Vor ein paar Wochen habe ich etwas zur Bedeutung von Lizenzen bei wissenschaftlicher Software geschrieben. Hätte nicht gedacht, dass mir ein Rapper mit seiner Firma mal vor Augen führen würde, dass diese Dinge auch im nicht-wissenschaftlichen Alltag eine Rolle spielen würden. Nämlich dann, wenn es um Privatssphäre und digitale Sicherheit geht.

Das Hin- und Her zur “luca App” habt ihr sicher mitbekommen. Einer App fürs Handy, welche die Zettelwirtschaft in Kultur und Gastronomie bei Erfassung der Kundschaft und all dem Ärgen rund um datenschutzrechtlichen Hickhack lösen soll. Da der  Quellcode zunächst nichtöffentlich war, gab es die Forderung dies zu ändern. Smudo, der die Entwicklung der App unterstützt, habe ich zu verdanken gelernt zu haben, das man “für open source manpower und service braucht“. Vielleicht hat man ihn diesem Unsinn geflüstert? Aber da ich das schon häufiger gelesen habe, möchte ich kurz sagen: Nein, dass stimmt nicht. Auch Firmen können quelloffene Software entwickeln und dennoch damit Geld verdienen. Es bedeutet für diese prinzipiell keine zusätzlichen Kosten. Auch im nichtöffentlichen Bereich ist für Quellcodemanagementsysteme zu zahlen – entweder auf eigenen Servern oder für den Service (und das nicht mal zwingend). Der “Extra-Service” wird von den Nutzern erbracht, welche die Firma auf Fehler im Code hinweist. Diese korrigiert die Fehler, was sie ohnehin hätte tun müssen – aber vielleicht später erst.

Nun gibt es für Firmen viele gute Gründe ihre Software nicht öffentlich zu machen, weil sie sonst ihr Geschäftsmodell torpediert sehen. Das Fass möchte ich hier gar nicht aufmachen! Aber wer eine App wie die luca App unters Volk bringen möchte, erwartet einen großen Vertrauensvorschuss. Klar ihr installiert nutzt auch facebook-, SPON-, twitter-Apps und Vieles mehr ohne je darüber nachzudenken, was mit euren Daten geschieht (nicht ihr alle, die ihr als vielleicht technik-affine Leser scienceblogs mitlest, aber doch genügend viele, um generalisieren zu dürfen). Die Luca App jedenfalls erlaubt einen weiteren Blick in das Privatleben der Nutzer: Hier werden Zeit und Ort eines Aufenthalts an einem zentralen Ort gespeichert. Das erlaubt eine gute Kontaktnachverfolgung, Warnung derjenigen, die sich in der Nähe von Infizierten aufhielten, Weitergabe an das Gesundheitsamt und somit eine etwas bessere Bekämpfung der Pandemie. Eine prima Sache.

Persönlich finde ich dann aber auch das Interesse legitim die App (und die zentralen Server) auf mögliche Sicherheitslücken testen zu wollen. Dazu muss die Software zunächst einmal öffentlich sein. Das ist sie inzwischen. Und nach einigem weiteren Hick-Hack, der zeigte, dass die Macher hinter der App erst einen Lernprozess durchlaufen mussten, auch mit einer Lizenz, die es ermöglicht die Software zu testen.

Das ist essentiell. Doch auch jetzt noch sprechen die Issues, welche die Leute aufmachen Bände:

Auch die Sicherheitsaspekte bei der zentralen Speicherung werden hinterfragt. Eine detaillierte Stellungnahme der Firma ist mir hierzu nicht bekannt – euch vielleicht?

Nun zahlen eine ganze Reihe von Bundesländern Geld für die Nutzung der App, die für Endnutzer auf ihren Geräten frei ist. Auch mein Bundesland denkt wohl darüber nach und teilt mit:

Ziel ist, eine bundeseinheitliche Lösung zur digitalen Kontaktnachverfolgung zu schaffen. Dies haben die Ministerpräsidentinnen und Ministerpräsidenten Anfang März vereinbart. „luca“ ermöglicht nicht nur die Erfassung von Kontaktdaten, sondern im Infektionsfall auch eine einfache, verschlüsselte Übermittlung der Daten an die Gesundheitsämter und eine automatische Information der Bürgerinnen und Bürger über Risikokontakte in der App. Die angegebenen Kontaktdaten können dabei nur von den Gesundheitsämtern eingesehen werden. Weder „luca“ noch die Veranstalter können die Kontaktdaten lesen. Luca ist zudem für Gastronomie und Gäste kostenlos, die Kosten übernehmen Bund und Länder. „luca“ wird natürlich ständig weiterentwickelt.

