„Warnen Sie Ihre Bürgerinnen und Bürger vor der Luca-App“
Die Kritik an der Luca-App reißt nicht ab. Mittlerweile wurde bekannt, dass es auch bei den Schlüsselanhängern gravierende Sicherheitsmängel gibt. Der Regensburger IT-Experte Markus Feilner hat sich nun mit einem Offenen Brief an Stadtspitze und Stadtrat gewandt.
Rostock, Lübeck, Paderborn, Cuxhaven, Amrum, Sylt, Föhr, Cuxhaven: Die Liste ist lang. Alle diese Gemeinden haben – teils im fünfstelligen Bereich
Schlüsselanhänger zur Luca-App gekauft. Sie sind für jene Bürgerinnen und Bürger gedacht, die sich ohne Handy zur Kontaktverfolgung einloggen wollen. Wie neue Recherchen zeigen, ist aber völlig unklar, ob diese Schlüsselanhänger jemals funktioniert haben. Der Sprecher der AG KRITIS, eine Arbeitsgruppe von Experten, die sich mit dem Schutz kritischer Infrastrukturen beschäftigt, spricht angesichts der Probleme mit den Schlüsselanhängern von „defekt by design“.
„Erste schwere Sicherheitsmängel konnten bereits Anfang April aufgedeckt werden“, sagt der Regensburger IT-Experte Markus Feilner (hier ein ausführliches Interview mit Feilner). „Jetzt haben Sicherheitsforscher einen Fehler entdeckt, der quasi bei jedem Gast jederzeit ein ‘Alles OK’ meldete. Die Grundfunktion der Schlüsselanhänger war damit nicht gewährleistet. Unklar ist auch, wie und wo sich diese Fehler in der Praxis auswirkte, wie oft sich also Menschen deshalb infizierten.“
Fehler wie dieser kommen laut Feilner in Software immer wieder vor, werden jedoch in der Regel durch Tests abgefangen. „Das Ganze lässt erneut daran zweifeln , ob der Hersteller die Software vollumfänglich getestet hatte, also ob die Schlüsselanhänger funktionieren.“ Es ist ein weiterer Punkt von vielen, die Fachleute an der Luca-App kritisieren. Feilner hat nun einen Offenen Brief an die Regensburger Stadtspitze und sämtliche Mitglieder des Stadtrats geschrieben. Er warnt vor Risiken für Bürgerinnen, Veranstalter, Wirte und Unternehmen und appelliert: „Empfehlen Sie die Nutzung der Corona-Warn-App und warnen Sie vor den unklaren Umständen der Luca-App. Klären Sie die Bürger auf über Risiken.“
Bereits am 30. April hat sich Grünen-Stadtrat Daniel Gaittet mit mehreren Fragen zur Einführung der Luca-App an Oberbürgermeisterin Gertrud Maltz-Schwarzfischer gewandt (unser Bericht). Eine Antwort hat er bis heute nicht erhalten.
Wir veröffentlichen Feilners Schreiben im kompletten Wortlaut. Für Betroffene in anderen Kommunen hat Feilner einen Musterbrief erstellt (hier zum Download als ott-Datei und als PDF).
Sehr geehrte Oberbürgermeisterin,
sehr geehrte Stadträtinnen und Stadträte,
Ich schreibe Ihnen heute diesen offenen Brief aufgrund der jüngsten Berichterstattung in den Medien über die Einführung der Luca-App zur Kontaktverfolgung in Regensburg.
Die Luca-App ist gefährlich, nicht konform mit dem Datenschutz, unwirksam und kontraproduktiv. Eine Stadt wie Regensburg darf sie nicht empfehlen.
Es ist uns durchaus bewusst, dass Ihnen die Entscheidung der Regierung des Freistaats Bayern wenig Raum lässt, und dass das Gesundheitsamt diesen Dienst anbieten muss, weil bereits Lizenzen in Millionenhöhe gekauft wurden.
Dieser Schaden ist bereits angerichtet, daran lässt sich vermutlich nichts mehr ändern. Doch weitaus größerer Schaden für die Bürger und die Betriebe dieser Stadt lässt sich vermeiden.
Die Luca-App ist gefährlich, unwirksam und kontraproduktiv, Experten kritisieren Datenschutz und Sicherheit als unzureichend, auch die Beschaffung durch die Bundesländer hat an einigen Stellen große Fragen aufgeworfen. Leider ist dieses Urteil nicht in die Entscheidungen zum Lizenzkauf eingeflossen, obwohl sich Wissenschaftler bei ihren Warnungen einig sind und Studien die Schwächen und Gefahren belegen.
