Luca-AppDer Rapper als Retter in der Not

Wenn Bundes- und Landesregierungen schon verschlafen, nach einem Jahr selbst eine digitale Kontaktverfolgung für Restaurants und Veranstaltungen an den Start zu bringen, dann sollte wenigstens die Lösung, die sie jetzt allen empfehlen, Open Source sein. Ein Kommentar.

Smudo bei Konzert
Im Glanz der deutschen Beastie Boys lässt sich ganz gut eine App vermarkten. Smudo bei einem Konzert 2014. CC-BY-SA 3.0 Stefan Brending

Dass Politiker:innen sich gerne mit Smudo von den Fantastischen Vier schmücken und ablichten lassen, ist eine Sache. Eine ganz andere Sache ist, eine App für den Allgemeingebrauch zu beschließen, zu empfehlen und zu bezahlen, die keinen offenen Quellcode hat.

Niemand hat etwas dagegen, wenn private Firmen Lösungen für gesellschaftliche Probleme programmieren. Schwieriger wird es, wenn eine solche App vom Staat quasi zum Standard erklärt wird und eine Art Nutzungspflicht entsteht. So wie das jetzt bei „Luca“ der Fall werden könnte, wenn der Einsatz der App in Kürze schon beschlossen wird.

Public Money? Public Code!

Dann will ich als Bürger schon genau wissen können, was in der App passiert und was diese macht. Gerade bei sensiblen Daten, die Rückschlüsse auf Gesundheit und Aufenthaltsorte geben. Dann will ich schon wissen, was das Geschäftsmodell ist. Und wenn der Staat für eine private App, die alle nutzen sollen, viel Geld ausgibt, dann muss der Programmiercode einfach öffentlich werden.

Es müssen alle davon profitieren, nicht nur irgendein Startup in Berlin, das es geschafft hat, einen deutschen Beastie Boy an Bord zu haben, der gegen Open Source pöbelt (Archiv-Link). Dann müssen Anforderungen wie Datensparsamkeit, Datenverarbeitung in Europa und Barrierefreiheit gelten. Dann muss überprüfbar sichergestellt sein, dass die Daten aus der App wirklich nur bei den Gesundheitsämtern landen und nicht bei Polizeien, die für irgendwelche Ermittlungen wissen wollen, wer in einer Kneipe war.

Zwar haben die anderen Startups Recht, wenn sie vor Monopolisierung warnen, aber ihr Aufschrei ist auch scheinheilig, denn sie wollen doch auch ihre geschlossenen Apps verkaufen und teilweise auf Restaurant- und Veranstalterseite Gebühren kassieren.

Mal wieder verschlafen

Überhaupt wird jetzt wieder mal ganz viel Hoffnung in eine App gesetzt. Das lenkt davon ab, dass Deutschland gerade beim Impfen und Testen versagt und auch sonst eine Pandemiebekämpfung fährt, die vielen unverständlich geworden ist.

Es lenkt davon ab, dass die Bundes- und Landesregierungen nach einem Jahr Pandemie die einheitliche digitale und mit Gesundheitsämtern kompatible Kontaktverfolgung mit so einer App verschlafen haben. Da kommt der bekannte Rapper mit dem Startup natürlich gerade recht, den man zum Retter in der Not stilisieren kann, um nicht selber als Buhmann dazustehen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

25 Ergänzungen

  1. Es wird mir nicht klar, warum in dieser App immer noch die Vorgaben aus der Steinzeit gelten.
    Z.B. das man mindestens seine (eineindeutige, reverse auflöbare) TelefonNummer angebenen muß. Angeblich braucht das GA dieses um die Betroffenen zu informieren. Stehe ja so im Gesetz für die Gäste-Liste.

    Das CWA-Verfahren zeigt aber doch, das man dieses im Zeitalter des Smartphones nicht mehr braucht um Betroffene doch zu erreichen, ohne Adresse, ohne Telefonnummer.

