Die Kontakt-Nachverfolgung ist eines der effektivsten Mittel, wenn eine Infektionskette unterbrochen werden soll. In der derzeit herrschenden Pandemie kann eine Lockerung der Lockdown-Maßnahmen nur dann erfolgen, wenn neben den Impfungen auch eine schnelle und gut handhabbare Nachverfolgung der Kontakte möglich ist. Mussten wir uns im letzten Jahr noch mit auszufüllenden Zetteln im Eiscafé behelfen, soll jetzt alles mit der Luca App gut werden. So denken zumindest die Entscheider in den Bundesländern und haben angefangen, die Luca App großflächig zu lizenzieren. Alles wird also gut, oder?
Open Source
Ein wenig gezweifelt am Konzept und den Entwicklern haben einige schon eine ganze Weile, aber mit der Veröffentlichung des Quellcodes des Projekts in der vergangenen Woche wurden leider die Befürchtungen bestätigt. Dass die Entwickler sich ihre Lösung zum großen Teil einfach aus vorhandenen Open-Source-Quellen zusammen kopiert haben (Corona-Warn-App: Macher bedienen sich an freier Software) — geschenkt. Dass sie beim Kopieren recht frei mit den zugrunde liegenden Lizenzen umgegangen sind, schon ärgerlicher. So musste die Luca ‑Lizenz vom Hersteller in der vergangenen Woche mehrfach angepasst werden, um eventuellen Rechtsstreitigkeiten aus dem Weg zu gehen. Das hier aus zusammenkopierten Open-Source-Quellen mehrere Millionen Euro Umsatz generiert worden ist, da beginnt es schon frech zu werden. Große Teile des Internets und der heutigen Infrastruktur bestehen aus sauber lizenzierten Open-Source Komponenten (Linux, Apache, MariaDB, Libre Office, WordPress etc.), und Entwickler müssen darauf vertrauen können, dass ihre Rechte gewahrt bleiben.
Sicherheit
Inzwischen stellt sich immer mehr heraus, dass das komplette Konzept der Luca-App nicht besonders sicher ist. Einer der Bausteine sind die Schlüsselanhänger, die für Benutzer verteilt werden sollen, die keine Möglichkeit haben, die App zu benutzen. Hier scheint ein riesengroßes, offenes Scheunentor versteckt zu sein, denn diese lassen sich anscheinend komplett ohne Registrierung verwenden. Dadurch ist diese Option als nicht mehr benutzbar anzusehen. Wenn nun aber “Offliner” die App nicht mehr benutzen können, weil die Verifizierung nicht sicher ist, dann ist das komplette Konzept hinfällig, weil es keine Vollständigkeit sicherstellen kann. Auch das, was bisher von dem verwendeten Backend, dem Server bekannt ist, scheint sehr problembehaftet für solch ein Projekt zu sein.
Durch unbrauchbare Schutzmechanismen gegen Bruteforceangriffe, die inzwischen aufgedeckt und dokumentiert werden, macht sich auch die verwendete Serversoftware unnötig angreifbar. Auch das zeigt, dass hier die einfachsten Regeln der Softwareentwicklung (z.B. beim Vergleich von Zeichenketten erst einmal beide Teile auf Upper- oder Lowercase zu formatieren) nicht beachtet worden sind.
Das ist für sich gesehen nur ein kleiner, schnell zu behebender Fehler, allerdings macht die Summe dieser kleinen Flüchtigkeitsfehler deutlich, mit wie wenig Sorgfalt hier entwickelt und freigegeben worden ist.
Datenschutz
Aber auch der Datenschutz scheint hier eher so halbseiden umgesetzt worden zu sein, gibt es doch noch keine Datenschutzfolgenabschätzung. Wie die Landesdatenschutzbehörden zu der Auffassung gekommen sind, dass der Einsatz dieser App bedenkenlos erfolgen kann, erschließt sich uns hier jetzt nicht mehr. Anscheinend ist hier seitens der Länder massiver Druck ausgeübt worden.
Hinzu kommt, dass die offizielle Corona-App des Bundes in Kürze ein Update erhalten wird, dass genau das Ein- und Auschecken per zweidimensionalen Barcode ( QR Code) erlauben wird. Wir empfehlen daher dringend, die Luca-App nicht einzusetzen. Wartet bitte auf die kommende Version der Corona-App des Bundes und benutzt dann diese, wenn ihr nicht irgendwann in der Zeitung lesen wollt, dass die Luca-App ganz überraschend kompromittiert worden ist und Eure Daten irgendwo im Internet verkauft werden.
Technik
Und für diejenigen, die Programmieren können, hier ein Schmankerl aus dem Sourcecode:
Eine E‑Mailadresse ist also genau dann valide, wenn sie mehr als 3 Zeichen und ein “@” enthält. Dass sie ebenfalls mindestens einen “.” enthalten muss, um gültig zu sein und auch eine Adresse in der Form “a@bc” hier gültig wäre — Ok, ist uns allen (Programmierern) auch schon passiert. Aber ist das ein Zeichen von Qualität der Software?
Auch die verwendeten QR-Codes lassen sich einfach mit einem Script unter Linux fälschen:
D.h., es wird nicht mehr lange dauern, bis das jemand in ein Programm einbettet, dass es jedem Benutzer erlauben wird, einen gefälschten QR zu erzeugen und damit die Nachverfolgung auszutricksen.