Gefahren drohen
- für die Bürger, weil deren Daten nur unzureichend geschützt sind und so beispielsweise umfangreiche Bewegungsprofile erhoben werden können und sogar Stalking möglich wird.
- für die Veranstalter/Wirte/Firmen, weil Haftungsrisiken bezüglich des Datenschutzes nicht ausgeschlossen werden können
- für die Veranstalter/Wirte/Firmen, weil das Geschäftsmodell unklar lässt ob die Nutzung der App auch später kostenlos ist
- für Veranstalter und Bürger, wenn etwa Adress- und Teilnehmerdaten von Veranstaltungen (z.B. Selbsthilfegruppen) frei im Internet frei zugänglich werden.
Unsinnig ist die Luca-App, weil sie Probleme erzeugt anstatt Probleme zu lösen:
- für die Gesundheitsämter, die durch die Luca-App mit großen Mengen irrelevanter Daten überhäuft würden.
- weil die datenschutzkonforme Corona-Warn-App des Bundes seit einigen Wochen fast identische Funktionen beinhaltet, ohne die Gesundheitsämter zu belasten und dabei deutlich effizienter, sicherer und schneller alarmiert.
Für alle diese Probleme der Luca-App gibt es hieb- und stichfeste Beweise, beispielsweise von den führenden IT-Security-Forschern Deutschlands. Mehr als 75Wissenschaftler, darunter auch der früher in Regensburg tätige Prof. Dr. Hannes Federrath kritisieren das Luca-Modell scharf und warnen vor dem Einsatz (Quelle 1, Quelle 2).
Auch der Chaos Computer Club wird nicht müde, vor der Verwendung der Luca-App zu warnen – zu groß sind die Fehler, Unsicherheiten und unerklärlichen Schwachstellen der Anwendung. Sogar böse Absicht möchten die Hacker nicht ausschließen. Bezüglich der Luca-App fordern die Experten eine „Bundesnotbremse“ (Quelle 3).
Studien wie die aus Weimar (Quelle 4) belegen, dass Luca den Gesundheitsämtern eher schadet als nutzt – es werden schlicht Unmengen irrelevanter Daten erzeugt, für ein fragwürdiges Geschäftsmodell. Ich selbst bin Technik- und Netzpolitik-Journalist, habe in mehreren langen Recherchen das Thema tiefgründig bearbeitet, stehe Ihnen gerne für sachkundige Informationen und Gespräche, auch mit meinem Netzwerk von Experten zur Verfügung.
Bitte lassen Sie es nicht zu, dass unsere Bürger, Veranstalter und Firmen diesen Risiken ausgesetzt werden – Hier ist mehr und deutlichere Aufklärung notwendig. Gerade die Veranstaltungs-, Event- und Gastronomiebranche braucht jede Hilfe, die möglich ist. Sie sollte nicht in den Rachen eines fragwürdigen Start-Ups geworfen werden.
Darum bitte ich Sie: Empfehlen Sie die Nutzung der Corona-Warn-App und warnen Sie vor den unklaren Umständen der Luca-App. Klären Sie die Bürger auf über Risiken.
Ich möchte Ihnen an dieser Stelle ein Gespräch anbieten und sie inständig bitten, keine Werbung (mehr) für die App zu machen. Es gilt vielmehr zu verhindern, dass in Regensburg (wie auch anderswo) ein wie auch immer gearteter, etwa sozialer oder durch Hausrecht begründeter) Zwang zur Luca-App etabliert wird. Es gibt mit der Corona-Warn-App des Bundes eine funktionierende, technisch überlegene, sichere und unbedenkliche Alternative, für die es zu werben gilt.
Vielen Dank, ich verbleibe mit freundlichen Grüßen
Markus Feilner
Mr. T.
| #
Da bin ich mal gespannt, ob oder wie die Stadt da abseits von einigen Stadträt*innen von Ribisl, Bruecke, Grünen, Linken und vielleicht der FDP reagiert…
Markus Feilner
| #
Danke fürs Veröffentlichen.
Ich hatte den Stadtoberen einen Tag Vorlauf gegeben, bevor ich das an die Presse gab und auch ein paar Antworten bekommen. Danke für und an diese engagierten Politiker!
