Themabewertung:
  • 1 Bewertung(en) - 5 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
CORONA - Die App
Kontaktverfolgung

Mit der Luca-App in ein Leben mit mehr Freiheiten


Alle reden über „Luca“ – die App, die einen abermaligen Kontrollverlust bei den Infektionen verhindern soll. Bei „Anne Will“ wurde die Idee jetzt sogar zur landesweiten Hoffnung in der Pandemie-Bekämpfung erklärt. Selbst volle Stadien und Konzerte scheinen wieder greifbar nah.
Die App, über die inzwischen das halbe Land redet, ist bereits in 30 Ämtern ist das Programm schon im Einsatz. Mit 200 weiteren sei man in „guten Gesprächen“, sagt Luca-Gründer Patrick Hennig WELT. Insgesamt 375 Gesundheitsämter gibt es bundesweit. Würden alle eine effiziente Kontakterfassung und -nachverfolgung garantieren, könnte das Land sehr schnell in eine Art Normalzustand zurückkehren. Weg von Verboten, hin zum sicheren Öffnen.....

> https://www.welt.de/wirtschaft/plus22729...eiten.html

(der nächste Hype......und Griff ins Klo)
 
Antworten
Luca (App)

COVID-19-App
Funktionsweise
Zur Verwendung von Luca muss der Gäste-Anwender sich mit Namen, Kontaktdaten sowie einer zu verifizierenden Mobilfunknummer registrieren. Der weitere Einsatz basiert auf QR-Codes: Dabei generieren Location-Anwender der App – z. B. Veranstalter von Konzerten, Restaurantbetreiber oder Privatpersonen – jeweils einen für eine Location einen spezifischen QR-Code. Beim Eintritt in beispielsweise ein Konzert wird dieser von den Besuchern gescannt. In der Gastronomie etc. ersetzt die die vorgeschriebene, handschriftliche Erfassung von Kontaktdaten. Auch bei privaten Treffen können die Teilnehmer ihre QR-Codes austauschen. Dadurch wird jeweils ein „Fingerabdruck“ (Check-In) des Besuchs erstellt. Damit kann später der Kontakt nachvollzogen und entstandene Infektionsketten ermittelt werden. Die so gesammelten Daten werden verschlüsselt abgelegt. Ein Zugriff erfolgt nur im Infektionsfall nur durch die Gesundheitsämter.
Gästeregistrierung
Aufgrund der aktuellen COVID-19-Pandemie sind nach den entsprechenden Verordnungen in den einzelnen Bundesländern bestimmte Unternehmen verpflichtet, die Kontaktdaten aller Besucher zu erfassen[4][5][6]. Das betrifft die Gastronomie und – je nach Bundesland – Fitness-Studios, sonstige Sportveranstalter, Frisöre, Kinos, Theater, Konzertsäle, Senioren- und Pflegeheime, Kirchen etc. (im Folgenden: Locations). Diese sollen den Gesundheitsämtern eine Kontaktpersonennachverfolgung (s. u.) ermöglichen, um Infektionsketten zu unterbrechen und die Ausbreitung der Infektion einzudämmen.
Mit dem Luca-App-System können Gastronomen, Konzertveranstalter sowie andere Unternehmer (im Folgenden: Location-Betreiber) diese Gästeregistrierung[7] digital vornehmen.
Dazu muss sich jeder Gast als Luca-Anwender einmalig mit vollem Namen und Anschrift, ggf. E-Mail-Adresse sowie einer Mobilfunknummer registrieren, die mittels TAN verifiziert wird.[8] Für die Anwender erzeugt die App einen sich minütlich ändernden QR-Code[9]. Entweder scannt der Veranstalter diesen QR-Code beim Eintritt des Gastes, oder er erstellt einen QR-Code für seinen Veranstaltungsort, der von den Gästen beim Eintritt gescannt wird.[10]
In beiden Fällen wird ein Check-In erzeugt, in dem die verschlüsselte Gast-ID, die Information über die Location sowie Datum und Uhrzeit[11] mit dem Schlüssel des Location-Betreibers verschlüsselt gespeichert werden.[12] Ein Zugriff auf die Personenidentitäten und die Kontakthistorie erfolgt nur durch die Gesundheitsämter oder ggf. durch gerichtliche oder behördliche Anfragen. Der Betreiber der Luca App sowie die Location-Betreiber haben keinen Zugriff auf die personenbezogene Daten.[13]
Im Vergleich zu den handschriftlich zu führenden Gästelisten ist die digitale Erfassung der Gästekontaktdaten effizienter und gewährleistet einen besseren Schutz der Kontaktdaten.
Über Geofencing kann die App ihren Benutzer auch selbständig an Veranstaltungsorten ausbuchen. Der Anwender kann diese Option abschalten und muss sich dann selbst ausbuchen.[12]
Die Gästeregistrierung kann nicht nur bei den Unternehmen genutzt werden, die bislang zur Gästeregistrierung verpflichtet waren. Im Sinne der Eindämmung von Infektion wäre dies vor allem vor dem Hintergrund von Superspreader-Events bei allen sog. Cluster-Situationen sinnvoll, also Situationen, in denen mehrere Menschen zusammen kommen und es dadurch eine erhöhte Infektionsgefahr gibt, z. B. auch öffentliche Verkehrsmittel (Zug, U- und S-Bahn, Bus), Stadion, (Großraum-)Büro und Besprechungsräume, Wochenmärkte. Zudem ist es möglich, bei größeren Veranstaltungsorten zwischen einzelnen Räumen, Waggons, Bestuhlungsbereichen, u. ä. zu differenzieren.