    Der Veranstalter „taggt“ seinen aufgelegten QR ggf. als „Infiziert“, das Gesundheitsamt lädt diesen Hashe hoch und die Handies schauen nach, ob sie den Hash diese QR-Codes schon hochgeladen hatten und schlagen Alarm.

    Warum muß man da die Telefonnumemr haben?
    Warum muß das GA da die Quarantäne vor Ort nachprüfen können?
    Bei einer Information CWA kann das GA das doch auch nicht, oder

  2. Die App-Entwickler sind nicht gerade an Transparenz interessiert.
    Punkt 3.2.c der Nutzungsbedingungen (https://luca-app.de/app-terms-and-conditions/):

    > Der Nutzer darf nicht […] Teile der Dienste dekompilieren, im Wege des Reverse
    > Engineerings rekonstruieren, zerlegen oder auf eine andere Weise versuchen,
    > Quellcodes, Objektcodes oder zugrundeliegende(s) strukturelle Ideen, Know-how
    > oder Algorithmen oder andere Funktionsmechanismen der Dienste zu erlangen,
    > es sei denn, dies ist im Einzelfall aufgrund zwingender gesetzlicher Vorschriften
    > zulässig;

    1. Ist doch prima – im Umkehrschluss, darf ein nicht Nutzer also schon die App untersuchen?
      Abgesehen davon, dass das die AGB natürlich vom Urheberrecht gedeckt sind.

      Hätte der geneigte Nicht-User die App analysiert, hätte er z.B. gesehen, dass jedem Check-In automatisch auch die gerätespezifische MAC Adresse mitgegeben wird. Wofür auch immer.
      Und Bluetooth kommt auch zum Einsatz, obwohl nicht ersichtlich ist, wofür das gebraucht wird (Geofencing vielleicht, aber dafür ist es eigentlich zu ungenau).
      Transparenz geht jedenfalls anders.

    2. Und weiter unten noch im selben Punkt:

      „…oder (v) Penetrationstests, Schwachstellenanalysen oder andere Sicherheitsbewertungen durchzuführen oder Dritte mit deren Durchführung zu beauftragen.“

      Ich lese nicht allzu oft Nutzungsbedigungen deswegen die Frage: Sind solchen Klauseln üblich (und rechtens) bei closed source?

  3. Das passt ins Bild, selber nix auf die Reihe bringen, aber Maximalforderungen stellen. So haben wir es die letzten 12 Monate gemacht. Grundrechte werden massiv eingeschränkt, aber hauptsächlich der Datenschutz wird bis auf i-Tüpfelchen stimmig gemacht.

    Soll der Staat jetzt wieder eine Kommission bilden, die dann einen Masterplan aufstellt, wie so eine OpenSource App aussehen soll? Dann können wir auch gleich mit der Telekom-App weitermachen

    1. Bitte hier von denen reden, die hier handeln: die Regierungen und Politiker, nicht „der Staat“.

      Staatsverdrossenheit ist das Ziel der Neoliberalen und Privatisierer, zu Gunsten von Macht jenseits demokratischer und rechtsstaatlicher Kontrolle.

  4. Ich sehe es auch so wie im Artikel beschrieben. Außerdem war ja solch eine Idee ebenfalls mal für die corona App diskutiert worden. Dies könnte man ebenfalls in diese App völlig transparent einbauen.

  5. Bei der Diskussion – nicht nur hier im Artikel – fehlen drei wichtige Elemente
    1. Wenn die Gesundheitsämter über die App warnen wollen, müssen sie offenbar die SORMAS – Software nutzen. Je nach Quelle tun das aber 80 – 90 % der Gesundheitsämter hierzulande nicht. Die FAZ berichtet von 40, die WELT von 80 von 400 Gesundheitsämtern, die die Software bislang einsetzen.