Ein hehres Ziel, dass ich im Kontext der Pandemie (und nur da!) nicht hinterfragen möchte. Und womöglich ist Luca zur Pandemiebekämpfung auch besser als das anstehende Update der Corona-App des Bundes, welches auf die Weitergabe der Daten verzichten will. Aber habt ihr auch in euren Verträgen das Recht auf Kontrolle, Nachbesserungen und Service vereinbart? Vielleicht schon:

Die Sicherheit Ihrer Daten ist uns sehr wichtig. Bei luca sind die Daten deshalb verschlüsselt auf ISO-27001 zertifizierten Servern der Bundesdruckerei in Deutschland gespeichert. Eine Einsicht in die Daten erfolgt nur im Infektionsfall und nur durch die Gesundheitsämter. Nicht benötigte Daten werden gelöscht. Zudem stehen unsere IT-Dienstleister im ständigen Austausch mit luca, um das System noch sicherer zu machen. Die Landesregierung hat zudem darauf hingewirkt, dass das Sicherheitskonzept und der Quellcode von „luca“ veröffentlicht werden und so ständig verbessert werden können. Mehr Informationen finden Sie hier: https://www.luca-app.de/system/.

Und auch die Anbindung an die Software der Gesundheitsämter scheint mit bedacht:

Die Gesundheitsämter sind nicht eingebunden und können die CWA zur Nachverfolgung von Infektionsketten daher nicht einsetzen. Dies ermöglicht aber „luca“, welches über direkte Schnittstellen zu den Gesundheitsämtern und eine Anbindung zur Kontaktnachverfolgungssoftware SORMAS verfügt. Anders als die CWA kann „luca“ zudem ohne Smartphone oder die App genutzt werden.

So lange aber lediglich auf eine Zertifizierung der Server (immerhin nicht die der Herstellerfirma, sondern einer Firma des Bundes) hingewiesen wird (das genannte Zertifikat ist ja nicht per se schlecht) und die Prozesse unbekannt sind und so lange die Installation der eigentlichen luca App mit so vielen Unklarheiten verbunden ist, werde ich abwarten. Die Inzidenzentwicklung wird mir Zeit geben, meine Einschätzung der luca App auf bessere technische Grundlagen zu stellen. (Leider bin ich selber nicht nicht in der Lage die Sicherheit von Java-Mobile-Apps zu testen – abgesehen von der fehlenden Zeit.) So schnell wird in meiner Region die (Aussen-)gastronomie nicht wieder geöffnet. Ich hoffe sehr, dass die teils harsche Kritik die Macher hinter der Software sensibilisiert hat: Transparenz ist wichtig und Entwicklung, welche die Kritik aufnimmt muss sichtbar werden (z. B. hier), wenn man Akzeptanz will.

Vielleicht hat hier jedoch jemand mehr Verständnis vom Code und kann Input geben?

flattr this!

Kommentare (25)

  1. #1 Jan
    10. April 2021

    So lange aber lediglich auf eine Zertifizierung der Server (immerhin nicht die der Firma, sondern des Bundes) hingewiesen wird …

    Auf der Webseite des Landes heißt es, dass es sich um Server der Bundesdruckerei handelt, nicht des Bundes. Die gehört zwar seit 2009 wieder dem Bund, ist aber trotzdem “nur” eine privatwirtschaftliche GmbH.

    • #2 Christian Meesters
      11. April 2021

      Danke. Alter Fehler von mir zu denken “gehört dem Bund, ist Behörde” ;-). Die Kapitel rund um Vergabeverfahren, Zahlungsflüsse und sich daraus ergebende Einflussnahme (oder auch nicht ausgeübte Rechte) finde ich durchaus auch brennend interessant. Mal schauen, was da noch kommt.

  2. #3 sino
    11. April 2021

    Hier ein tweet zum Thema aus der Sicht eines Softwareentwicklers, der im thread (wie üblich) auch kontrovers gesehen wird.

    Off topic Randnotiz: Bemerkenswert auch sein Hinweis auf Mary Mallon, was mich irgendwie an „asymptomatische Übertragung“ von Corona heute erinnert, auch wenn der Vergleich Typhus (Bakterien) mit Covid (Viren) wie Äpfel & Birnen etwas hinkt (bin kein Mediziner, man sehe mir da nach).

    • #4 Christian Meesters
      11. April 2021

      Sehe ich genau so, wie Kristian Köhntopp (tweet) – solche Analogien sind manchmal schön, um eine Message rüber zu kriegen, ob sie so exakt sind finde ich offengestanden zweitrangig. Danke für den Link.

  3. #5 Takeshi Watanabe
    Norderstedt
    11. April 2021

    Moin 🙂

    Hier zwei Links, die erschöpfend beschreiben, was von der luca-app zu halten ist:

    Telepolis
    https://www.heise.de/tp/features/Die-Luca-App-Dilettantisch-und-sinnlos-6007111.html

    Danisch – Ansichten eines Informatiker
    https://www.danisch.de/blog/2021/04/07/heise-die-luca-app-dilettantisch-und-sinnlos/

    Dann mal viel Spass mit der luca-app.