Schließlich ermöglicht die Luca-App einem Anwender, für ein privates Treffen (Familien- oder private Feier, Verabredung, spontane Treffen u. ä.) einen Code zu erstellen. Die anderen Teilnehmer können sich mit diesem Code für das betreffende private Treffen registrieren.[9]
Kontakttagebuch
Epidemiologen und Virologen empfehlen, ein sogenanntes Kontakt-Tagebuch zu führen.[14] Dabei sollten vor allem sog. Cluster-Situationen notiert werden, d. h., Situationen, von denen absehbar eine erhöhte Ansteckungsgefahr ausgeht, weil sich mehrere Menschen, z. B. in einem Innenraum, treffen. Das Kontakt-Tagebuch soll als Gedankenstütze dienen, mit deren Hilfe ein Infizierter dem Gesundheitsamt (oder direkt den Freunden, Verwandten oder Bekannten) mitteilen kann, wo bzw. mit wem er sich in den letzten 14 Tagen aufgehalten hat, damit das Gesundheitsamt eine Kontaktnachverfolgung (s. u.) durchführen kann.
Die Luca-App erzeugt aus den o. g. Check-Ins auf dem Smartphone des Gäste-Anwenders eine sog. Historie[12], die dem empfohlenen Kontakt-Tagebuch entspricht. In der Historie werden diese Check-Ins gespeichert. Checkt ein Benutzer per Webinterface oder Schlüsselanhänger (s. o.) ein, wird die Historie auf einem Server des Luca-Systems angelegt.[9] Die Daten der privaten Treffen werden im Infektionsfall nicht an das Gesundheitsamt übertragen, sondern dienen nur als Gedankenstütze.
Kontaktnachverfolgung
Kontaktverfolgung (Kontaktpersonennachverfolgung, contact tracing) ist das Ermitteln und Nachverfolgen von Kontaktpersonen von Infizierten, also Personen, die Kontakt zu einem Infizierten hatten und sich daher infiziert haben könnten. Ziel ist es, solche Kontaktpersonen zu finden und zu isolieren, bis entweder bestätigt ist, dass sie nicht infiziert sind (Freitesten) oder sie nicht mehr ansteckend sind (Quarantäne). Auf diese Weise sollen Infektionsketten unterbrochen werden.
Mit dem Luca-App-System können die Gesundheitsämter Kontaktpersonen von Infizierten ermitteln: Wird ein Anwender der Luca-App positiv auf SARS-CoV-2 getestet, kann er seine Historie (Kontaktdatenbuch) dem Gesundheitsamt mittels einer 12-stelliger TAN freigeben. Dadurch sendet die Luca-App des Infizierten alle Veranstaltungsorte der letzten 14 Tage in der Historie an das Luca-System.[15] Ausnahme sind private Treffen (s. o.).
Das Gesundheitsamt fordert dann über das Luca-System die entsprechenden Veranstalter auf, die Kontaktdaten aller Gäste, die zur gleichen Zeit wie der Infizierte am jeweiligen Veranstaltungsort waren, ans Gesundheitsamt zu übertragen. Die Veranstalter können dieser Aufforderung über das Webinterface des Luca-App-Systems folgen. Anschließend stehen die Kontaktdaten dem Gesundheitsamt über ein Webinterface zur Verfügung[15] und können entweder in dieser Webanwendung verwendet oder in dessen System zur Kontaktnachverfolgung übernommen werden[9]. Die o. g. Verifizierung der Mobilnummer (s. o.) stellt sicher, dass zumindest die Mobilnummer korrekt ist (siehe Kritik).
Damit erhält das Gesundheitsamt die Kontaktdaten aller Gäste, die in den letzten 14 Tagen zur gleichen Zeit am gleichen Ort wie der Infizierte eingecheckt waren. Das Befragen des Infizierten, eventuelle Erinnerungslücken sowie das aufwändige und zeitraubende Beschaffen, Entziffern und Abgleichen handschriftlicher Gästelisten mit oftmals falschen Angaben entfallen.
Risikokontakt-Warnung
Die Risikokontakt-Warnung soll Menschen warnen, die Kontakt mit einem Infizierten hatten und möglicherweise dadurch infiziert wurden, damit sie sich isolieren, testen und ggf. frühzeitig in Behandlung geben können.
Ein Beispiel für Risikokontakt-Warnung ist die Corona-Warn-App, die Kontakte mit anderen Anwendern der Corona-Warn-App aufzeichnet (siehe Abschnitt Unterschied zur Corona-Warn-App. Wenn ein Anwender das positive Ergebnis eines Corona-PCR-Tests über die Corona-Warn-App weiterleitet, werden alle Anwender der Corona-Warn-App, deren App in den letzten 14 Tagen einen Kontakt mit dem Infizierten aufgezeichnet haben, automatisch und anonym informiert.
Über die Luca-App werden im Zuge der Kontaktnachverfolgung (s. o.) Anwender alarmiert, die zur gleichen Zeit am gleichen Ort wie der Infizierte eingecheckt waren. Diese Alarmierung wird durch das jeweilige Gesundheitsamt ausgelöst. Falls ein Anwender die App nach dem jeweiligen Check-In deinstalliert hat, wird er per SMS informiert.[9]
Anbindung der Gesundheitsämter
Die Kontaktnachverfolgung durch die Gesundheitsämter kann über das Webinterface des Luca-App-Systems für Gesundheitsämter erfolgen.[9]
Zusätzlich gibt es eine direkte Anbindung an die in den Gesundheitsämtern verwendeten Systeme zur Kontaktnachverfolgung, z. B. SORMAS, OctoWare TN. Diese erfolgt entweder über die Schnittstelle (API) des jeweiligen Systems oder über Ex- und Import über bestimmte Standardformate.[9]
