MfG, GPLDie fantastische Lizenz der Luca-App

Die Macher der Check-in-App legen ihren Quellcode offen. Doch die merkwürdige Art, in der sie das zunächst taten, ruft neue Kritik auf den Plan. Nun wurde rasch nachgebessert, doch Vertrauen schafft das nicht unbedingt.

Smudo
Der Rapper als App-Promoter: Smudo auf der Bühne CC-BY-NC 2.0 Thomas Helbig

Die Macher der Check-in-App Luca haben erstmals den Quellcode ihrer App für Android veröffentlicht. Sie reagieren damit auf Kritik, ohne Offenlegung könne die Sicherheit der App nicht richtig überprüft werden. Doch auch mit der Art, wie sie nun den Quellcode öffentlich zugänglich machten, ernten die Macher Gegenwind.

Eine massive Werbekampagne hatte in den vergangenen Wochen einen Hype um die Luca-App entfacht, befeuert vom Engagement des Rappers Smudo von den Fantastischen Vier. Die von der Firma NeXenio entwickelte App vermeldete hunderttausende Downloads, bald darauf kündigten die Bundesländer Berlin und Mecklenburg-Vorpommern an, auf die Dienste Lucas zu setzen.

Doch die Lizenz, unter der die Macher der App den Quellcode zunächst veröffentlichten, sei die „schlimmste […], die wir seit Langem gelesen haben“, kritisieren die Hacker:innen von Zerforschung. Mögliche Sicherheitsprüfungen der App würden durch die restriktive Lizenz eingeschränkt.

In der ersten Version der Lizenz von gestern Abend hieß es noch, der Quellcode dürfe ausschließlich für persönliche, nicht-kommerzielle Zwecke verwendet werden. Er dürfe nicht anderweitig vervielfältigt, geteilt oder auf einem öffentlichen Netzwerk wiedergegeben werden.

Die Bedingungen seien ein Ausschlussgrund für viele Sicherheitsforscher:innen, die sich an einen Audit der Luca-App wagen könnten, kritisiert Zerforschung. Es sei unklar, ob die Beschränkung auf persönliche Zwecke unabhängige Organisationen ausschließe. Auch könne die Beschränkung auf nicht-kommerzielle Zwecke selbst Forschungsgruppen ausschließen, die bloß über ihre Website Spenden sammelten. Und das Verbot der Wiedergabe in öffentlichen Netzwerken könne bedeuten, dass selbst schon das Teilen von Screenshots des Quellcodes auf Twitter dagegen verstoße. Die Linken-Politikerin Anke Domscheit-Berg schrieb auf Twitter, die Macher der App machten sich damit lächerlich.

Die Macher änderten rasch die Lizenz

Mittlerweile hat sich die Lizenz verändert, die App steht nun nicht mehr unter einer sogenannten „Eingeschränkten Lizenz“, sondern unter der Gnu General Public License 3, die häufig für freie Software genutzt wird. In den Anmerkungen auf Gitlab heißt es: „Update from temporary to open source license“.

Insgesamt wirkt die Veröffentlichung des Codes wie eine lästige Pflichtübung für die Macher. Noch Anfang des Monats hatte der Mitgründer und Altrapper Smudo wissen lassen, quelloffenen Code werde es dann geben „wenn wir Raum dafür haben“.

Für Aufsehen hatten zunächst auch Vorwürfe gesorgt, dass im Quellcode der kommerziellen Luca-App auch Open-Source-Komponenten Dritter zum Einsatz kommen. Diese Arbeit anderer sei nicht als solche gekennzeichnet, was einen mutmaßlichen Verstoß gegen die Lizenzen dieser Code-Teile darstelle, schrieb der IT-Unternehmer Ralf Rottmann auf Twitter. Auch sei unklar, ob es noch eine Datenschutzfolgeabschätzung für die App geben werde.

Die Macher von Luca betonen auf Anfrage von netzpolitik.org, auf die Kritik gegen die „Eingeschränkte Lizenz“ rasch reagiert zu haben. Was die Vorwürfe angeht, Code-Teile anderer lizenzwidrig verwendet zu haben, räumt Mitgründer Patrick Henning „Fehler“ ein. „Dies haben wir umgehend korrigiert und sind mit dem Autor im direkten Austausch.“ Auf die Veröffentlichung des Quellcodes für Android soll in den kommenden Tagen auch der für iOS folgen. Auch eine Datenschutzfolgenabschätzung sei geplant, sie werde nach der Abstimmung mit Datenschutzbehörden veröffentlicht.