    MfG,
    Takeshi

    • #6 Christian Meesters
      11. April 2021

      Der “Spaß” besteht ja darin zu beobachten, wie (naturgemäß) inkompetente Entscheider (welche Politiker kennen sich denn mit IT aus?) derjenigen Firma Geld in den Rachen werfen, die das beste Marketing (bestehend aus Talkshowauftritten inkompetenter Werbeträger und unkritischer Journallaie) hat.

      Bisheriges Fazit: Trotz Veröffentlichung des Codes immer noch keine Besserung des Verhaltens und der Prozeduren in Sicht.

  4. #7 Ichbinich
    11. April 2021

    Ganz ehrlich: ich verstehe nicht, was hier das Problem ist.
    Wir sitzen seit mehr als einem Jahr in einem “mehr oder weniger” – Lockdown und kriegen es immer noch nicht auf die Reihe, irgendeine sinnvolle Kontakt-Nachverfolgung zu machen – und die vom Bund bezahlte APP ist komplett nutzlos. Währenddessen kann man in Israel komplett digital im Café einchecken und hat auch seinen Impfpass dort.
    Jetzt gibt es eine (privat bezahlte) App, die wohl papierlose Nachverfolgung möglich macht und es sind wieder alle nur am meckern. Und das, weil da vielleicht irgendwelche Kommentare im Code gelöscht wurden und irgendwelche Lizenzen nicht beachtet wurden.

    Seht ihr nicht, dass wir hier dem Datenschutz einen Bärendienst erweisen? Mag sein, dass in der Pandemie sich der Datenschutz durchgesetzt hat und “wir” es geschafft haben, dass Daten nicht zentral gespeichert werden, Lizenzen beachtet werden etc. Nach der Pandemie wird man allerdings merken, dass all das (neben natürlich vielen anderen Fehlern) dazu geführt hat, dass wir die Kontakt-Nachverfolgung nicht hinbekommen. Und das wird dem Datenschutz langfristig nicht helfen – im Gegenteil.

    Alle möglichen Grundrechte sind außer Kraft, aber wehe jemand kriegt raus, wo ich ein Eis gegessen habe (also neben Google, Apple, Facebook, Instagram etc., die das eh wissen).

    • #8 Christian Meesters
      12. April 2021

      Seht ihr nicht, dass wir hier dem Datenschutz einen Bärendienst erweisen? …

      Darum geht es doch nicht (nur)? Sondern: Ist die App überhaupt sicher? Ist es legitim dafür staatlicherseits (einfach so) Geld auszugeben (ohne Alternativen zu wichten)?

      Ziel solcher Apps ist es Kontaktverfolgung zu unterstützen. Der Datenschutz auf Gesundheitsamtsseite ist ein anderer – und ob da gerade änfänglich nicht zu zaghaft agiert wurde steht auf einem anderen Blatt . Doch reicht es einfach den Versprechungen einer Firma zu vertrauen? Selbst wer Datenschutz, Wettbewerbsrecht, Sicherheit der Nutzer vor kompromitierten Anwendungen und mehr in den Wind schreiben möchte, um Kontaktnachverfolgung zu gewährleisten? Findet diese(r) dieses Feature gewährleistet?

  5. #9 Pollo
    12. April 2021

    Ganz ehrlich: ich verstehe nicht, was hier das Problem ist.

    Es gibt mehrere. Nur eins davon hat mit Datenschutz zu tun. Und dabei geht es nicht ums Eis essen.

    Vielleicht kann man sich daran erinnern, dass bei Einführung der papiernen Anwesenheitslisten in Gaststätten zur ersten Corona-Welle verschiedene Polizeien nichts eiligeres zu tun hatten, als genau diese Listen für eigene Zwecke zu verwenden? Und dass dieses Vorgehen bis hin zu Innenministerium aktiv unterstützt wurde? Kann mir jemand einen Grund nennen, dass im Falle einer zentralen Datenspeicherung per Luca nicht genau dasselbe passieren wird? Verschlüsselung ist kein Gegenargument. Wenn die Gesundheitsämter entschlüsseln können, können das auch alle anderen interessierten Dienststellen.

    Wo ein Trog ist, versammeln sich die Schweine (Disclaimer: das ist eine Metapher, es ist nicht wörtlich zu nehmen). Das spricht prinzipiell gegen jede zentrale Datenhaltung.

    Die vom Bund bezahlte APP ist“ nicht „komplett nutzlos“. Sie wurde halt zu einer Zeit geringer Prävalenz eingeführt, hat deshalb wenige Meldungen veranlasst und wurde dann von Politikern und Medien schlechtgeredet. Natürlich hat diese App die Benutzer nicht gezwungen, ihren Corona-positiven Zustand zu melden, so dass viele Warnungen gar nicht erst initiiert wurden. Die Negativpropaganda tat das Ihre dazu. Die App war konzeptionell auf die Mitarbeit der Menschen ausgerichtet. Wenn der Wille dazu – aus welchen Gründen auch immer – nicht vorhanden ist und dann auch nichts unternommen wird, da gegenzusteuern, dann nützt die App natürlich auch nichts.