Voraussetzungen
Damit Veranstalter das Registrieren (Einchecken) mit der Luca-App anbieten können, muss das örtliche Gesundheitsamt ans Luca-System angeschlossen sein (siehe Verbreitung).[9]
Anwender können die Luca-App nutzen, auch wenn das örtliche Gesundheitsamt noch nicht angeschlossen ist, entweder bei Reisen in Regionen, in denen die Veranstalter ans Gesundheitsamt angeschlossen sind oder für private Treffen (s. o.)[9]
Personen, die kein kompatibles Smartphone haben oder die Luca-App nicht installieren wollen, können ihre Daten in z. B. einem Restaurant über ein Kontaktformular des Web-Interfaces der Luca-App eingeben. Die Luca-Web-App erzeugt daraus den Check-In. Alternativ können Anwender einen Schlüsselanhänger mit einem QR-Code erwerben, über den sie eingecheckt werden (beim Bestellvorgang werden dann die gleichen Daten wie in der App angegeben und auf dem Server des Systems hinterlegt[11]).
Ohne die App können keine private Treffen (s. o.) initiiert werden, aber ein Ersteller privater Treffen kann Teilnehmer mit QR-Code-Schlüsselanhänger einchecken. Gäste, die die Luca-App auch nicht per Webinterface oder Schlüsselanhänger nutzen möchten, müssen sich weiterhin handschriftlich in Gästelisten eintragen.[9]
Technische Umsetzung und Datenschutz
Laut Angaben des Betreibers der Luca-App werden „die generierten Daten […] dezentral verschlüsselt und teilen sich ebenfalls auf drei Schnittstellen auf: Gastgeber, Gast und Gesundheitsamt. Nur im Falle einer Infektion setzen sich die Daten wie bei einem Puzzlespiel zusammen und sind dann für das Gesundheitsamt lesbar. Gastgeber, Veranstalter, Betreiber, wir selbst, oder Dritte, haben zu keinem Zeitpunkt Zugriff auf die Daten. Die einzelnen Puzzleteile sind auf ISO-27001 zertifizierten Servern in Deutschland gespeichert.“
Aus der Darstellung des Gesamtsystems durch den Betreiber[16][7][8][9][10][13][17] kann man folgendes Datenschutzkonzept schließen:
Auf dem Smartphone des Gastes liegen seine Kontaktdaten und seine Historie der letzten 30 Tage.
Auf den ISO-27001-zertifizierten Luca-Betreiber-Servern[17] der Bundesdruckerei, die als Dienstleister des Betreibers und/oder der Gesundheitsämter fungiert, liegen
  • die Gast-Anwender-Datensätze, die die mit dem Schlüssel des Gesundheitsamts verschlüsselten Kontaktdaten eines Gast-Anwenders mit seiner Gäste-ID verknüpft;
  • die Location-Datensätze mit den Kontaktdaten der Location;
  • die Check-In-Datensätze, die die Location-ID und mit einer zufälligen Trace-ID des Gastes (s. u.), mit dem Schlüssel des Gesundheitsamts verschlüsselte Gäste-ID sowie mit der Check-in- und -out-Zeiten verknüpft. Die Check-In-Datensätze werden alle 30 Tage gelöscht.[16]
Im Fall einer Infektion werden die Historie des Infizierten mit den Check-In-Daten der betroffenen Locations zusammengeführt. Für alle betroffenen Locations werden zudem diejenigen Anwender-Datensätze jeder Gäste zusammengeführt, die zur gleichen Zeit in der jeweilige Location eingecheckt waren. Damit erhält das Gesundheitsamt alle Kontaktdaten von potenziellen Kontaktpersonen des Infizierten.
Dabei sind die personenbezogenen Check-In-Daten zweifach verschlüsselt[9]: Die User-ID (mit der in der Gast-Anwenderdatenbank die Kontaktdaten abgerufen werden kann) wird auf dem Smartphone mit dem Schlüssel des Gesundheitsamtes verschlüsselt. Beim Check-In wird diese User-ID ein zweites Mal mit dem Schlüssel des jeweiligen Location-Betreibers verschlüsselt. Aufgrund der doppelten Verschlüsselung können weder Location-Betreiber noch der Betreiber des Luca-App-Systems die personenbezogenen Daten lesen.[9] Das Gesundheitsamt kann die Kontaktdaten erst dann lesen, wenn sie vorher vom jeweiligen Location-Betreiber entschlüsselt wurden. Positionsdaten oder IP-Adressen werden nicht gespeichert.[11]
Die in der App erzeugte Trace-ID, aus der der QR-Code erzeugt wird und welche in den Check-In-Datensätzen gespeichert wird, ändert sich minütlich[8]. Dies verhindert, dass Bewegungsprofile gebildet werden können.
Wenn ein Infizierter seine Historie freigegeben hat (s. o.), fordert das Gesundheitsamt über das Luca-Backend-System bei den Location-Betreibern die verschlüsselte Gäste-IDs an (s. o.), die der jeweilige Location-Betreiber mit seinem Schlüssel entschlüsselt. Selbst zu diesem Zeitpunkt können weder Location-Betreiber noch der Betreiber des Luca-App-Systems die Gäste-IDs lesen, da diese immer noch mit dem Schlüssel des Gesundheitsamts verschlüsselt sind. Erst wenn das Gesundheitsamt diese Daten übernommen und entschlüsselt hat, sind diese – nur für das Gesundheitsamt – lesbar.[15] Im März 2021 hat die Datenschutzkonferenz der Länder festgestellt, dass alle Gesundheitsämter den selben privaten Schlüssel zum Entschlüsseln der Daten erhalten.[18]