Disclaimer:
Im offenen Brief sind noch zwei, drei kleine Fehler drin, die ich in der Vorlage korrigiert habe. Allen voran das “nicht datenschutzkonform” habe ich zu “nicht eindeutig datenschutzkonform” verändert, weil sich die Datenschutzexperten da doch noch streiten, obwohl die Sicherheits- und Softwareentwicklungsfachleute eine eindeutige Meinung haben. Aber ich möchte niemand (Beschaffer, Politiker) einen Vorwurf machen, der nicht 100% korrekt ist. Ich bin nicht beratungsresistent, schicken sie mir gerne Feedback und Korrekturen. Die Hersteller der LucaApp machen das ja auch, wir sind in Kontakt. :-)
R.G.
| #
Hallo Herr Feilner!
Meiner Meinung nach beginnt die Erklärung für die Besitzer eines Schlüsselanhängers der Luca-App genannten Warneinrichtung, bei einer Fachsprache der heutigen Computer-Kenner.
Holen Sie die Leute dort ab, wo sie stehen. Ich nehme an, dass unter den Menschen ohne Smartphone, also nur mit Warn-Schlüsselanhänger, mehr ältere Menschen sind.
Ich gebe Ihnen einen Gesprächsausschnitte mit einer geistig sehr hellen Dame wieder, sie ist an die 90 Jahre alt und steckt uns alle geistig in die Tasche.
Mein Part mit Sternchen.
*:Hast du gehört, dass es ein Gerät zur Warnung vor infizierten Personen gibt? Das soll man wie einen Schlüsselanhänger rumtragen.
A: Du meinst, ein Piepserl, wie früher bei der Polizei?
*:Ja, wie ein Piepserl oder einen Rufalarm. Was denkst du, wie das funktioniert?
A: Wie eine Rufzentrale, nur sitzt heute keine Telefonistin am andern Ende, sondern ein Computer.
* Glaubst du, dass das sicher ist?
A: Das ist sehr sicher, wenn der Richtige in der Zentrale sitzt. aber die Verbrecher sind den Erfindern immer einen Schritt voraus, das war immer so.
* Möchtest du lieber die Warn-App oder die Luca-App?
A: Unfähige Menschen sprechen verwirrend, sie erfinden lauter Fremdwörter, vernünftige Leute machen das nicht. Weshalb muss das ZWEI NAMEN haben, jeden Tag einen neuen?
* Es sind zwei verschiedene Systeme.
A: Das hättest du am Anfang des Gespräches sagen sollen, es ist nicht höflich, mich zum Narren zu machen!
Hthik
| #
@Markus Feilner 12. Mai 2021 um 11:45
“Die Hersteller der LucaApp machen das ja auch, wir sind in Kontakt. :-)”
Das “Geschäftsmodell” ist mir unangenehm vertraut: Erstmal die alpha-0.0.1-Version raushauen und kassieren. Wenn sich irgendein FOSSler beschwert, wird er’s schon richten.
Das ist ausdrücklich keine Kritik an Herrn Feilner. Dass das für den guten Zweck ist, habe ich verstanden. Mehr schreib ich dazu nicht. Was ich von Tafeln, Nachhilfe etc. halte, ist bekannt. Dass hier eine gewinnorientierte Firma den Reibach macht, macht es nicht besser. Das sei nur der Ordnung halber vermerkt. Aus ebenfalls bekannten Gründen pull ich jetzt den https://de.wikipedia.org/wiki/Der_Rest_ist_Schweigen_(Hamlet)
Stefan Aigner
| #
@RG
Der Schlüsselanhänger ist ein Schlüsselanhänger mit Code zum Abscannen. https://www.luca-app.de/schluesselanhaenger/
R.G.
| #
@Stefan Aigner
Die Dame kennt, dass sie bei den beiden Arbeitsplätzen, Polizei und Rettungsorganisation, mit dem “Piepserl” als anwesend oder abwesend registriert wurde, oder in der Wohnung rufbereit war.. Sie weiß, dass bei Diszipinarverfahren durch das Gerät überprüfbar war, wer tatsächlich am Dienstort anwesend war.
Von der Erfahrung ausgehend, kann ich oder sonst jemand an sie heran.