    Währenddessen kann man in Israel komplett digital im Café einchecken und hat auch seinen Impfpass dort.

    Ich glaube nicht, dass die Luca-App dort dazu beigetragen hat. Ich könnte eine Reihe anderer Gründe aufzählen – und ich glaube, dass könnten Sie auch, wenn Sie wollten.

  6. #10 Ichbinich
    Dresden
    12. April 2021

    @Christian Meesters
    Nochmal: Ganz ehrlich? Es ist mir (und vermutlich 99% der Menschen) erstmal egal, ob diese App “sicher” ist (was auch immer das bedeutet). Wenn damit die Kontakt-Nachverfolgung damit sichergestellt ist und ich wieder ins Café gehen kann, nehme ich die Unsicherheit gerne in Kauf. Und die Kosten der App sind bei geschätzten 3,5Mrd Kosten des Lockdowns pro Woche komplett irrelevant.

    @Pollo:
    Nein, das kann vermutlich niemand sicher gewährleisten. Ist mir aber wie gesagt gerade egal. Alle meine Grundrechte sind derzeit komplett eingeschränkt bzw. nicht vorhanden. Aber aus irgendeinem Grund (den ich nicht verstehe) scheint Datenschutz da eine Ausnahme zu sein. Gerne kann man das im Infektionsschutzgesetz regeln dass das nach der Pandemie wieder zurück genommen wird, aber derzeit ist Datenschutz keines meiner Probleme.

    Ich bin durchaus bei Ihnen, dass zentrale Datenspeicherung in normalen Zeiten keine gute Idee ist. Aber wir haben halt keine normalen Zeiten. Und das Problem was ich sehe ist, dass nach der Pandemie die Menschen sich nur gemerkt haben werden dass Datenschutz nur Probleme macht. Sprich: Ich würde einiges wetten dass die Datenschutz-Rechte ein paar Monate/Jahre nach der Pandemie aus genau dem Grund aufgeweicht werden. Und alle werden sich erinnern dass uns Datenschutz in der Pandemie geschadet hat. Man muss sich nur mal die Statements der FDP derzeit anhören. Vorher die Partei für Datenschutz, jetzt steuern sie komplett um. Und das wird nach der Pandemie bleiben.

    Nicht falsch verstehen: Ich hätte natürlich lieber eine komplett sichere App, die vom CCC zertifiziert ist und alles anonym macht und trotzdem die Funktion erfüllt. Nur: Diese App gibt es halt nicht. Und da reicht mir eine, die zu 80% (oder meinetwegen auch zu 50%) die Funktion erfüllt, aber den nicht zu unterschätzenden Vorteil besitzt, dass es sie gibt, vollkommen aus.

    Und zeigen Sie mir mal eine Erhebung, dass die offizielle App irgendwas genutzt hat (die im übrigen um Größenordnungen teurer war als es Luca je wird). Die hat keinen Effekt, ergo ist sie nutzlos.

    Und nein, natürlich war es nicht Luca in Israel (es gibt die App ja dort gar nicht). Aber eine ähnliche App. Bzw. die Tatsache, dass dort alles digital geregelt wird hat garantiert zum Erfolg beigetragen (auch wenn es sicher nicht der einzige Faktor war). Oder nehmen Sie die asiatischen Länder, in denen Corona unter Kontrolle ist. Grund dafür ist dort auch (zumindest zum großen Teil) die Möglichkeit der Kontakt-Nachverfolgung aufgrund geringerer Datenschutzregeln.
    Und daran wird man sich nach der Pandemie erinnern. Das meine ich mit “Bärendienst erweisen”.

  7. #11 Pollo
    13. April 2021

    @ichbinich
    Hängen Sie sich nicht an dem abstrakten Begriff Datenschutz auf. Sie sagen, Ihre Freiheit ist eingeschränkt. Ja das ist so. Zur Erinnerung: wir erleben gerade eine Pandemie. Warum fordern Sie dann noch eine weitere, noch erheblichere Einschränkung Ihrer Freiheit? Ich jedenfalls möchte nicht auf Schritt und Tritt in allen meinen Bewegungen überwacht werden. Ihr Beispiel aus asiatischen Ländern schreckt mich da gewaltig ab.
    Apps wie die Luca-App ermöglichen das Tracking aller Personen, die die App nutzen. Wenn so etwas eingeführt wird, melden auch andere Dienste als das Gesundheitsamt “Bedarf” an. Plausible Gründe dafür können Sie sich jetzt schon ausdenken, die Anwesenheitszettel aus der ersten Welle können Sie als Beispiel nehmen: “wenn die Daten doch schon mal da sind, können wir die doch auch gleich zur Verbrechens-, Kinderpornografie-, Terrorismus- (was dann halt gerade mal Terrorismus ist) Bekämpfung nutzen”. Ihr Wunsch, das so etwas in einem Gesetz eingeschränkt werden kann, in Ehren. Aber können Sie mir eine einzige Verschärfung von Gesetzen, Ausweitung der Möglichkeiten der Polizeien oder Einschränkung von Freiheitsrechten aus den letzten 40 Jahren nennen, die zu einem späteren Zeitpunkt wieder zurückgenommen wurde?
    Ich will kein Tracking und kein Scoringsystem, die mich zu einem “guten Menschen” erziehen sollen. Sie?