Im Ergebnis kann, soweit das System nicht gehackt wird oder der private Schlüssel abhanden kommt, niemand die Check-In-Daten lesen, bis auf das Gesundheitsamt, und das nur dann, wenn (1) der Infizierte seine Historie freigegeben hat und (2) die jeweiligen Location-Betreiber die Checks-Ins zu den Zeiten, zu denen der Infizierte in der jeweiligen Location war, entschlüsselt haben.
Ersteller von privaten Treffen (s. o.) können die Namen der Teilnehmer sehen, die anderen Teilnehmer den Namen des Erstellers.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit von Baden-Württemberg, Stefan Brink, hat nach Prüfungsauftrag durch die Regierung von Baden-Württemberg das Konzept der Luca-App (nicht jedoch, da Closed-Source, die Luca-App selbst), soweit zu dem Zeitpunkt bekannt, inhaltlich wie technisch geprüft und bescheinigt der Gesamtlösung hohe Datenschutz-Standards.[19] „Die Dokumentation der erfolgten Kontakte wird auf technisch höchstem Stand verschlüsselt und es liegt allein in der Hand des luca-Nutzers, ob, wann und mit wem er diese sensiblen Daten teilen möchte.“[20] Nachdem er für diese Aussage mit Verweis auf die fehlende Veröffentlichung des Quellcodes kritisiert wurde, bestätigte er, dass eine Überprüfung des Quellcodes nicht erfolgt ist, seine Behörde aber geprüft habe, welche Daten fließen und wie sie verschlüsselt werden.[21]
Der Hersteller hat das Ergebnis eines Penetrationstest durch die ERNW Enno Rey Netzwerke GmbH veröffentlicht.[22] Danach wurden „bei der Sicherheitsbewertung des Luca-Umfelds […] in einem Penetrationstest mehrere Schwachstellen mit mittlerem und niedrigem Schweregrad identifiziert. […] Zum Zeitpunkt der Erstellung dieses Berichts waren alle zuvor identifizierten Probleme behoben. Es wurde ein zusätzliches Problem identifiziert.“[22]
Unterschied zur Corona-Warn-App
Im Unterschied zur Corona-Warn-App, die Alltags-Kontakte mit anderen Anwendern der Corona-Warn-App via proximity tracing aufzeichnet, zeichnet die Luca-App registrierte Besuche von Locations auf. Weil auf diese Weise alle Besucher eines möglichen Infektionshotspots (Cluster) ermittelt werden können, spricht man auch von Cluster-Erkennung. Die Corona-Warn-App soll bis April 2021 ebenfalls eine Cluster-Erkennung erhalten.
Die Corona-Warn-App und die Luca-App bieten beide eine vergleichbare Funktion der Risikokontaktwarnung.
Das Luca-App-System stellt dem Gesundheitsamt die Kontaktdaten von Personen mit Risikokontakten (auf Basis von Clustererkennung) zur Verfügung und ermöglicht damit eine Kontaktnachverfolgung zur Unterbrechung von Infektionsketten und Eindämmung der Pandemie. Die Corona-Warn-App basiert auf einem Datenschutz-Konzept mit strikter Anonymität – die Kontaktdaten der Anwender werden nicht hinterlegt – und kann daher keine Daten zur Kontaktpersonennachverfolgung zur Verfügung stellen. Das Konzept der Corona-Warn-App vertraut darauf, dass die Personen, die über die App über Risikokontakte informiert werden, sich selbst in Quarantäne begeben.
Technisch basiert das proximity tracing der Corona-Warn-App auf dem Austausch von anonymen IDs via Low Energy Bluetooth und der Berechnung des Risikos einer Infektion aus geschätztem Abstand und Dauer. Das Luca-App-System basiert technisch auf der Erfassung von cluster-spezifischen Codes (QR-Codes).
Entwicklung
Als Urheber des Luca-App-Systems bezeichnet sich das Berliner IT-Startup neXenio GmbH, eine Ausgründung des Hasso-Plattner-Instituts.[23] Sie wurde 10/2015 gegründet mit dem Zweck der „Entwicklung und Betrieb von IT Services und Anwendungen im Bereich Cloud Speichern, kollaboratives Arbeiten, Social Media Analysis und Data Mining“. Sie hat 50 Mitarbeiter und wird gehalten von Patrick Hennig (* 1988), Philipp Berger (* 1987) (jeweils 35,5 %) und Christoph Meinel (20,5 %). Neben der Luca-App nennt die Website der Gesellschaft weitere Produkte und Lösungen u. a. in den Bereichen Cloud-basiertes Whiteboard, Cloud-Anbieter, interaktionsloses Zugangskontrollsystem, Ticketing u. a. für die Veranstaltungs- und Reisebranche.[24]
Inhaber und Betreiber des Luca-App-Systems ist die Culture4Life GmbH[25], an der neben der neXenio GmbH (41 %) auch Marcus Trojan UG (27,5 %, Geschäftsführer), Fantastic Capital Beteiligungsgesellschaft UG (22,9 %) sowie Centineo Investment I GmbH & Co KG (8,3 %) beteiligt sind. Unternehmenszweck ist die Erbringung von Dienstleistungen in der Informationstechnologie.[24]