    2. Ein Mehrwert der Gesundheitsämter bei der Kontaktverfolgung ist bislang nicht belegt. Auch wegen der Vorgaben der RKI, die eine effiziente Kontaktverfolgung nicht unbedingt einfacher machen: Getestet wird nur bei schweren Symptomen, Quarantäne gibt es erst nach Vorliegen eines positiven Testergebnisses.
    Da wäre zu überlegen, ob es nicht sinnvoller wäre, schnell allen potentiell Infizierten eine freiwillige Selbstisolation und freiwillige Schnelltests zu empfehlen. Wenn schwere Symptome ausbrechen sollten, kommt man sowieso über die etablierte Arzt-Test-Quarantänekette ins System.

    3. Beim Datenschutz sollte man nicht vergessen, dass es schon bisher vorgeschrieben war, Kontaktdaten bei Restaurants etc. zu hinterlegen, die im Infektionsfall ans Gesundheitsamt ausgehändigt werden (und in anderen Fällen an die Polizei). Die Frage ist, ob eine App da ein Rückschritt ist oder ein Fortschritt.

  6. Pseudointellektuelle Aluhutträger haben Angst davor, die Corona-Warn-App zu installieren, da sie dadurch ja schließlich von Angela Merkel, Bill Gates und der Neuen Weltordnung überwacht werden, aber kein Problem damit, sich irgendwelche privaten Startupprogramme mit zweifelhaften Datenschutzerklärungen aufs Handy zu laden, nur weil irgendein abgehalfterter Musikcastingjuror dafür Werbung macht. Typisch Deutschland.

    1. Naja, wenn zur Installation ein Gerät namhafter Hersteller gehört, oder Aufwand und Risiko des Rootens von Geräten… dann ist das doch schon erst einmal Kacke. Das Füttern dieser Hersteller ist auch eine schlechte Idee.

      Man hätte längst eine langlebige mikroprozessorbasierte Architektur entwerfen können (0 Kosten im Vergleich), um ein dediziertes Gerät (OSHW) von Fertigern bauen zu lassen (die können das im OSHW Bereich, teils mit eigenen Maschinen). Günstiger als ein Mobilechtkauf unter Garantie, weniger wasserdicht mit dem Standardgehäuse, aber ohne die ganzen realen Unsicherheiten, da würde sicherlich Innovation nachkommen. Das gerät kann von-bis über LED oder paper/lcd etwas anzeigen, und zur Verbindung aufrufen (App / PC). Nur das Problem des Bluetooth-Trackings selbst bleibt.

      Hier geht es nicht nur um eine Nische, sondern um die Fähigkeit und Beweglichkeit. Da daran regierungsseitig kein Interesse besteht, denke ich nicht erst an die App. Ganz aus meinen Gedanken kriege ich den PRNG unter „external functions“ allerdings immer noch nicht heraus, konnte/wollte immer noch nichts dazu finden. Telemetriedaten seitens der OS-Hersteller ist auch nicht geklärt. Insofern hier keine Euphorie, vor allem nicht in Zeiten von Lockdowns.

      1. Man hätte es in mehreren Testbatches herausgebracht, und hätte nicht „sofort“ eine PLattform gehabt. Demgegenüber steht die „sofort verfügbare Nachhaltigkeitspolitik“ der GROKO.

        1. Es gab schon den Corona-Warn-Buzzer, Test wurde durch Lockdown im Dezember wohl etwas ausgebremst. Allerdings wohl proprietär, PDF zeigt Versprechen DSGVO nur Kontakte… aber nicht so spezifisch wie bei der Corona-Warn-App (große Zone bleibt offen). Das nutzt wohl Mobilfunk, was viele offene Flanken und Kontrollunmöglichkeit bedeuten kann.

          Für Firmen gibt es auch Lösungen, die z.B. ein einem Fall bei 2,4 GHz ein eigenes Offline-Ding fahren, wo man dann Listen erstellen und rumfaxen kann. Also die Wirtschaft bewegt sich schon mit.

          OSHW wäre jetzt das Ding. Dann allerdings hätte ich gerne zwölf Stück. Die klebe ich mir dann überall dran, und wenn in der zweiten Runde statt Kupferleitband normales Krepp dran ist, dann sieht man auch wie die Dinger so anschlagen.