  8. #12 Christian Meesters
    13. April 2021

    Egal welche “Kneipen-und-Geschäfte-App” da kommen wird: Wir sollten uns darüber im Klaren sein, dass diese nur bei rel. niedrigen Inzidenzzahlen zum Einsatz kommen wird. Denn z. Zt. sind Geschäfte und Restaurants großteils geschlossen (von Experimentiergegenden abgesehen). Das Kontaktverfolgung auch nach mehr als einem Jahr nicht gut funktioniert hat auch, aber nur im geringen Umfang mit falsch verstandenen Datenschutz zu tun.

    Hier geht es also um die Frage: Kann, bei erneuter Öffnung und niedrigem Infektionsgeschehen, eine Mobil-App zur Kontaktnachverfolgung beitragen (um nicht wieder in expotentielle Entwicklungen hineinzurutschen) und dabei(!) nicht über das Ziel hinausschiessen?

    Meine Daten beim Gesundheitsamt und direkten Kontakten? Ok. Meine Daten bei x-beliebigen Firmen, Privatpersonen und anderen Behörden? Hm, …. Wie pollo schon schreibt: Missbrauchsfälle hat es schon gegeben, es besteht kein Grund anzunehmen, dass es diesmal anders werden würde.

    Und luca? Wie geschrieben: Da ist noch mehr im Argen. Es ist unbegreiflich, weshalb Staatskanzleien ohne Ansicht der Alternativen (die es auch neben der Corona-Warn-App gibt) Geld für Lizenzen mit fraglicher Rechtsgrundlage ausgeben (und ohne Ausschreibungen?).

  9. #13 schorsch
    13. April 2021

    Betrifft jetzt nicht die Luca-App und ist in sofern etwas off Topic: https://www.theguardian.com/world/2021/apr/12/apple-and-google-block-nhs-covid-app-update-over-privacy-breaches

    Hier verhindern private Unternehmen, nämlich Google und Apple, dass der staatliche englische Gesundheitsdienst NHS für seine Corona-App ein Update anbietet.

    Ich halte es für äusserst bedenklich, wie hier eine ‘private-public-partnership’ tatsächlich zur Knebelung des Staates durch private Unternehmen führt.

    Als Begründung führen Google und Apple hier an, dass dass die englische Corona-App gegen Lizenzbedingungen zum Datenschutz verstosse – vordergründig scheint hier also tatsächlich der Datenschutz der Bremser zu sein.

    Aber das Problem ist hier nicht der Datenschutz, das Problem ist vielmehr, dass sich der Staat – auch der deutsche Staat – von den Lizenzbedingungen privater Unternehmen abhängig macht.

    Und staatliche Behörden, die für minderwertige Mangelware ungeprüft Steuergelder veruntreuen, werden kein Problem damit haben, sich auch bei der Luca-App nicht nur finanziell, sondern auch lizenzrechtlich über den Tisch ziehen zu lassen.

    • #14 Christian Meesters
      13. April 2021

      Dem kann ich mich nur anschliessen.

      @all: Sorry, wenn Beiträge z. Zt. in der Moderationsqueue landen, dauert es eine Weile länger als üblich. Ich unterrichte gerade.

  10. #15 jyou
    13. April 2021

    @ichbinich

    Die Zahlen der Meldungen via Corona Warn App kann man googeln (https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/WarnApp/Archiv_Kennzahlen/WarnApp_KennzahlenTab.html). Und wenn ich mir die Zahlen so ansehe, wieviele da gewarnt wurden, würde ich sagen solche Zahlen hätten unsere Gesundheitsämter garantiert nicht zusätzlich gewuppt.

    Die Kosten zur Corona Warn App kann man auch googeln (z.B. https://www.tagesspiegel.de/wirtschaft/69-millionen-euro-warum-die-corona-warn-app-so-viel-kostet/25929302.html). Bis alle Bundesländer die Luca-App lizensiert haben, wird die Größenordnung wohl ähnlich aussehen.

  11. #16 Ichbinich
    13. April 2021

    @Pollo:

    Ich würde derzeit lieber in z. B. Israel leben. Dort mag vielleicht der Datenschutz nicht so toll sein, dafür sind aber alle Geschäfte etc. offen.