Die im November 2020 gegründete Fantastic Capital Beteiligungsgesellschaft UG beteiligt sich „an Unternehmen, insbesondere im Bereich der Softwareentwicklung und des Vertriebes“.[26] Die Gesellschafter werden im Handelsregister nicht genannt. Jedoch nennt die Website der Luca-App „einige Kulturschaffende, wie die Band Die Fantastischen Vier als Mitglied des „Teams“.[27] Besondere Medienaufmerksamkeit[23] erreichte Luca dadurch, dass Michael Schmidt alias Smudo, Frontmann der deutschen Hip-Hop-Band Die Fantastischen Vier, als Botschafter für diese Lösung auftritt[28], aktiv für sie wirbt[29] und sich offenbar auch an ihrer Finanzierung beteiligt hat (s. o.)
Als weiteres Teammitglied wird Franz de Waal, Mitgründer und CEO von FREIRAUM (einer Retail-Plattform) und CONTINEO Investments (eine Vermögensverwaltung) genannt.
Verbreitung
In den Kommunen von Rostock, Sylt, Föhr und Amrum sind Besucher aufgerufen, eine Corona-Nachverfolgung über Luca zu ermöglichen.[30][31] Ebenso bietet Husum, der Salzlandkreis in Sachsen-Anhalt und Jena in Thüringen diese Möglichkeit.
Am 3. März 2021 debattierte Bundeskanzlerin Angela Merkel mit den Ministerpräsidenten der Bundesländer unter anderem über Möglichkeiten, eine bessere Kontaktnachverfolgung zu etablieren und wollten sich bis Montag, 8. März 2021, über eine neue bundeseinheitliche App zur Kontaktnachverfolgung austauschen. Im Gespräch sei nach Angaben von Frau Merkel unter anderem die Luca-App.[32] Eine Entscheidung wurde am 8. März nicht gefällt.
Bundesländer, Bezirke, Kreise oder Kommunen planen, das Luca-App-System für ihre Gesundheitsämter einzuführen. Beispielsweise erwarb Mecklenburg-Vorpommern als erstes Bundesland eine landesweite Lizenz.[33] Das Land Thüringen beabsichtigt dies ebenso.[34] Auch Berlin[35], Brandenburg[36], Niedersachen[37] , Hessen[38] und Baden-Württemberg[38][39] haben die Einführung angekündigt. Beispiel für Kreise, Kommunen und Städte, die das System einführen, sind Landkreise Emsland,[40] Warendorf,[41] Breisgau-Hochschwarzwald und Osnabrück[42] sowie die Städte Kiel[43], Freiburg[44].
Mit Stand vom 18. März 2021 sind nach Angaben des Betreibers 16 % (60 von 375) der Gesundheitsämter angeschlossen. Mit Berlin und Münster gebe es verbindliche Vereinbarungen. Man sei mit weiteren Gesundheitsämtern im Gespräch.[45]
Alternativen
Mitbewerber sind die in Nordrhein-Westfalen teilweise eingesetzten Lösungen DarfIchRein, Railsove, Kontakterfassung.de oder Hygieneranger.[46] Weitere alternative Lösungen mit vergleichbarem Funktionsangebot sind Gastident, eGuest, Smartmeeting und NotifyMe (basierend auf dem CrowdNotifier-Protokoll).
Das Bündnis Wir für Digitalisierung, hinter dem zahlreiche Lösungsanbieter[47] stehen, wirbt für ein Gesundheitsamtportal als einheitliche und offene Schnittstelle, an die verschiedene digitale Lösungen für Kontaktverfolgung Daten liefern und auf die die Gesundheitsämter zugreifen können.[48][49][50]
Kritik
An dem Luca-App-System wie auch an der Kommunikation der Entwickler bzw. Betreiber entzündete sich eine Reihe von zum Teil gravierender Kritik:
Transparenz, Überprüfbarkeit
Der Betreiber des Luca-App-Systems hat das System auf seiner Website und zusätzlich die sicherheitsrelevanten Informationen in einem Sicherheitskonzept veröffentlicht.[51] Es wird kritisiert, dass das Sicherheitskonzept in kritischen Punkten unkonkret bleibt. Auch die Tatsache, dass der Quellcode der App nicht öffentlich einsehbar ist, wird von Experten kritisiert.[52][53] Der Betreiber hat angekündigt, den Quellcode bis Ende März zu veröffentlichen.[54]
Privatwirtschaftlicher Ansatz, Gewinnabsicht, intransparente Finanzstruktur
Ferner wird kritisiert, dass das System von einem privatwirtschaftlichen Unternehmen[55] mit Gewinnerzielungsabsicht betrieben werde, das eine nach außen nicht transparente Finanzierungsstruktur aufweise.
Zentralität der Datenspeicherung, Verschlüsslung, Schwachstellen, De-Anonymisierung
Kritisiert wird die zentrale Speicherung der Check-in-Daten mit individuellen Kontaktdaten. Dies wecke Begehrlichkeiten eines illegalen Zugriffs auf diese Daten. Allein die Metadaten verrieten viel über die Nutzer, so dass es sich für kriminelle Hacker selbst dann lohne, diese zu erbeuten, wenn dies aufwendig sei. Diese Kritik teilen auch die Juristin Kirsten Bock. Nach Bock sei die zentrale Speicherung der Daten unabhängig von einer Verschlüsselung problematisch. Troncoso sieht hier auch das Problem der indirekten Erfassung sensibler Daten durch die Erfassung der Orte und Veranstaltungen, an die das Luca-System gekoppelt ist.