          Besser noch wäre Meshfähigkeit mit (Multi-/) Triangulation, und natürlich round-robin Sendeschema, für am eigenen Körper befindliche Geräte. Einmessen mit einer Pappschablone und bis zu 3 extra Geräten. Nein, die machen dann nicht alle Mobilfunk, ist doch überhaupt nicht nötig. Derzeit evaluiere ich für die einfachere Anwendung und Energieversorgung eine Exoskelett/Vollanzugslösung (also ein Art Mesh-Mech).

  7. diese Luca App ist genauso wie die Corona App einfach nur eine Beruhigungspille . Die Technologie, Sensorik und Rechenleistung um so einen leichten Infektionsverlauf realtime zu tracken um dann leztendlich erfolgreich in an seiner Ausbreitung zu hindern, ist schlichtweg nicht existent. Es wundert mich das nichtmal hierzulande in der Theorie jemand mal auf den Gedanken kommt, dieses Fantasma genauer zu durchleuchten. Nichtmal China dürfte es hinkriegen 80.000.000 realtime Movements zu tracken und daraus Korrelationen herzuleiten die nicht älter sind als 8-12 Stunden. Woher soll denn die Rechenleistung kommen ?? Ganz zu schweigen dass nichtmal eine Sensorik existent ist, die flächengreifend funktioniert. Jeder der das derzeit versucht zu verkaufen, kann in meinen Augen nur ein Scharlatan sein…

    1. Von was redest Du? Warum laesst die „Moderation“ so einen Quatsch durch?

      Ansonsten waere das Auswerten und Korrelieren von 80Mio Bewegungsprofilen Kindergeburtstag, wir leben im 21sten Jahrhundert. Nur macht das weder CWA noch Luca.

      1. Grober Überschlag vielleicht?

        Z.B. 80 Mio hoch 2 in Fussballfeldern, als Annäherung. Geht natürlich besser, deswegen ist es, naja kein Kindergeburtstag. Die Infrastruktur der Corona-Warn-App ist um Magnituden kleiner ausgelegt, als was hierfür nötig wäre. Dennoch ginge das schon, Kostenfrage bleibt natürlich.

        Dazu die Insuffizienz der sensorischen Methode… die ist schon bekannt.

        1. Die CWA ist dezentral und datenarm ausgelegt und hat daher natuerlich und willentlich keine grosse zentrale Infrastruktur. Daher ja die Frage, von was da die Rede sein soll.

          Sensorik entfaellt bei Luca ohnehin.

          1. Na das liegt daran, dass in jenem Post vielleicht einiges durcheinandergeht, bzw. im Antwortverlauf. Sie können einen Rant unangreifbarer machen, indem Sie 1. nicht noch ein oder zwei Fässer aufmachen, die Kritik konkret formulieren, oder fragen z.B. „Die Luca app macht XYZ nicht, meinten Sie das etwa?“ – dann warten sie auf die Antwort, dann gegebenenfalls Kartätschn.

            – Ansonsten –

            Geht es um Bewegungsprofile, geht es um die Bluetoothmethode, oder nur um Luca (Zsh. Kindergeburtstag… wohl um Bewgungsprofile und CWA)?

            Die CWA läuft auf Apple und Google.
            1. Telemetriedaten ungekannter Natur. Wo war noch der gesetzliche Rahmen bzgl. der Rückverfolgung von Kontakten mittels Apps? Wie hinreichend sind Kriterien für Anonymisierung in so einem Zusammenhang? Ist der Zufallsgenerator spezifiziert?
            2. Es gibt Problemstellen, bei ständigem Herumgefunke, speziell bei schlecht wartbaren Geräten. Bei Viren finden viele Impfungen gut, bei IT-Geräten verfallen sie alle (TM) wieder in Glaube und Hoffnung (bestimmt ca. 50-50).
            3. CWA Sensorikmethode Insuffizient.
            4. Gesamtnutzen (als Unterschied zu ohne) durchaus in Frage gestellt. Nur als Kür, ist nicht das wichtigste.