    Ich wüsste nicht, warum Luca oder sonstiges meine Freiheit weiter einschränken würde. Das Gegenteil wäre ja der Fall. Weil sie Kontakt-Nachverfolgung möglich macht, können Geschäfte, Kinos etc. öffnen.
    Und die App hat ja deutlich weniger Informationen als z. B. Google oder Apple (weil man ja aktiv einchecken muss und daher nur diese Orte registriert werden).
    Und natürlich muss man sicherstellen, dass das nach der Pandemie nicht mehr genutzt wird. Aber das betrifft ja alle derzeitigen Einschränkungen. Und ich gehe immer noch davon aus, dass z. B. Demonstrationen sicher wieder nach der Pandemie möglich sind. Da wird unsere Demokratie schon dafür sorgen. Warum sollte das nicht für die Luca app gelten können?
    Ich glaube wie gesagt eher, dass es andersrum läuft. Weil Datenschutz derzeit nur hemmt, wird er danach aufgeweicht werden. Und es wird sich sicher eine Mehrheit dafür finden weil es jetzt überhaupt nicht funktioniert.
    Und es geht hier nicht um “gute Menschen “, sondern darum, ein Virus einzudämmen. Und offensichtlich kriegen wir das überhaupt nicht hin.
    Wir haben eher Angst vor eventuellen “Scoringsystemen” in der Zukunft und verhindern deswegen (was auch immer das miteinander zu tun hat) hilfreiche Apps.

    @Christian Meesters:
    Meiner Ansicht nach war der Datenschutz ein Hauptgrund (neben der generell fehlenden Digitalisierung) für die nicht mögliche Nachverfolgung. Wenn die Daten der Corona App nicht dezentral gespeichert würden, sondern direkt beim Gesundheitsamt verknüpft wären, wäre die Nachverfolgung sehr viel einfacher. Und auch die Infektionscluster könnte man relativ schnell bestimmen. Ist aber alles nicht passiert weil es ja dezentral und anonym sein muss — mit bekanntem, unnützen Ergebnis.

    Und ja, wir können auch noch ne Ausschreibung für die App machen und erstmal ein Jahr alle Voraussetzungen klären und uns noch von 3 Consulting Firmen m beraten lassen. Bürokratie at its best. Nur Dann brauchen wir auch die App nicht mehr.

    • #17 Christian Meesters
      13. April 2021

      Weil sie Kontakt-Nachverfolgung möglich macht, können Geschäfte, Kinos etc. öffnen.

      Nein, Geschäfte und Kulturinstitutionen können abhängig von der Inzidenz öffnen (und womöglich bald abhängig vom Impfstatus). Die bessere Nachverfolgung würde dann sicherstellen, dass ein Folge-Lockdown unnötig wird. Das hätte es schon längst gebraucht. Kann die luca-App das gewährleisten? Ich habe meine Zweifel, dass das irgendeine App kann, wegen der zusätzlichen Latenz, die da vorliegt. Aber das Versprechen ist ja mit luca ein detailliertes:

      luca Locations setzt für dich die Kontaktdatenerfassung und -übermittlung für z.B. deinen Gastronomiebetrieb, deine Veranstaltungsstätte, deinem Geschäft, deine Sportveranstaltung oder deine Gemeinde um. Registriere deinen Standort bei luca Locations und starte mit den Check-ins.

      Aufgrund des Entwicklungsstatus ist klar, dass da die Katze im Sack gekauft wurde.

      Ich glaube wie gesagt eher, dass es andersrum läuft. Weil Datenschutz derzeit nur hemmt, wird er danach aufgeweicht werden. Und es wird sich sicher eine Mehrheit dafür finden weil es jetzt überhaupt nicht funktioniert.

      Diese Sorge teile ich: Weil falsch verstandener Datenschutz mit Begehrlichkeiten und technologischer Inkompetenz zu einer unglücklichen Melange geraten.

      Meiner Ansicht nach war der Datenschutz ein Hauptgrund (neben der generell fehlenden Digitalisierung) für die nicht mögliche Nachverfolgung. Wenn die Daten der Corona App nicht dezentral gespeichert würden, sondern direkt beim Gesundheitsamt verknüpft wären, wäre die Nachverfolgung sehr viel einfacher.

      Nicht 100%ig klar: Also, die vom Bund gelaunchte Corona App wurde datenschutztechnisch so aufgerüstet, weil der Einsatz freiwillig sein sollte und man Sorge hatte, dass es andernfalls an Akzeptanz fehlt. Klar, mit zentraler Speicherung und Interfaces (welche die Gesundheitsämter damals noch nicht einheitlich hatte), wäre Nachverfolgung besser gegangen. Hätte man machen können. Auch verpflichtend für best. Sektoren. Ist anders gekommen.

      Und ja, wir können auch noch ne Ausschreibung für die App machen und erstmal ein Jahr alle Voraussetzungen klären und uns noch von 3 Consulting Firmen m beraten lassen. Bürokratie at its best. Nur Dann brauchen wir auch die App nicht mehr.