Theresa, Stadler, Wouter Lueks, Katharina Kohls und Carmela Troncoso, Datensicherheitsforscher an der Universität EPFL (Lausanne) und Mitentwickler des Protokolls für eine anonyme Risikokontaktwarn-Lösung Crowd Notifer, haben am Sicherheitskonzeptes des Betreibers[51] denkbare Schwachstellen festgestellt,[56] die ohne veröffentlichtem Quellcode nicht falsifiziert werden können. Wesentliche Basis der möglichen Schwachstellen sei dabei die zentrale Datenhaltung: Auf dem Backend-Servern des Betreibers lägen eine sehr große Menge sensibler, personenbezogenen Daten. Aus diesen wie auch aus Meta- bzw. Fingerprintdaten wie IP-Adresse und verwendete Geräte könnten grundsätzlich Personen- und Bewegungsprofile, z. B. auch die Zugehörigkeit zu Menschengruppen, oder die Tatsache, dass Personen infiziert sind, abgeleitet werden. Diese Informationen könnten für den System-Betreiber, einen missbräuchlichen Anwender, einen Angreifer oder Strafverfolgungsbehörden[57] von großem Wert sein. Troncoso sagte dazu: „Ich finde es gefährlich, wenn Daten über Events in einer zentralen Datenbank gesammelt werden“. Denn Events könnten auch religiöse Einrichtungen, politische Versammlungen oder vertrauliche Treffen sein.[21]
Unter bestimmten Umständen könnten auch auch Nutzer de-anonymisiert und eine Historie eines Gäste-Anwenders abgeleitet werden.[58] Auch Peter Schar, bis 2013 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, kommt zur Einschätzung, dass eine Kombination aus Risikokontaktdaten und Check-In-Daten die Gefahr einer De-Anonymisierung erhöhe.[21]
Die Datenschutzaktivistin Lilith Wittmann spricht von gravierenden Mängeln im Bereich der Verschlüsselung, die sie entdeckt habe: Verwaltung der Keys im Browser sowie die fehlende Erkennbarkeit des Inhabers des jeweiligen Schlüssels.[59] Zudem wird kritisiert, dass es unter Umständen möglich sein könnte, mittels andere Daten (z. B. IP-Adressen oder Geräte-Daten) Rückschlüsse auf die Personen zu ziehen (Fingerprinting)[21].
Nach Angaben des Betreibers verfüge das System über keine zentrale Stelle, die die Daten allein entschlüsseln könne. Backend und Frontend der Gesundheitsämter lägen auf besonders gesicherten Servern des Bundes. Die kritisierte fehlende Third-Party-Zertifizierung seien der Pilot- und Modelllösung geschuldet und würde im Dauerbetrieb auf Länder- oder auf Bundesebene entfallen. Dann würde die D-Trust GmbH, Tochtergesellschaft der Bundesdruckerei, die Ausstellung und Verteilung der Zertifikate übernehmen, wie dies bereits im Fall der digitalen Einreiseanmeldung ein eingeübtes Verfahren sei.
Anonymität
Der Hersteller wirbt auf seiner Website[60] mit einer „anonymen, sicheren und digitalen Kontaktdatenübermittlung“, die ausschließlich von den Gesundheitsämtern entschlüsselt werden könne. Da den Gesundheitsämtern die Zuordnung von Daten zu einer Person möglich ist, kann tatsächlich lediglich von einer Verschlüsselung gesprochen werden.[61]
Ein System, das den Anforderungen der Anonymität gehorcht, kann prinzipbedingt keine Daten für eine Kontaktnachverfolgung liefern, weil personenbezogene Daten nicht erfasst und nicht gespeichert werden können. Ein solches System stellt z. B. die Corona-Warn-App (s. o.) dar. „Eventuell wären noch eine weitergehende pseudonyme Nutzung und weitere Verbesserungen möglich“, sagte der frühere Datenschutzbeauftragte Schleswig-Holsteins.[62]
Unklare Angaben in der Datenschutzerklärung
Kritiker bemängeln, die Datenschutzerklärung wäre in Teilen unklar. So könnten gem. der Datenschutz-Erklärung der App Fingerprintdaten (s. o.) zur Verfügung gestellt werden, die bei einer Übertragung abgefangen werden könnten. Befürworter der App halten dem entgegen, dass es ohne einen Austausch von Daten zwischen Gästen, Location-Betreiber und Gesundheitsämtern keine Kontaktpersonenverfolgung möglich wäre.
Mangelnde Kompatibilität
Zudem wird kritisiert, dass das System nicht für alle Smartphones kompatibel sei.[52] Dem halten die Befürworter entgegen, dass die App für Android und iOS verfügbar sei und mit Webinterface und Schlüsselanhängern Methoden für Menschen angeboten würde, die über kein oder kein kompatibles Smartphone verfügen.
Anmeldung mit falschen KontaktdatenBearbeiten
Laut Rostock-Heute soll es in im Webinterface problemlos möglich sein, sich mit falschen Kontaktdaten anzumelden, man könne „auf die Verifizierung sogar komplett verzichten“.[63]
Geofencing
Luca nutzt Geofencing, durch das sich die Anwendung an Orten automatisch ausbuchen kann. Viele Datenschützer und IT-Sicherheitsexperten sehen diese Funktion aufgrund der damit verbundenen laufenden Positionserfassung kritisch.[64] Nach Kritik wurde diese Funktion als optional dargestellt, wobei unklar blieb, wie man sich alternativ von Veranstaltungsorten abmeldet.
Vergabeverfahren
Kritik gibt es auch beim undurchsichtigen Vergabeverfahren und die Einigung zwischen Bund und Ländern, sich bezüglich der Corona-Kontaktverfolgungslösung auf lediglich ein System festzulegen. Hiermit geht auch der Vorwurf einer möglichen Monopolstellung der Luca-App einher. Die Lizenz der Luca-App für das Land Mecklenburg-Vorpommern wurde ohne Ausschreibungsverfahren für knapp 440.000 Euro erworben.[65][66]

