Datenschutz Digitales Freiheit und Transparenz Grundrechte Mainz Region Rheinhessen-Nahe Weiteres

Warum Luca App, wenn es schon die Corona-Warn-App gibt?


Luca App ist in aller Munde und auch die Landesregierung Rheinland-Pfalz hat beschlossen, sich dem Verbund der Länder zur Beschaffung der nicht quelloffenen  Luca App (Closed-Source) anzuschließen. Schließlich sind alle interessiert, Restaurants und Kneipen schnellstmöglich wieder zu öffnen. Doch auch die quelloffene Corona-Warn-App (Open-Source) bietet bald ein Feature Eventregistrierung an. Sowohl mit der Luca App als auch mit der Corona-Warn-App kann ein Gast zukünftig mit einem QR-Code einchecken.

Doch worin liegen die Unterschiede zwischen den Apps?

Mangels quelloffener Software kann man die Konzeption der Luca App nicht selbst prüfen, sondern muss den Angaben des Herstellers trauen. Eine App mit Closed-Source-Software  erweckt bei uns erst mal Misstrauen. Nach der bisherigen Konzeption der Luca-App sollen die Daten der Kontaktnachverfolgung nicht dezentral, sondern an einer zentralen Stelle gespeichert werden. Im Infektionsfall leitet der User eine TAN an das Gesundheitsamt weiter und dieses fordert über einen Schlüssel die Entschlüsselung der Kontaktdaten eines Clusters an. Diese zentrale Speicherung birgt hohes Missbrauchspotenzial, dem der Hersteller mit der Verschlüsselung der Daten begegnen will. Doch auch dort zeigen sich Schwächen. Laut der Stellungnahme der Datenschutzkonferenz haben alle Gesundheitsämter den gleichen Schlüssel. Außerdem liegt die Schlüsselverwaltung in den Händen einer privaten Firma. Gerät dieser Schlüssel in falsche Hände, wird ausgespäht oder missbraucht, könnte ohne weitere Sicherung auf eine größere Zahl von Daten ungehindert zugegriffen werden. Eine Kontrolle der Berechtigung der Entschlüsselung der gespeicherten Kontaktdaten kann wohl weder systemseitig noch beim Veranstalter vorgenommen werden. Dies birgt nicht nur enormes Missbrauchspotenzial, sondern könnte letztlich zur Kompromittierung des ganzen Systems führen. Da gilt es unserer Meinung nach noch viel nachzubessern.

Die Corona-Warn-App setzt hingegen auf das alt bewährte Konzept der Open-Source-Software (quelloffen) und der dezentralen Speicherung. Eine Prüfung des Codes ist also jederzeit möglich. Auch dort soll nach letzten Meldungen die Eventregistrierung per QR-Code erfolgen. Die Speicherung der Daten soll weiterhin dezentral auf dem eigenen Smartphone erfolgen. Sobald jemand über die TAN des Gesundheitsamtes anonym seine Infektion meldet, sollen automatisch alle Gäste einer Lokation, die in dem entsprechenden Zeitfenster über die Corona-Warn-App registriert waren, informiert werden. Die Corona-Warn-App stellt also nach wie vor eine für alle datensparsame und datensichere Methode zur schnellen Information über die Risiken einer möglichen Ansteckung mit Covid-19 dar.

Und was nun ?


Dazu Bodo Noeske, Sprecher der Piraten Mainz-Rheinhessen-Nahe

Um tatsächlich unsere rheinhessische Gastronomie von einer ausufernden Zettelwirtschaft zu entlasten, muss die Akzeptanz einer solchen App hoch sein. Dafür muss Vertrauen und Datensicherheit vorhanden sein. Open-Source-Software ist Grundvoraussetzung für Vertrauen. Das bietet die Luca App bislang nicht.

Weiter Noeske, 

Wir alle haben ein Interesse, so schnell wie möglich Normalität zu genießen. Warum die Corona-Warn-App erst jetzt um die Eventregistrierung und damit einer Cluster Warnung ergänzt wurde, ist rätselhaft. Warum sich Landesregierung Rheinland-Pfalz der gemeinsamen Beschaffung der Luca-App durch die Länder  angeschlossen hat, ohne die Entwicklungen bei der bereits von 26,5 Millionen Usern genutzten Corona-Warn-App abzuwarten, ist für mich ebenfalls nicht nachvollziehbar.

“Zettelwirtschaft” wird es mit oder ohne App sowieso nach wie vor geben müssen, immerhin gibt es keine Pflicht überhaupt ein Smartphone zu besitzen. Aber wenn man schon auf Apps zurückgreifen will, dann sollten diese auch quelloffen, datensparsam mit dezentraler Speicherung und datensicher sein. 


Joachim Adomeit, Pirat und System Engineer:

Software-Entwicklung ist nicht vergleichbar mit z.B. dem Errichten eines Hauses. Man ist nie damit wirklich fertig, man ist immer mit Wartung und Erweiterung beschäftigt, auch nach einem “Projektabschluss”. Dass die mit Steuermitteln finanzierte quelloffene Corona-App jetzt hinter einer Privatinitiative wie Luca hinten anstehen soll, ist mir finanziell unverständlich. Konkret muss sich die Landesregierung den Vorwurf gefallen lassen, Steuergelder zu investieren, um das Endprodukt dann verrotten zu lassen.

Das Land Rheinland-Pfalz täte gut daran, ihr Engagement in die Luca App zu überdenken und die Corona-Warn-App weiter zu fördern. 

UPDATE: Zwischenzeitlich haben sich nach Teilveröffentlichung des Quellcodes bei der Luca App scheinbar noch Lizenzprobleme aufgetan.
https://netzpolitik.org/2021/mfg-gpl-die-fantastische-lizenz-der-luca-app/

Wir bleiben dabei. Staatliche Institutionen, sollten dringend auf Open-Source-Software bestehen. Pubilc Money public code

Dazu empfehlenswert der Artikel der Piratenpartei Braunschweig.
https://piratenpartei-braunschweig.de/2021/04/01/luca-app-noch-mehr-aushoehlung-des-datenschutzes/