App statt Stift und Papier

Die Luca-App soll ein Problem lösen, das die deutsche Politik geschaffen hat. Die Corona-Verordnungen der Bundesländer erlegen Lokalen und Veranstaltungsorten die Verpflichtung auf, Kontaktdaten ihrer Gäste für die Kontaktnachverfolgung zu sammeln. Bislang lief das an vielen Orten häufig mit Stift und Papier, was für hunderte Beschwerde bei den Datenschutzbehörden sorgte.

Bei Luca können sich Nutzer:innen mit ihrem Namen und ihren Kontaktdaten anmelden, über die App können sie sich dann bei Betreten eines Ortes über den QR-Code einchecken. Die Daten werden dann verschlüsselt zentral auf Servern der App gespeichert. Wird eine Person später positiv auf Covid-19 getestet, kann sie dem Gesundheitsamt eine Liste aller Orte freigeben, die sie in den vergangenen 14 Tagen aufgesucht hat. Wer dann zum selben Zeitpunkt anwesend war, wird gewarnt und zur Selbstisolation aufgefordert.

Doch von Anfang an gab es Kritik an der App. Ein Forschungsteam der Universität EPFL in Lausanne zeigte in einer Analyse auf, dass die zentrale Speicherung von Daten auf den Servern der Luca-Betreiber ein potentielles Sicherheitsrisiko darstelle. Auch könnten Nutzer:innen zu leicht de-anonymisiert werden. Wer das zentralisierte System nutze, müsse den Versprechen der Betreiber über Sicherheit und Anonymität vertrauen.

Inzwischen könnte Luca von einer mächtigeren Konkurrentin überholt werden: Die deutsche Corona-Warn-App, die bislang mehr als 26 Millionen Mal heruntergeladen wurde, erhält in ihrem nächsten Update ebenfalls die Funktion, per QR-Code an Orten einchecken zu können. Das soll bereits nach Ostern ausgerollt werden.

Die Macher von Luca sagen, ihr Zugang mit zentraler Datenspeicherung sei ein Feature, kein Bug. Denn dadurch bleibe anders als bei der Corona-Warn-App nicht den Nutzer:innen selbst überlassen, ob sie auf die Meldung eines Infektionsrisikos reagieren wollen oder nicht. Seine Firma rechne mit weiteren Aufträgen von Behörden und sei dafür mit zehn oder zwölf Bundesländern im Gespräch, sagt Luca-Schöpfer Henning. Dass das nicht ohne größere Debatten ablaufe, sei ihm allerdings klar.

10 Ergänzungen

  1. Statt die Funktionen in die CWA zu integrieren, wird hier die Lobbyarbeit wieder belohnt. Man hätte ja auch sagen können „schön gemacht, wer es nutzen will, kann das tun, die offizielle App ist aber die CWA und die bekommt auch die Funktionen“ – hat man aber nicht. Statt dessen lizensieren jetzt Bundesländer Luca Lizenzen? Von anderen Anbietern / offenen Lösungen / Alternativen wird nicht einmal gesprochen. Luca hat ja nicht das Rad neu erfunden – im Gegenteil. Wie jetzt auch mit dem Lizenzdebakel deutlich wird, ist da alles mit der heißen Nadel zusammengewürfelt und man hat sich hemmungslos bei offenen Paketen bedient und von bestehenden Anwendungen abgekupfert. Erst jetzt, wo vermutlich schon das erste Geld geflossen ist, kommt nach das nach heraus. Lobbyarbeit und Klüngelei vom Feinsten.


  2. Bitte meinen vorherigen Beitrag löschen, zu viele Tippfehler, ich bin wütend!

    Das Narrativ ist hier wichtig!

    Es handelt sich hier um keinen Lapsus oder Flüchtigkeitsfehler. Kein Sorry, kann passieren!
    Der Code wurde händisch und bewusst verfremdet, Whitespaces und Positionen verändert. die fehlenden Lizenzen aktiv entfernt. Wir sind hier bei Heimtücke und Vorsatz!