      Dahinter steckt eine Annahme: Das die App funktional ist und durch ein rechtliches Prozedere der seeligmachende Beitrag verhindert werden würde.

      Wie hier durch einige Links belegt, wurde die Anschaffung der Luca-Lizenz-Nutzung getätigt, bevor es zum Nachweis der Funktionalität kam. Mit anderen Worten: Die Qualität ist mehr als zweifelhaft, die Transparenz der Entwicklung immer noch dürftig, das Entwicklungsprozedere strotzt vor Fehlern, viele rechtliche Dinge sind nicht geklärt, Mitbewerber wurden meist gar nicht getestet (jedenfalls nicht mit Öffentlichkeit). An der Stelle Alternativlosigkeit zu suggerieren ist … unpassend.

      • #18 Christian Meesters
        13. April 2021

        PS Wir schreiben den 13. April und noch immer nicht gibt es einen Commit (Codebeitrag), der eine der Kritikpunkte aufgreifen würde. Ich frage mich wirklich was in den Verträgen steht und in wieweit die Firma hinter luca zu Nachbesserungen verpflichtet ist.

  12. #19 Thomas
    13. April 2021

    So umstritten die CWA, die Corona-Warn-App auch ist, sie macht nicht mehr uns nicht weniger als die Luca-App und zwar mit wesentlich weniger Datenerhebung.
    Es ist doch völlig unerheblich Kontakte zurückzuverfolgen. Wichtig ist, dass ich gewarnt werden, wenn ich mich während der letzten 14 Tage eine Zeit lang in der Nähe eines Infizierten aufgehalten habe… der dies natürlich auch seiner CWA mitteilen muss. Ich kann mich dann in Qurantäne begeben, mich testen lassen, mich auf den Kopf stellen oder sonst irgendwas tun.
    Mehr wird mit Luca auch nicht erreicht.
    Bloß meine Daten liegen irgendwo rum und ich weiß nicht, was mit ihnen sonst noch passiert, allen Beteuerungen zum Trotz.
    Lasst und also alle die CWA nutzen, die ja jetzt auch um diese QR-Code-Scan-Feature erweitert werden soll.

    • #20 Christian Meesters
      14. April 2021

      So umstritten die CWA, die Corona-Warn-App auch ist, sie macht nicht mehr uns nicht weniger als die Luca-App und zwar mit wesentlich weniger Datenerhebung.

      Technisch gesehen gibt es einige Unterschiede. Der Wichtigste: Luca sammelt Daten zentral und soll die Auswertung durch Gesundheitsämter erlauben.

  13. #21 Christian Meesters
    14. April 2021

    PS Interessant die zwischenzeitliche Forderung des CCC nach einem “Bundesnotbremse für die Luca-App”. Der Aufruf bringt noch einmal die wesentliche Punkte zusammen.

    Mein Fazit bisher: Wenn eine Softwarearchitektur gut ist, kann man auch einzelne Fehler korrigieren. Bei der Luca App zeigen sich so viele Schwächen, dass ich die Forderung nach der verpflichtenden Nutzung weder nachvollziehen noch gutheißen kann.

  14. #22 Ichbinich
    15. April 2021

    @#21Christian Meesters
    Ja, Sie haben natürlich Recht mit der Inzidenz und den Öffnungen. Das meinte ich auch so, habe es aber vermutlich zu verkürzt geschrieben.
    Und natürlich muss die App funktionieren. Ob sie das tut, kann ich nicht beurteilen.
    Viele der Punkte oben sind für mich aber kein Kriterium für eine funktionierende App (Z. B. Lizenzen von Dritten beachtet, Programmierer gefragt etc.) sondern “nur” bürokratische Themen. Und die sind mir im Moment ziemlich egal.

    Und ja, wir hätten so etwas schon längst gebraucht und ich halte es für ein großes Versagen, dass es das immer noch nicht gibt. Und mMn haben übertriebene Datenschutzanforderungen dazu beigetragen.

    Mein Hauptargument ist aber: lieber 5 “Katzen im Sack” kaufen und hoffen dass eine funktioniert als den ganzen Bürokratieaaufwand zu tätigen. Im schlimmsten Fall würde etwas Geld zuviel ausgegeben. Aber wie gesagt, mit den Kosten die der Lockdown hat ist das irrelevant. (gleiches galt ja für die Impfstoffe, hatten wir einfach von allem mehr gekauft, ohne zu wissen welcher funktioniert waren wir jetzt deutlich weiter. Ähnliches bei den Schnelltests etc. Und das gilt mMn auch für die App.also kaufen und probieren).