> https://de.m.wikipedia.org/wiki/Luca_(App)
 
Antworten
14. April 2021 um 17:06
Ich fass es nicht
https://www.journalistenwatch.com/2021/0...uter-club/
„Während Ikea und Co. die sogenannte Luca-App des System-Rappers Smudo heftigst als Corona-Heilsbringer bewerben, warnt der Chaos-Computer-Club (CCC) vor der Trackingsoftware, die via „zwielichtige Vergabepraxis“ eigentlich nur von der „Strahlkraft“ der Werbe-Ikone Smudo zeuge. Luca habe „gravierende Sicherheitslücken“. CCC fordert die Verantwortlichen des „staatlich subventionierten Geschäftsmodells“ zur lückenlosen Aufklärung auf. Die App müsse sofort aus dem Verkehr gezogen werden.“
Corona-Tests aus dem Supermarkt, Corona-Apps von irgendwelchen Rappern (20 Mio war mal wieder der Preis. Mein Gesundheitsamt sagt: Schrott, schon die SAP/RKI-App auch 20 Mio).
Die Politik ist komplett meschugge. Spahn, geh zurück auf Gefängnis.
 
Antworten
Spahn - Corona-Testergebnisse sollen per App vorzeigbar werden

Die Menschen in Deutschland sollen nach dem erhofften Abebben der dritten Corona-Welle auch mit Hilfe von Testergebnissen auf dem Smartphone einkaufen oder zu Veranstaltungen gehen können. „Wir wollen es im Laufe des Aprils schaffen, dass die Testergebnisse dann auch auf der Corona-Warnapp gespeichert werden können und zur Verfügung stehen“, sagte Bundesgesundheitsminister Jens Spahn (CDU) am Montag in Berlin bei der Eröffnung einer neuen Station für kostenlose Bürgertests. „Dafür braucht es Schnittstellen, dafür müssen wir die Systeme vernetzen.“

