inkompetenz:
Bei der Registrierung soll die Telefonnummer per SMS „validiert” werden. Millionen Euro müssen verschiedene Bundesländer für den Versand aufbringen. Eine handwerklich fehlerhafte Implementierung macht die Validierung jedoch unwirksam. Die Folge: Das massenhafte Erstellen von Fake-Accounts ist ebenso einfach wie deren Check-in an beliebigen Orten. Es droht nicht weniger als der Kollaps des kompletten Luca-Systems.
Die für Menschen ohne Smartphone zu hunderttausenden angeschafften Luca-Schlüsselanhänger verraten bei jedem Scan die vollständige zentral gespeicherte Location-Historie. „Wer den QR-Code scannt, kann nicht nur künftig unter Ihrem Namen einchecken, sondern auch einsehen, wo Sie bisher so waren”, bestätigte Linus Neumann die heute von Bianca Kastl und Tobias Ravenstein veröffentlichte Schwachstelle „Lucatrack”. „Die Schwachstelle ist offensichtlich und unnötig. Sie zeugt von einem fundamentalen Unverständnis grundlegender Prinzipien der IT-Sicherheit. Hier wurde – mal wieder – mit der heißen Nadel gestrickt, statt eine wohlüberlegte Lösung zu bauen”, so Neumann weiter.
Entgegen den Versprechungen des Sicherheitskonzepts ist das Luca-Backend potenziell jederzeit in der Lage, einzelne Geräte eindeutig zu identifizieren und ihnen alle Check-ins zuzuordnen.
Als Musikant schimpft Smudo gern auf die „Umsonst-Gesellschaft” und die Verletzung von Urheberrechten. Für die Luca-App wurden jedoch fremde Software-Komponenten unter dreister Missachtung der Lizenzbedingungen verwendet. Ein „bedauerlicher Fehler", der professionellen Programmierern einfach nicht passiert.
Bis heute ist nur ein Teil des Quellcodes des Gesamtsystems öffentlich. Inwieweit dieser Teil überhaupt noch mit der produktiven Umgebung übereinstimmt, ist unklar.
Die App erfüllt Mindeststandards der Barrierefreiheit nicht. Der App-Zwang stellt eine besonders schwere Form der Diskriminierung dar.
CCC fordert sofortigen Stopp und lückenlose Aufklärung
Die zwielichtige Vergabepraxis zeugt bestenfalls von der Strahlkraft des Rappers Smudo, der bisher nicht als Programmierer oder Datenschützer aufgefallen war: Dem Investor der culture4life GmbH, die die Luca-App in Windeseile aus dem Boden gestampft hat, ist es binnen Monaten gelungen, Millionen für ein unreifes und untaugliches Produkt einzuwerben. Dabei vergisst Investor Smudo gern zu erwähnen, dass er mit über 22% am Unternehmen beteiligt ist, also nicht ohne beträchtlichen Eigennutz für die Luca-App wirbt.
„Die Luca-App ist nicht der einzige Fall, bei dem COVID-Glücksritter weit über ein angemessenes Niveau hinaus Kapital aus der Pandemie schlagen”, sagte Linus Neumann. „Die Maskenaffäre wurde gerade erst erfolgreich unter den Teppich gekehrt. Um einem weiteren Vertrauensverlust in die Politik Einhalt zu gebieten, muss nun lückenlos aufgeklärt werden, wie es zu der zweifelhaften Vergabe kam”, so Neumann weiter.
https://www.ccc.de/de/updates/2021/luca-app-ccc-fordert-bundesnotbremse
Experten im NICHT-Wissen
https://fragdenstaat.de/anfrage/statistik-uber-die-covid19-ansteckungsorte/
u.a. Luca-App
Datenschutz
(Rehak – ein bundesweit bekannter Datenschutz-Experte;
FIFF, auch mit CCC-Konferenz-Vorträgen)
u.a.
https://fragdenstaat.de/anfragen/?q=rehak&status=&jurisdiction=&campaign=-&category=&publicbody=&tag=&user=