    Es ist schon ein starkes Stück gegen die BSD-Lizenz zu verstossen. Diese erlaubt einem ziemlich alles bis auf das Entfernen der Lizenz. Großartiger Job! Was macht die Bude nochmal hauptberuflich? Software-Development?

    Und denen soll man besonders schutzwürdige Gesundheits- und Verhaltensdaten anvertrauen?
    Und again, Salami-Hinhalte Taktik, kein aktiver Versuch Transparenz zu schaffen, nur das sagen, was nicht mehr ohne als Lügner bezichtigt zu werden, gerade noch geht?

    Im Code wimmelt es von nachträglichen Verbesserungen. Da waren hardcoded Passwörter, Versionssprünge von v1 zu v3 und noch so viel mehr Schmus ohne einen Nachweis, wie der Entstehungsweg war. Ein CI, Best-Practise bei moderner Software, fehlt! Es lässt sich noch nicht mal der Entwicklungsweg nachvollziehen da Commits, PRs, Merges und sogar Tags fehlen.

    Das ist vergleichbar mit einer Mathematik-Klausur in der Schule wenn jemand nur das Ergebnis abliefert ohne den Rechenweg zu zeigen. In jeder Schule gibt es für sowas ein „mangelhaft“ wenn nicht gar „ungenügend“.

    Eine Datenschutzfolgeabschätzung fehlt bis heute…

    1. > Der Code wurde händisch und bewusst verfremdet, Whitespaces und Positionen verändert. die fehlenden Lizenzen aktiv entfernt. Wir sind hier bei Heimtücke und Vorsatz!

      Hier sollte fairerweise angemerkt werden, dass zumindest die Formatierung wohl durch eine andere Linterkonfiguration entstanden ist. Den restlichen Punkten pflichte ich vollends bei, gerade bei Smudos überheblichem, inzwischen gelöschten, Tweet zu „über MannMonate entwickeltes Intelectual-Property“ .

  3. Dass das Einfügen der GPL nur eine lästige Pflichtübung war, sieht man auch daran, dass in der Lizenz noch der nicht zur Lizenz gehörige Anhang „How to Apply These Terms to Your New Programs“ enthalten ist, der den Programmmachern helfen soll, die Lizenz an ihr Programm anzupassen.
    Auch im Readme steht noch „Limited Licence see licence file“.

    1. Erinnert mich an die Datenschutzhinweise meines Hausarztes, bei der ebenfalls alle Textfelder noch die Formularbefüllung haben. Nicht, dass ich das angemerkt hätte. Der hat genug zu tun.

  4. Man sollte auch sehen, dass die Wirte per Gesetz derzeit immer noch gezwungen werden, die Adressen zu „notieren“. Dieses Gesetz ist zu einer Zeit gemacht worden, als es keinen anderen Weg als „telefonieren“ oder „anschreiben“ zu geben schien, um Betroffene zu informieren.
    Das man auch völlig anonym Betroffene informieren kann zeigte erst die CWA.
    Es ist also der Gesetzgeber gefordert, das Gesetz der modernen Technik anzupassen.

    Und wer sagt, das jemand ja kontrollieren muß, ob der Betroffene zum Test geht, gehört zu der Gruppe Menschen, die beim Schild „2m Höhenbegrenzung“ schaut, ob irgendwo die Polizei steht und wenn nicht, mit seinem 2,2m-Camper hinten dran Gas gibt um den Umweg zu sparen…

    Druck erzeugt Gegendruck. Und den können wir geade jetzt nicht brauchen.

    1. Das Gesetz zum Infektionsschutz wurde seit letztem Jahr mehrmals (3 mal?) angepasst. Da hätte man Gelegenheit gehabt eine digitale Lösung einzufügen.

      1. Diese digitale Lösung hat jetzt zumindest ein Bundesland eingebaut.
        Es schreibt, im „Gesetz“, explizit(!) die Luca-App vor.

        Kann mich mal wer kneifen? Das kann doch nur ein Alptraum sein, nicht die Realität?
        Drehen die alle durch? Jetzt, vor der Wahl?

  5. Nicht therapierbar.

    Falscher Prozess, falsche Leute, falsche Interessen, falsche Ausrichtung, falsche Technik…

    In Software kann man ja „alles“ machen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.