    Und wenn der CCC schon wieder warnt: warum zum Henker haben die nicht einfach mal eine App programmiert? Ich kann es partout nicht leiden, wenn ständig im Nachhinein gemeckert wird. Die haben doch Die Kompetenz das besser zu machen. Dann los…

    @Thomas:
    Das Problem ist aber eben, dass der Nutzer das selber eintragen muss und das nicht automatisch über das Gesundheitsamt passiert. Denn so gehen erstens viele Kontaktdaten verloren und zweitens hat das Gesundheitsamt dadurch immer noch keine Ahnung wo das Infektionsgeschehen stattfindet weil diese Art von Auswertung mit der CWA prinzipiell nicht möglich ist.

    • #23 Christian Meesters
      15. April 2021

      Und natürlich muss die App funktionieren. Ob sie das tut, kann ich nicht beurteilen.

      Wir können uns folgende Frage stellen: 1000 Kunden besuchen morgen mit luca App das Möbelhaus mit vier Buchstaben in einem Zeitraum X. Alle Kunden nutzen luca und luca funktioniert fehlerlos und das Ein- und Ausloggen wird nicht vergessen, alle sind ehrlich. Im Nachgang wird festgestellt, eine Person war infiziert. Das örtliche Gesundheitsamt wird tätig. Wie viele Kontakte muss es anrufen?

      1000. Denn luca hat keine bluetooth-Funktionalität. Und die luca-Schlüsselanhänger erst recht nicht. Sogar das Potential für größere Infektionsketten ist größer: CWA-Nutzer würden gewarnt (“He, Du warst in der Nähe eines Infizierten!”) – luca-App-Nutzer werden alle gewarnt, aber mit zusätzlicher Latenz. (Und da alle gewarnt werden: Wie lange wird es dauern, bis luca-Nutzer abstumpfen?)

      Viele der Punkte oben sind für mich aber kein Kriterium für eine funktionierende App (Z. B. Lizenzen von Dritten beachtet, Programmierer gefragt etc.) sondern “nur” bürokratische Themen.

      Nein, sind es nicht, denn sie betreffen unmittelbar die Wartbartkeit: Wenn es upstream (also in der verwendeten Bibliothek eine Änderung gibt), bekommt man das downstream (also in der app-Entwicklung) nicht unbedingt mit, was bei sicherheitskritischen Änderungen schnell ein Alptraum werden kann. Alle Änderungen müssen quasi-manuell nachvollzogen und getestet werden – und dass bei einer App, die man millionenfach ausrollen wird. Wird die API einer Bibliothek geändert und man nutzt die Bibliothek nicht nur, sondern integriert ihren Code direkt, ist die – sorry – die Kacke am dampfen, der Wartungsaufwand explodiert.

      Auch rechtlich kann so etwas das wirtschaftliche Aus einer Software bedeuten. Natürlich nicht, wenn ängstliche Politik der jeweiligen Firma monetären Zucker in den Arsch bläst.

      Mein Hauptargument ist aber: lieber 5 “Katzen im Sack” kaufen und hoffen dass eine funktioniert als den ganzen Bürokratieaaufwand zu tätigen.

      Das nimmt wieder Dinge an, die so nicht stimmen: Bei der Impfstoffentwicklung gab es Risiken, die nicht einzuschätzen waren (funktionieren die überhaupt?). Eine App zu entwickeln ist eine Ingenieursleistung, keine Wissenschaft. Derartige Risiken gibt es hier nicht. Kann man vernünftig machen. Wurde auch schon gemacht. Es gibt ja Alternativen. Geld wird den luca-Machern zugeschustert, obwohl sie Mist liefern. Hier von Alternativlosigkeit zu sinnieren ist einfach nicht lauter.

      Und wenn der CCC schon wieder warnt: warum zum Henker haben die nicht einfach mal eine App programmiert?

      Weil das ein Verein von Freiwilligen ist (die z. T. auch in Projekten mit öffentlicher Sichtbarkeit arbeiten). Leute unterschätzen Softwareentwicklung oft: Eine “App programmieren” oder einen Virus (Computervirus) schreiben kann jedes Scriptkid. Eine Infrastruktur aufbauen braucht ein Team und einen langen Atem und Geld für Hardware zum Testen. Das könnte die öffentliche Hand oder eben Firmen.

      Die Kritik an der CWA ist allerdings valide. Das hätte man anders machen können. Aber auch hier möchte ich festhalten: Das Ziel war ein Anderes als bei der luca App.

  15. #24 schorsch
    15. April 2021

    Immerhin – aus dem Betrug mit Ansage ‘Digitaler Impfpass’ ist die Ansage “Verankerung in fünf Blockchains” jetzt zurückgezogen worden: http://blog.fefe.de/?ts=9e8937cf

    • #25 Christian Meesters
      15. April 2021

      habe mich auch schon gefragt, ob ich das Ding kommentieren sollte, aber da ist fefe dichter dran und ich glaube ich schreibe lieber demächst mal über Wissenschaft, Titel “Es gibt sie: Die vernünftige Blockchain-Anwendung!” ;-). (Wird aber noch dauern.)