            Die Datensituation rund um so eine App ist nicht ganz so blauhimmlig klar. Und sie wird mit einer Zweiten nicht besser. Tatsächlich ist es nicht ganz ungefährlich sich bei diesen Sachen auf Konzerne von irgendwo zu verlassen, auch strukturell.

          2. Mit Telemetrie und blauhimmlig ist natürlich das OS, bzw. das Gesamtsystem gemeint. Das könnte hier auch in den falschen Hals…

            Dazu kommt noch kurzfristiges tracking, z.B. auch in Gebäuden – hier ist die Zuordnung ja noch viel einfacher. Hardware kostet nichts, unsichtbarm, passiv, „alle machen freiwillig mit“, Wände erlauben u.U. recht genaue Zuordnung. Das kann von in dem Gebäude „Einheimischen“ kommen, die wegen Inspektion keine extra Kameras haben wollen, könnte aber, dann vielleicht weniger passiv, auch von extern hinzugeklebt werden, dann mit Sensorknoten-Mesh und wenigen Mobiluplinks oder anderer Funk zum Kastenwagen oder zum Appartment mit dem Fenster hin.

            Eine Stadt zuzupflastern ist natürlich teurer, und der Nutzen so-la-la. Allerdings gibt es kapablere Antennen, dann Triangulation. Eher was für Geheimdienste, die ohne Infiltrierung arbeiten wollen, oder in speziellen Fällen Syndikate und „Nerds“.

            Sollte der Zufall Mist sein, ist es eine tolle Methode, dann stehen garantiert überall Antennen. Und noch einen drauf: erwartet ihr nicht, dass zumindest grob das RF Spektrum überwacht wird, auch um Gefahren zu erkennen? Vielleicht gibt es längst einen verwendbaren Antennenwald, dann eben vom Freunddienst.

  8. Quelloffenheit der App wäre jetzt eigentlich schon das Minimum. Wegen der erwarteten Menge an Nutzern und der verschiedentlichen Problematiken. Je nach dem gehört auch die Serverseite (/x) dazu.

    Beim Papier kann man gucken und fragen, wie die das Händeln. Schreddern die das immer schön nach X Tagen, kann da nicht viel mehr als kurzfristiger staatlicher Zugriff oder ein verlorengegangener Karton passieren, was zumindest im Restaurant dann irgendwer mitbekommt, im Restaurant irgendeines Vertrauens natürlich. Bei einer Closed-Source-App… Halleluja.

    Ersatzreligion mit App. Phonetisch erinnert mich das an etwas, was war es noch gleich… fehlt nur noch das „die Politik“ in der breite gleich den Ernstfall, äh, Einsatz bespricht… ach Mist.

  9. Das Problem ist das diese Coronageschichte und alle Debatten drumherum gezeichnet sind von einer medialen Eingeschränkheit und damit verbunden mit einer hysterischen Angst vor „anderen“ Einflüssen, dass keine Debatten, wie wir sie eigentlich im Internet kennengelernt haben, mehr möglich sind. Alles was nicht „mainstream“ wird ausgefiltert und nicht wahrgenommen.

    Dazu muss man der Regierung gratulieren. Die Meinungshoheit ist wieder auf einen „guten“ Weg.

    Was das Thema angeht, es gibt ja seit anfang Dezember eine Quelloffene App für den Zweck. Aber nahezu niemand berichtet darüber: https://netzpolitik.org/2020/corona-warn-app-kommt-in-freien-app-store/

    1. >>> Die Meinungshoheit ist wieder auf einen „guten“ Weg.

      Mit Nebenwirkungen. Denn die Nebenwirkungen machen Ü80 Mensch teils schon sehr skeptisch. Nicht die Nebenwirkung der Nebenwirkungen, sondern sich der Desinformation freimütig bedient zu haben – mehr als de facto.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.