{"id":261388,"date":"2022-01-11T16:43:28","date_gmt":"2022-01-11T15:43:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261388"},"modified":"2022-07-04T08:44:10","modified_gmt":"2022-07-04T06:44:10","slug":"luca-app-irre-teuer-technisch-kaputt-unsicher-und-nutzlos","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/11\/luca-app-irre-teuer-technisch-kaputt-unsicher-und-nutzlos\/","title":{"rendered":"Luca-App: Irre teuer, technisch kaputt, unsicher und nutzlos"},"content":{"rendered":"

\"SicherheitNoch ein Sammelbeitrag zur sogenannten Luca-App, die als Hoffnungstr\u00e4ger zur Bek\u00e4mpfung der COVID-19-Pandemie ausgegeben wurde. Bereits beim Start gab es viel Kritik von Datensch\u00fctzern, die das Konzept und die Implementierung als unsicher und unausgegoren kritisierten. Inzwischen ist nicht nur bekannt, dass die deutschen Bundesl\u00e4nder enorm viel Geld f\u00fcr die Nutzung der App ausgegeben haben. Die App bzw. das Luca-Konzept erweist sich im Sinne der Pandemiebek\u00e4mpfung auch als nutzlos. Und es wurde bekannt, dass Strafverfolger die Luca-Daten unberechtigt f\u00fcr andere Zwecke missbraucht haben.<\/p>\n

<\/p>\n

\"\"Als die Idee der Kontaktverfolgung zum Eingrenzung der Coronavirus-Pandemie bekannt wurde, fand ich dies zwar gut, aber bezogen auf die Corona-Warn-App. Allerdings stellte sich im Jahr 2021 schnell heraus, dass wohl die sogenannte Luca-App als Favorit das Rennen machen wird. <\/p>\n

R\u00fcckblick auf die Luca-App<\/h2>\n

\"\"Die Luca-App<\/a> f\u00fcr Mobilger\u00e4te sollte ja die Verfolgung von Kontaktpersonen durch Gesundheits\u00e4mter erleichtern. Benutzer k\u00f6nnen sich per App in Veranstaltungen, Restaurants, Kliniken, Gesch\u00e4ften etc. mittels der App registrieren und brauchen so keine Kontaktdaten auf Papier abzuliefern. Wer unterwegs ist, findet \u00fcberall die Hinweise zum Einchecken bei Gesch\u00e4ften, Lokalen etc. mittels der Luca-App \u2013 dass die Corona-Warn-App im Grunde die gleiche Funktionalit\u00e4t hat, geht meist unter bzw. diese M\u00f6glichkeit wird h\u00e4ufig nicht angeboten. So kommt ein gewisser Zwang zum Einsatz der Luca-App bei den Leuten auf. Hinzu kam, dass die Luca-App von den Bundesl\u00e4ndern faktisch vorgeschrieben wurde – die CWA wurde erst Ende 2021 zur Kontaktverfolgung zugelassen. <\/p>\n

Entwickelt wurde die Luca-App privatwirtschaftlich von neXenio GmbH (Inhaber und Betreiber des Luca-App-Systems ist die culture4life GmbH). Bekannt wurde die App durch Werbung des Musikers Smudo von Die Fantastischen Vier. In der Vergangenheit machte die Luca-App sowie die dahinter stehende L\u00f6sung vor allem Negativ-Schlagzeilen durch Schwachstellen oder ungekennzeichnete Code-\u00dcbernahme (siehe Links am Ende des Beitrags, in diesem Artikel<\/a>, sowie im oben verlinkten Wikipedia-Artikel).<\/p>\n

2021 haben dann 13 von 16 Bundesl\u00e4ndern Lizenzen der Luca App gekauft und 319 von 400 Gesundheits\u00e4mtern in Deutschland sind an das System angeschlossen, um die Daten zu nutzen. Laut der Quelle LucaApp Performance Monitor hat die neXenio GmbH mehr als 30 Millionen Euro an Steuergeldern f\u00fcr die LucaApp kassiert. Politisch Verantwortliche haben vers\u00e4umt, Transparenz \u00fcber den tats\u00e4chlichen Nutzen vertraglich festzulegen, wie ich im Blog-Beitrag Posse Luca-App: Teuer, Nutzen zweifelhaft, und Pr\u00fcfung verweigert<\/a> erl\u00e4utert habe. <\/p>\n

Technisch ist die Luca-App tot<\/h2>\n<\/p>\n

Zum Jahreswechsel 2021\/2022 kam dann auf dem Chaos Communication Congress (rC3) des Chaos Computer Clubs (CCC) die Expertin Bianca Kastl in einem Vortrag zur Luca-App zu Wort. Im M\u00e4rz 2021 hatte Kastl einen Pilot-Test der Luca-App f\u00fcr den Bodenseekreis begleitet und sollte vor allem die Sicherheit gew\u00e4hrleisten. Dabei kam Kastl zum Schluss, dass die Luca-App und das Konzept fachlich ungeeignet sei und dass es nicht sein k\u00f6nne, dass Mitarbeiter von Beh\u00f6rden oder private Sicherheitsforscher \"Entwicklungshilfe\" f\u00fcr die von einem privaten Betreiber entwickelte App leisten m\u00fcssen. Einige Gedanken im Hinblick auf \"Corona-Schnittstellen\" hatte Kastl bereits im M\u00e4rz 2021 in diesem Blog-Beitrag<\/a> ver\u00f6ffentlicht. <\/p>\n

\"Versteckte
Versteckte Kosten der Luca-App<\/p>\n

In obigem Tweet weist Kastl darauf hin, dass bei der Berechnung des Nutzens der Luca-App die versteckten Kosten, die von Drittseite durch Beratung, aufdecken von Schwachstellen oder Hinweise auf Fehler anfallen, \u00fcberhaupt nicht ber\u00fccksichtigt w\u00fcrden. Grund f\u00fcr den Hinweis war ein Tweet, der die Lizenzkosten der Bundesl\u00e4nder in H\u00f6he von 21,4 Millionen Euro f\u00fcr die Verwendung der App dem Nutzen gegen\u00fcber gestellt hat. Von 130.000 COVID-19-Infektionen war die Luca-App in genau 60 F\u00e4llen in der Lage, bei der Kontaktverfolgung zu helfen. Von 114 Gesundheits\u00e4mtern mit Luca-Anschluss haben 50% niemals Kontaktdaten abgefragt. Man kann dies wohl nur als teuren Totalausfall bezeichnen.<\/p>\n

Bianca Castl ging in ihrer rC3-Session dann auch auf Details ein. heise hat diesen Artikel<\/a> mit den Botschaften des Vortrags ver\u00f6ffentlicht. Die Quintessenz: Die Luca-App ist im Hinblick auf das Kontakt-Tracing w\u00e4hrend der Pandemie laut Kastl aus technologischer Sicht tot. Die Gesundheits\u00e4mter fragen kaum Daten ab, und Luca hilft auch nicht wirklich bei der Kontaktverfolgung, weil die Abl\u00e4ufe nicht auf den Bedarf der Gesundheits\u00e4mter zugeschnitten sei. Kastl hat den Fall der Digitalisierung im Gesundheitsamt w\u00e4hrend der Pandemie in diesem Blog-Beitrag<\/a> zusammen getragen. Hat aber viele Bundesl\u00e4nder nicht aufgehalten, trotzdem die Luca-App zu propagieren und viel Geld f\u00fcr Lizenzen auszugeben.<\/p>\n

Unberechtigte Datenabfrage durch die Polizei<\/h2>\n

Von Datensch\u00fctzern war immer wieder das Konzept der Luca-App, bei der die Kontaktdaten auf den Servern des Betreibers gespeichert werden, kritisiert worden. Die Vertraulichkeit der Kontaktdaten sei nicht gegeben. Der Betreiber kann die Daten wegen der Verschl\u00fcsselung zwar nicht lesen. Aber Gesundheits\u00e4mter und Betreiber eines Kontaktpunkts, bei dem sich Nutzer der Luca-App registrieren, k\u00f6nnen im Fall eines Infektionsverdachts auf die verschl\u00fcsselten Daten zugreifen und dann die Kontakte identifizieren. <\/p>\n

<\/a><\/p>\n

Dann wurde Anfang Januar 2022 bekannt, dass die Polizei Mainz nach einem Todesfall Informationen aus dem Luca-System abfragte, um Besucher einer Gastst\u00e4tte als Zeugen zu befragen. Heise hat dies beispielsweise in diesem Artikel<\/a> berichtet. Die Auswertung der Daten des Luca-Systems ist aber f\u00fcr solche Zwecke unzul\u00e4ssig. Das zust\u00e4ndige Gesundheitsamt und der Betreiber der Gastst\u00e4tte m\u00fcssen wohl auf Anforderung der Polizei kooperiert haben. Es wurde wohl ein Coronafall simuliert, um an die Kontaktdaten heranzukommen. Das hat inzwischen scharfe Kritik hervorgerufen, wie heise in obigem Tweet<\/a> schreibt. Was bleibt, ist ein \"Bedauern der Strafverfolgungsbeh\u00f6rden und eine Entschuldigung\", aber der Schaden ist passiert. Der alte Verdacht: Wenn Daten irgendwo gesammelt werden, greift irgendwann jemand unberechtigt darauf zu, oder die Gesetzeslage wird angepasst, dass die Daten auch anderweitig verwendet werden k\u00f6nnen, hat sich also wieder einmal best\u00e4tigt. <\/p>\n

Luca-App deinstallieren<\/h2>\n

Inzwischen raten einige Leute dazu, die Luca-App zu deinstallieren – die Corona-Warn-App kann die Registrierung bei Events ja inzwischen auch. Der Rapper Smudo, der am Luca-System beteiligt ist, hat dem Spiegel ein Interview<\/a> gegeben, in dem er die Nutzung der Luca-App weiter verteidigt und kein Verst\u00e4ndnis f\u00fcr L\u00f6schaufrufe hat. Zitat von Smudo aus Bild: \"Ich halte es f\u00fcr verantwortungslos, dass ein Aufruf von ein bis zwei mir bisher nicht bekannten Politikern dazu f\u00fchren k\u00f6nnte, dass mitten in der pandemischen Lage Menschen die Luca-App l\u00f6schen.\" <\/p>\n

\"Luca-App<\/a><\/p>\n

In obigem Tweet<\/a> wird die Frage aufgeworfen, ob die Luca-App, angesichts der Verf\u00fcgbarkeit der entsprechenden Funktionen in der Corona-Warn-App (CWA), \u00fcberhaupt noch ben\u00f6tigt wird. Die Frage hat laut Golem<\/a> der Rheinland-pf\u00e4lzische Landesbeauftragte f\u00fcr den Datenschutz, Dieter Kugelmann, aufgeworfen und fordert \"ernsthaft zu pr\u00fcfen, ob die Luca-App als Instrument zur Pandemie-Bek\u00e4mpfung noch gebraucht wird. Es gibt immer wieder datenschutzrechtliche Bedenken\".<\/em><\/p>\n

Derweil steht in Baden-W\u00fcrttemberg die Entscheidung an, ob die Lizenzierung der Luca-App verl\u00e4ngert werden soll. Allerdings ist laut heise<\/a> bisher keine Entscheidung gefallen. Die Bundesregierung macht dagegen auf ihrer Webseite<\/a> Werbung f\u00fcr die Corona-Warn-App als Mittel zur Bek\u00e4mpfung von Corona. Es d\u00fcrfte zuk\u00fcnftig also noch spannend werden, wie das Thema Kontaktnachverfolgung bei Corona gehandhabt wird. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Lizenz\u00e4rger: Die Luca-App und die Open Source-Klippen<\/a>
Hack dein Gesundheitsamt, die Luca-App machte es m\u00f6glich<\/a>
B\u00fcrgeramt nur mit der Luca-App betretbar? Meldung erw\u00fcnscht<\/a>
Posse Luca-App: Teuer, Nutzen zweifelhaft, und Pr\u00fcfung verweigert<\/a>
Urteil: Ankauf der Luca-App durch Mecklenburg-Vorpommern unwirksam<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Noch ein Sammelbeitrag zur sogenannten Luca-App, die als Hoffnungstr\u00e4ger zur Bek\u00e4mpfung der COVID-19-Pandemie ausgegeben wurde. Bereits beim Start gab es viel Kritik von Datensch\u00fctzern, die das Konzept und die Implementierung als unsicher und unausgegoren kritisierten. Inzwischen ist nicht nur bekannt, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4346,4328],"class_list":["post-261388","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261388","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261388"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261388\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261388"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261388"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261388"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}