Ich nehme durchaus an, dass auch Politiker von dort abgeholt werden müssten, wo sie mit ihren Lebenserfahrungen stehen, und dass sie deshalb den Unterschied zwischen den beiden Apps bzw. Systemen gar nicht wahrnehmen können.
Herr Feilner erklärt ab dem Vorhandensein einer zweiten Luca App volksgerecht, aber wie es zu zweien kommt, und welche Mühe man sich bei der offiziellen machen musste in Hinsicht auf Datenschutz, bei einer privaten aber nicht, ist den Menschen nicht klar.
Piedro
| #
@RG
“…ist den Menschen nicht klar.”
Ich fürchte, das zu verstehen bräuchte es die Hirnstruktur eines Scheuer. Das Motto wird sein: denn sie wollten nicht wissen was sie tun. Die anderen müssen sich wundern, das gilt für uns und künftige Historiker. Für uns gilt allerdings auch, dass wir nicht jeden Blödsinn mitmachen müssen, den andere – warum auch immer – beschließen. Bald wird deutlich sein was für ein Ramsch da ans Volk verhökert wurde, dann jammern nicht nur die IT-Spezialisten und Datenschützer.
AVG
| #
Nict dass ich ein Fan von Luca, wäre, aber die Corona-Warn-App kann doch keine Alternative zur Luca-App sein. Bei der CWA würde im Falle eines Falles das Gesundheitsamt lange auf die Daten warten können.
joey
| #
Datenschutz: ist eigentlich jemals wer wegen DSGVO gestraft worden?
Ich komme mir oft wie der Einzige vor, der seine Kunden und Firmen nicht bei Whatsapp gespeichert hat.
Selbstverständlich würde ich keine Verfolgungs App irgendwelcher Art installieren und bin auch sonst recht sparsam mit apps. Weil ich aber nun schon etwas Lebenserfahrung habe: “die” haben unsere Daten, egal was wir ankreuzen.
liltroll
| #
Handy einfach nur mitnehmen und einschalten, wenn unbedingt nötig, keine Apps runterladen etc…. man hat es doch auch selber in der Hand, ob man sich ausspionieren lassen will oder nicht.
Klaus
| #
Spannende Sache v.a. weil heute Golem.de einen Artikel mit dem Wort “Hass” zu dem Thema veröffentlicht hat: https://www.golem.de/news/digitale-gaestelisten-woher-kommt-der-hass-auf-die-luca-app-2105-156425.html
Der Artikel ist leider voll von Marketingsprüchen des Software-Herstellers und schiebt die “Bedenkenträger” in die Ecke von ewig Gestrigen.
Die Luca-App hat aber schlicht ein grundsätzliches Problem: sie ist broken by design.
Im Versuch das verständlich mit Nicht-IT zu formulieren: Die Konzeption dieser Software hat grundlegende Fehler, die man nicht korrigieren kann ohne die Software komplett zu verwerfen und neu zu machen – mit einem Konzept das der Corona-Warn-App deutlich ähnlicher wäre… für die im übrigen auch viel Geld ausgegeben wurde, das aber im Vergleich viel besser angelegt scheint.
Und wenn wir am Ende dann mal ganz ehrlich sind: Diese ganzen Apps sind nur ein Baustein und sie werden uns nicht von allem erlösen. Und dafür dann die Datensammelwut von Regierungen und Unternehmen zu unterstützen – wie bei Luca – ein sehr hoher Preis.
Hthik
| #
@Piedro 12. Mai 2021 um 16:04
“… denn sie wollten nicht wissen was sie tun.”
Made my day.
Jürgen
| #
Hallo Markus, so gut gemeint (“nett”) und auch richtig/wichtig Dein Appell ist – glaubst Du ernsthaft, daß auch nur ein Teil der Regensburger Stadtherrschaft diesen und den Sinn desselben auch nur versteht/kapiert? Geschweige, daß er (sollte das überraschenderweise der Fall sein) sich davon beeindrucken lässt? Unsere Regensburger Herrscher beweisen uns doch laufend, daß sie sich nicht das geringste um die Wünsche/Anregungen/Ideen/Vorstellungen (usw…) ihrer Untertanen scheren. Und das tatsächlich ‘überparteilich’….
Der Zweck heiligt die Mittel. Nicht! | Zukunft statt Angst
| #
[…] Fellner, Sprecher der AG KRITIS (Expertenfür den Schutz kritischer Infrastrukturen) warnt vor der luca-AppStellungnahme von 77 Wissenschaftlern zu […]