Man brauche die Testergebnisse ja dann möglicherweise, „wenn wir testgestützt öffnen, für den Einzelhandel, für die Außengastronomie, für Theater oder auch Fußballspiele“, sagte Spahn. „Dafür ist diese digitale Anbindung.“ Spahn sagte: „Das ist der Teil, der kommt, wenn wir diese dritte Welle gebrochen haben.“

> https://www.tagesspiegel.de/wissen/coron...60996.html
 
Antworten
Luca-App: Fachleute warnen vor "massivem Missbrauchspotential"

30. April 2021 Redaktion Telepolis

Hunderte Experten wenden sich in einem offenen Brief gegen den Einsatz der privaten Luca-App zur digitalen Kontaktnachverfolgung. Hier ihre Argumente
Die Debatte um die private Luca-App zur Kontaktnachverfolgung reißt nicht ab. Schwere Fehler bei Programmierung und Design sowie Millionensubventionen des Bundes für ein Produkt, dessen Datensicherheit und Funktionalität von Fachleuten vehement in Frage gestellt wird, werfen nach wie vor Fragen auf. Ebenso wie der Umstand, dass einige Landesregierungen den bekannten Problemen zum Trotz auf eine Verwendung der App drängen.
Telepolis hat das Thema zuletzt in mehreren Beiträgen unseres Autors Markus Feilner verfolgt, der zudem ein ausführliches Interview mit dem Geschäftsführer des Berliner Start-ups Nexenio, Patrick Hennig, führte.
Hier nun dokumentiert Telepolis eine gemeinsame Stellungnahme von bislang fast 300 Fachleuten, die sich gegen die Verwendung der Luca-App wenden.
Digitale Werkzeuge, wie Apps zur Kontaktnachverfolgung, können einen unterstützenden Beitrag zur Bewältigung einer Pandemie leisten. Um ihr Potential voll entfalten zu können, müssen solche Werkzeuge zielgerichtet in eine Gesamtstrategie eingebettet werden und das Vertrauen der Bevölkerung genießen. Wenn durch ihre Einführung auch neue Risiken für Bürger:innen und Gesellschaftsgruppen entstehen, muss ihr Nutzen gegen diese Risiken abgewogen werden.
Vor einem Jahr haben mehr als 600 internationale Wissenschaftler:innen in einem offenen Brief an ihre Regierungen appelliert, Technologien zur digitalen Kontaktverfolgung verantwortungsbewusst und zielgerichtet zu entwickeln und einzusetzen. Dabei wurde die Einhaltung grundlegender Entwicklungsprinzipien gefordert, die in Deutschland mit der Corona-Warn-App größtenteils vorbildlich umgesetzt wurden:
  • Zweckbindung: Das einzige Ziel muss die Pandemiebekämpfung sein. Eine Verknüpfung mit anderen Geschäftsmodellen, Anwendungsmöglichkeiten und Profitinteressen muss ausgeschlossen, idealerweise technisch unmöglich sein.
  • Offenheit und Transparenz: Fachleuten, IT-Sicherheits- und Datenschutzexpert:innen muss frühzeitig die Möglichkeit gegeben werden, sich konstruktiv am Entwicklungsprozess zu beteiligen oder diesen unabhängig zu begutachten.
  • Freiwilligkeit: Die Nutzung bestimmter Werkzeuge zur digitalen Kontaktverfolgung muss freiwillig sein. Bürger:innen, die das Werkzeug nicht benutzen möchten, dürfen nicht von sozialen Aktivitäten, dem Zutritt zu öffentlichen Gebäuden, Geschäften, usw. ausgeschlossen werden.
  • Risikoabwägung: Die Beurteilung des Nutzens und der Risiken einer solchen Lösung muss im Vorfeld unabhängig und öffentlich geprüft werden können. Dies gilt ganz besonders dann, wenn der Effekt der technischen Lösung in wesentlichem Umfang auf dem Vertrauen der Bürger:innen basiert.
Der aktuell viel diskutierte Ansatz, digitale Hilfsmittel zur Kontaktnachverfolgung in öffentlichen Räumen und für Veranstaltungen einzubeziehen, erscheint sinnvoll. Richtig eingesetzt könnten sie Infektionsketten schneller unterbrechen und die Gesundheitsämter entlasten.
Konkrete funktionale Anforderungen für solch eine digitale Kontaktnachverfolgung wurden durch die verantwortlichen Behörden bislang nicht transparent und klar kommuniziert. Doch nur so ist es möglich effektive Lösungen zu entwickeln, welche einen sinnvollen Beitrag zur Eindämmung der Pandemie leisten können und dabei personenbezogene Daten nur in einem Umfang erheben, der auf das dafür notwendige Maß beschränkt ist.
Die Luca-App
Das bereits in vielen Bundesländern eingesetzte LUCA-System erfüllt keines dieser Prinzipien. Es gibt keine technische Zweckbindung, sondern es wurden bereits weitere Geschäftsmodelle basierend auf LUCA diskutiert....

mehr https://www.heise.de/tp/features/Luca-Ap...32557.html
 
Antworten


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste