Entdecke Veranstaltungen in Regensburg Alle Kultur Oekologie Soziales Kino
„Corona-Warn-App ist die smartere Lösung“

Luca-App in Regensburg: Stadtrat kritisiert Beschlussvorlage

Daniel Gaittet hält die Corona-Warn-App für die “smartere Lösung”. Foto: pm

Es gibt weiter Kritik an der Entscheidung, die umstrittene Luca-App als Instrument zur Kontaktnachverfolgung in Regensburg zu etablieren. Grünen-Stadtrat Daniel Gaittet bemängelt, dass die App in der schriftlichen Beschlussvorlage für den Verwaltungsausschuss nicht einmal erwähnt wurde. „Die Diskussion wäre dann sicher anders verlaufen.“

Die Verwendung der Luca-App in Regensburg sorgt nun auch für Nachfragen aus dem Stadtrat. Wie berichtet, wurde in der Sitzung des Verwaltungs- und Finanzausschusses am 22. April beschlossen, „eine möglichst einheitliche bzw. interkompatible App zur digitalen Kontaktnachverfolgung in der Stadt und Landkreis Regensburg zu etablieren“. So steht es in der entsprechenden Beschlussvorlage, die den Stadträtinnen und Stadträten im Vorfeld zugegangen war. Es ist ein Punkt unter vielen, die unter dem Titel „Corona-Pandemie: Sommer in Regensburg 2021; Bericht zu dezentralen Veranstaltungsorten und weitergehenden Regelungen“ abgehandelt werden. Dass es sich dabei um die viel kritisierte Luca-App handelt (eine ausführliche Kritik an der dieser „Smudo-App“ findet sich, inklusive Querverweisen, in unserem Interview mit dem IT-Experten Markus Feilner) war der schriftlichen Vorlage (hier als PDF) nicht zu entnehmen.

WERBUNG

Oberbürgermeisterin Gertrud Maltz-Schwarzfischer erwähnte erst auf Nachfrage zu den Kosten dieser App in einem Nebensatz, dass es sich um Luca handelt. Ansonsten war die Debatte weitgehend vom Betretungsverbot auf der Jahninsel, dem Streit ums Luxusklo am Oberen Wöhrd und der Frage bestimmt, wie man Gastronomie, Einzelhandel und Kultur unterstützen könne.

„Kommunen werden mehr oder weniger zu Luca genötigt.“

„Die Diskussion wäre anders verlaufen, wenn das mit der Luca-App schon vor der Sitzung bekannt gewesen wäre“, ist sich Grünen-Stadtrat Daniel Gaittet sicher. Die Corona-Warn-App des RKI hält auch Gaittet für die deutlich bessere Lösung. Damit befindet er sich im Einklang mit zahlreichen IT-Experten, Juristen oder etwa dem Chaos Computer Club. „Mit Luca bevorzugen viele Bundesländer eine Lösung, die erstens die Aufgabe ineffizienter erfüllt als andere Apps, und auch noch riskant ist. Als würde man nukleare Braunkohlekraftwerke bauen – es gibt keinen Grund, das zu machen“, sagt beispielsweise der CCC-Pressesprecher  Linus Neumann in einem aktuellen SZ-Interview.

Ähnlich sieht das auch Gaittet. Mittlerweile gebe es bei der Corona-Warn-App die Möglichkeit, Veranstaltungen zu erstellen, sich einzuloggen und so Infektionscluster zu erkennen. „Die Corona-Warn-App ist einfach sowohl beim Infektionsschutz als auch beim Datenschutz die smartere Lösung.“ Die Handlungsspielräume der Stadt Regensburg seien aber leider begrenzt, so Gaittet. „Die Kommunen werden durch die Entscheidung des Freistaats mehr oder weniger genötigt, die Luca-App zu etablieren.“

Der Freistaat Bayern hat die Luca-App für seine Gesundheitsämter Anfang April eingeführt – bislang kolportierte Kosten: mehr als fünf Millionen Euro. Bedenken bezüglich Datenschutz, die zuletzt mehr als 70 führende deutsche IT-Sicherheitsforscherinnen und -forscher in einer gemeinsamen Stellungnahme geäußert haben (hier abrufbar), wischt das Bayerische Digitalministerium mit einem knappen Hinweis auf die Ende-zu-Ende-Verschlüsselung der Daten vom Tisch. Für Fragen verweist das Ministerium im wesentlichen an das Unternehmen.

„Eigentlich hätte das alles in der Vorlage stehen müssen.“

Seine Fragen will Gaittet aber von der Stadt beantwortet bekommen. Etwa, in welchem Zusammenhang die Stadt Regensburg die Luca-App konkret einsetzen möchte, mit welchen Kosten mittel- und langfristig zu rechnen ist (aktuell zahlt alles der Freistaat), ob Alternativen geprüft wurden und ob sich mit der vorhandenen Kritik in irgendeiner Form auseinandergesetzt wurde. „Eigentlich hätte das alles ja schon in der Vorlage stehen müssen“, so Gaittet.

Gegenüber unserer Redaktion hat die Stadt Regensburg lediglich knapp Stellung genommen:

„Die Lizenz für die Luca-App wurde vom Freistaat für ganz Bayern erworben und den Gesundheitsämtern zur Kontaktnachverfolgung zur Verfügung gestellt. Das Gesundheitsamt Regensburg schließt sich diesem bayernweiten System an; damit wird diese App in Stadt und Landkreis Regensburg genutzt werden können.“

Eine verpflichtende Nutzung für Veranstalter, Gastronomie und Einzelhandel wird es demnach also nicht geben. Das Gesundheitsamt Regensburg, das Luca auf Geheiß der Staatsregierung einsetzen muss, verweist zwar einerseits darauf, dass die App die Behörde bei der Kontaktpersonennachverfolgung „unterstützt“. Es „ersetzt diese aber nicht“.

Anders ausgedrückt: Wer Bedenken hat, seine Gesundheits- und Bewegungsdaten einem privaten Unternehmen zur Verfügung zu stellen, dem wird weiterhin die Möglichkeit gegeben werden müssen, auf das Ausfüllen von Zetteln zurückgreifen zu dürfen, um „Namen und Vornamen, Anschrift und eine sichere Kontaktinformation“ hinterlassen zu können. So sieht es derzeit noch die Infektionsschutzmaßnahmenverordnung in Bayern, aber auch in anderen Bundesländern vor.

Bundesdatenschutzbeauftragter plädiert für Corona-Warn-App

IT-Experte Markus Feilner hat umfangreich zur Luca-App recherchiert und deren Mängel in einem Interview mit regensburg-digital aufgezeigt. Foto: privat

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat bereits Ende April gefordert, diese Verordnungen entsprechend anzupassen, um die neue Funktion der Corona-Warn-App (CWA) als ausreichendes Verfahren zur Kontaktnachverfolgung in Geschäften und Gastronomie zulassen zu können. Seit dem letzten Update habe die CWA eine gut funktionierende und gleichzeitig datenschutzfreundliche Clustererkennung. „Das müssen wir jetzt nutzen“, so Kelber. „Die Bundesländer sollten ihre Verordnungen so öffnen, dass auch ein pseudonymes digitales Einchecken rechtlich möglich ist.“

Durch ein aktuelles Update der CWA besteht mittlerweile auch die Möglichkeit, Schnelltests zu integrieren und so andere Nutzer im Fall eines positiven Ergebnisses unmittelbar zu warnen – schneller als mit Luca.

Angst vor De-Facto-Zwang und unklarer Haftung

Ob sich Luca in Regensburg etablieren wird, dürfte am Ende insbesondere auch davon abhängen, ob und wie viele Veranstalter und/oder Gastronomen unter Berufung auf ihr Hausrecht eine verpflichtende Nutzung der umstrittenen App verlangen werden. Während beispielsweise in der entsprechenden Verordnung von Nordrhein-Westfalen ausdrücklich festgehalten ist, dass eine Erfassung auf Papier weiterhin angeboten werden muss, ist dieser Punkt im bayerischen Regelwerk nicht explizit geregelt.

Der Regensburger IT-Experte Markus Feilner warnt derweil auf seinem Twitter-Account vor unklaren Haftungsfragen in Zusammenhang mit der Luca-App. Es sei bislang völlig unklar, ob ein Wirt oder Veranstalter bei Datenschutzverstößen in Zusammenhang mit der Verwendung der Luca-App aufgrund der Vertragsgestaltung nicht auf dadurch entstehenden Forderungen sitzenbleibe.

Print Friendly, PDF & Email

SUPPORT

Ist dir unabhängiger Journalismus etwas wert?

Dann unterstütze unsere Arbeit!
Einmalig oder mit einer regelmäßigen Spende!

Per PayPal:
Per Überweisung oder Dauerauftrag:

 

Verein zur Förderung der Meinungs- und Informationsvielfalt e.V.
IBAN: DE14 7509 0000 0000 0633 63
BIC: GENODEF1R01

Kommentare (36)

  • Mr. T.

    |

    Gut, dass einige Politiker schon im Neuland angekommen sind und auf Problematiken aufmerksam machen, die andere nicht mal sehen, geschweige denn kapieren.
    Man kann nur hoffen, dass durch die aktuell gestiegene Awareness Luca ein Rohrkrepierer wird – wenn auch ein teurer für den Staat und damit die Steuerzahler.

  • joey

    |

    Datenschutz gibt es sowieso nicht mit irgendeinem netzfähigen Gerät. Auch wenn die Konzerne alles nach DSGVO “garantieren”, ist doch der Passus im Kleingedruckten “gesetzliche Verpflichtungen”. Garantiert sind also auch KGBCIA und dazu noch ALPHABET, die scheinheiligste Firma dieser Erde.
    Ich lasse gerne mein Handy zuhause, nutze es nur für berufliche Erfordernis.

    Die LUCA hat den Vorteil für die Regierung, daß Schlauköpfe keine falschen Namen aufschreiben können. Mancher hat eben keine Lust auf Quarantäne, z.B. Selbstständige. Wer es gut meinte mit den Telefonisten im Gesundheitsamt, der hat auf die Zettel Darth Vader hingeschrieben und damit klar gemacht, daß man sich das sparen kann.

  • Sperstructure

    |

    Abnickerverein, wie immer. Da werden keine Fragen gestellt. Und hinterher sagt die Oberbürgerinnenmeisterin wie immer: Sie haben das doch Einstimmig beschlossen, was wollen Sie denn.

  • Hank

    |

    @joey:
    Wenn man sich ein bisschen auskennt, kann man sich einen luca Fake-Account, incl. Fakenummer, Name und Adresse, erstellen. Aufgrund der Funktionsweise der App ist es anschließend für die Veranstalter nicht nachvollziehbar ob die Daten Fake sind, sondern wird erst bei den Ermittlungen des Gesundheitsamtes sichtbar.

  • Robert Fischer ÖDP

    |

    Ich habe letztes Jahr beim Corona-Hackaton der Bundesregierung mitgemacht. Dort haben tausende Entwicklerinnen und Entwickler ihre wertvolle Zeit geopfert und kostenlos für die Bundesregierungen Lösungen programmiert. Es gab bestimmt 5 Teams, die so etwas wie die Luca-App programmiert haben, für umme. Denen hätte man paar Tausend Euro in die Hand geben können und wir hätten das alles schon letzten Juni gehabt.

    Meine Idee war ähnlich, bloß für Gesundheitsämter. Aber es hat einfach keinen interessiert. Keine dieser Lösungen dieses Hackatons ist bis heute im Einsatz. Ein paar Teilnehmende mit Informatikskills wurden mit ihren Ideen von Unternehmen eingekauft, wie es so üblich ist in der Branche, zwecks Fachkräftemangel.

    Da waren tausende engagierte Leute am Start und man hat ihnen einfach ins Gesicht gespuckt und die Aufträge doch wieder Unternehmen wie SAP, Telekom und Investorengemeinschaften wie neXenio GmbH überlassen. Für Millionenbudgets! Da braucht sich keiner wundern, warum die Leute politikverdrossen werden.

    Ich ärgere mich bis heute, wie man merkt :)

  • Markus Feilner

    |

    @joey: “Die LUCA hat den Vorteil für die Regierung, daß Schlauköpfe keine falschen Namen aufschreiben können” Äh Nein. Das stimmt leider nicht. Ich wünschte es wäre korrekt. Es gibt mittlerweile Apps (Lucia [1]), die es ermöglichen “datensparsam” bei Luca einzuloggen oder “nachzuvollziehen” (Lucifer [2] welche Daten abfließen und wer welche Daten erheben kann. Luca ist nachvollziehbar, beweisbar so schlecht programmiert, dass es einen QR-Code mit Daten nicht von einem mit falschen Daten unterscheiden kann. Wie das geht, ist seit Anfang März bekannt (Podcast mit Transscript, [3])
    [1] https://codeberg.org/errhammr/Lucia-App
    [2] https://logbuch-netzpolitik.de/lnp385-fuempf-blockchains
    [3] https://lucifer-app.de/

  • Ein besorgter Bürger

    |

    “Grünen-Stadtrat Daniel Gaittet bemängelt, dass die App in der schriftlichen Beschlussvorlage für den Verwaltungsausschuss nicht einmal erwähnt wurde. „Die Diskussion wäre dann sicher anders verlaufen.“

    Euch (Stadtrat) wird irgendeine digitale Lösung vorgeschlagen und ihr aktzepiert die weil euch der Name der App nicht genannt wurde?
    Nachfragen um welche es sich handelt waren nicht erlaubt?
    Peinlicher gehts wohl nicht… Schade und danke für nichts.

  • Belesener Bürger

    |

    @besorgter Bürger

    Vielleicht mal den ganzen Text lesen und nicht nur den Teaser? Es wurde nachgefragt, das wurde nebenbei erwähnt – und die Kritik von Gaittet ist, dass eine Information im Vorfeld wichtig gewesen wäre. Dann könnte man sich als Stadtrat auch vor der Debatte mit dem Thema beschäftigen.

  • Ein besorgter Bürger (EbB)

    |

    Hallo belesener Bürger,

    ich habe den Text gelesen.
    Meine Kritik ist das der Stadtrat Dinge durchwinkt die er nicht verstanden hat.
    Und ja, wäre da “Böse Smudo GeldmachApp” gestanden hätte er es vielleicht bemerkt.
    Ändert nichts an meiner Meinung.
    Die Kritik an der App teile ich mit ihm. Und den vielen anderen natürlich.

  • XYZ

    |

    Die Kontaktverfolgung hat ausgedient, wenn fast alle geimpft, sei es mit welchem Impfstoff auch immer – die hätten früher organisiert werden können, das ist die eigentliche Frage. Da wurde herum diskutiert, welche Vakzine zu tödlichen Nebenwirkungen führen können, wobei das Risiko geringer als bei tödlichen Unfällen im Strassenverkehr – und bei einer früheren behördlichen wenn auch vorsorglichen Zulassung statistisch gesehen wohl weit mehr Todesfälle hätten vermieden werden knnen – aber so ‘funktionieren’ Politik und Bürokratie – Ärzte wurden nicht eingebunden, die die Risiken im Einzelfall weit besser beurteilen können, dafür allerlei Vorschriften – der Bürger darfs austehen.

  • Tom J

    |

    Ich sehe das ähnlich wie besorgter Bürger. Wer am 22.04 !!! über eine digital App zur Nachverfolgung abstimmt und dann ggf. überrascht sein könnte, dass es sich um die Luca-App handelt hat sich meiner Meinung im Vorfeld nicht genügend informiert. Aber eigentlich auch eh egal – in Regensburg werden all diese Entscheidungen anschließend ja bedauert und als alternativlos dargestellt – egal ob Maskenpflicht ( und besonders die extreme Auslegung dass essen, trinken, etc auch alleine NICHT bzw. erst ab einer Inzidenz von unter 50 gestattet ist) und Vogelwilde Buden- und Zeltverschläge die als Impfzentren bezeichnet werden. Alles wird von der bösen Landesregierung vorgegeben und entscheiden darf man ja selber gar nix. Ziemlich traurig das Ganze….

  • Tom

    |

    @ joey

    “Mancher hat eben keine Lust auf Quarantäne, z.B. Selbstständige”

    Meinen Sie die Selbstständigen, welche immer noch mit allen Mittel versuchen das Steueraufkommen zu erwirtschaften, aus dem dann das Kurzarbeitergeld finanziert wird?

  • joey

    |

    @hank @M.Feilner
    ich kenne mich da nicht sehr aus. Ich halte es aber für wahrscheinlich, daß man mit Ermittlungen zur Geräteidentität Falschangaben herausfindet. Anonym ist im normalen web bekanntlich gar nichts.
    Selbstständige (ich kenne da viele) können schwere finanzielle Probleme bekommen, wenn sie wegen einem schlichten outdoor Eiscafe in Quarantäne fallen. Da ist die Motivation für einen Darth Vader recht leicht. Wäre aber ein Schuß nach hinten, wenn man dann ermittelt und … rechtlich oder sonstwie belangt wird. Somit ist die sichere Sache: keine app. Keine.

  • Piedro

    |

    Kommentar gelöscht. Bitte bleiben Sie beim Thema.

  • Markus Feilner

    |

    1) Nur 3 von 137 GÄ nutzen Luca im Alltag
    2) Ges.Amt Weimar: von 655 Luca Datensätzen waren 0 verwertbar.
    3) GA Bodenseekreis rief seit Pandemiebeginn erst 3 Mal Kontaktlisten ab.
    4) “Das GA Aachen beendete die Kooperation mit #LucaApp, zu groß die Sorgen, dass schlechte IT-Sicherheit bei Anbindung von Luca ans SORMAS Fachverfahren die IT des Gesundheitsamtes gefährdet”
    “Das Problem: Weil Grundregeln der IT Sicherheit nicht eingehalten wurden, kann man im #LucaApp System geradezu beliebige Daten bei der Registrierung eingeben, das kann auch Schadsoftware sein, und das Risiko dafür wird vollständig auf die Gesundheitsämter abgewälzt.”
    “Gérard Krause, SORMAS Entwickler, meint, dass die Fachanwendung Schadcode erkennt, will aber keine Verantwortung übernehmen für Schäden, die durch #LucaApp Daten im Gesundheitsamt entstehen.”
    “Sozialdezernent Ziemons, Stadt Aachen: “der Druck war massiv”, “Schimpfwörter wie Digitaltrottel fielen”, die #LucaApp Leute köderten mit kostenlosen Probephasen. “Dieses Geschäftsmodell ist so perfide.” ”
    Anke Domscheit-Berg zitiert hier https://twitter.com/anked/status/1389484477840244737
    aus https://www.zeit.de/digital/datenschutz/2021-04/luca-app-gesundheitsaemter-corona-kontaktverfolgung-hackerangriff-risiko

  • R.G.

    |

    @Markus Feilner
    *4) “Das GA Aachen beendete die Kooperation mit #LucaApp, zu groß die Sorgen, dass schlechte IT-Sicherheit bei Anbindung von Luca ans SORMAS Fachverfahren die IT des Gesundheitsamtes gefährdet”
    “Das Problem: Weil Grundregeln der IT Sicherheit nicht eingehalten wurden, kann man im #LucaApp System geradezu beliebige Daten bei der Registrierung eingeben, das kann auch Schadsoftware sein, und das Risiko dafür wird vollständig auf die Gesundheitsämter abgewälzt.”*

    IT Wissen ist nichts für mein kleines Hirn ; ) , trotzdem scheine ich manches eher zu verstehen als die jüngeren Leute, das liegt daran, dass ich weiß, dass ich nichts weiß. Deswegen suche ich immer den einzigen überlebenden deutschprachigen Menschen mit Computerwissen, der sich regelmäßig herablässt, meinereins alles verständlich zu machen.
    Mit Ihnen sind es jetzt beinahe zwei.

    Ich überzeichne folgend etwas.
    Eigentlich bin ich überzeugt, die Zahl der fraglich ankommenden Entscheidungen im Stadtrat, sei es bei Bau- oder Computersachen, ginge zurück, wenn es Deutschpflicht bei den Anträgen gäbe.
    Derzeit retten Ausländer, nach ihren Deutschkursen, unsere Sprache, unsere Alteingesessenen dagegen gefallen sich in Denglisch und Computerkauderwelsch, ohne Sinn und Inhalt vermitteln zu wollen. Hauptsache, es klingt gebildet.

    Ich bitte sie nun, nicht um sie zu triezen, sondern weil es nötig ist, die zwei zitierten Punkte noch einfacher zu erklären, in deutschen Worten, gerne für das Niveau von Zwölfjährigen.
    Die Leute verstehen es sonst nicht. Gestern erklärte mir ein junger Mensch, erfolgreicher Bachelor in Webdesign etc., treuherzig, die Luca App habe eine Datenschutzerklärung, wo immer sowas stehe, setze man sich aktiv für den Schutz der Daten der Nutzer ein. Da könne gar nichts falsch laufen….

  • Gizmo

    |

    @ Tom 4. Mai 2021 um 10:02
    Was sie schreiben ist nicht richtig. Es gibt einen Unterschied zwischen Kurzarbeitergeld und den finanziellen Hilfen für Selbständige und Betriebe.
    Beim Kurzarbeitergeld: Um eine Subvention des Staates für Betriebe in Notlagen handelt es sich dabei nicht. Das Kurzarbeitergeld ist vielmehr eine Versicherungsleistung. Arbeitgeber und Arbeitnehmer zahlen je zur Hälfte den Beitrag von zurzeit 2,4 Prozent in die Arbeitslosenversicherung ein. Aus den damit gefüllten Töpfen der Bundesagentur für Arbeit wird das Kurzarbeitergeld dann finanziert.
    Wenn sie dagegen die November- und Dezemberhilfe, Überbrückungshilfe, Neustarthilfe usw. für z.B. Soloselbstständige, Unternehmen und Einrichtungen, die von der temporären Schließung betroffen sind meinen, die werden von Steuergeldern bezahlt.

  • Piedro

    |

    Ich bin schon echt gespannt zu erfahren, welche Abgeordneten sich gegen welches Entgelt bei wem für diese APP “eingesetzt” haben. Es widerstrebt mir zu glauben, dass die “Verantwortlichen” tatsächlich so strunzdoof sind, das alles zu übersehen oder darüber hinweg zu sehen. Da glaube ich lieber an *hüstel* erfolgreiche Lobbyarbeit.

  • Mr. B.

    |

    Hallo Hr. Aigner, ich habe keinerlei Ahnung von Softwareentwicklung!
    Am Sonntag bei Ghost Town Radio wurde angesprochen und wie ich es verstanden habe, dass ein Rapper und eine Musik-Band ca. 25 Millionen vom Steuerzahler erhalten haben, damit sie diese Luca-App unter das Volk bringen.
    Dann müssen die einzelnen Länder jeweils nochmals ca. 5 Millionen zahlen (quasi Lizenzgebühren), obwohl es schon eine Warn-App gibt, welche offensichtlich viel besser ist, wie berichtet wird!
    Aus den weiteren Berichten ist nun zu erfahren, dass das “unwissentliche” Regensburg dieser App auch (quasi) zustimmen musste, obwohl andere Städte nach einem Probelauf die App gar nicht mehr verwenden, weil sie untauglich sein soll?
    Also mal ganz ehrlich, wenn ich das alles immer lese, dann meine ich, ich hab schon mindestens 5 Bier und eine Flasche Schnaps getrunken, obwohl ich gerade eine Wasserkur mache!
    Übrigens, “Marmor, Stein……..” war auch nicht schecht!
    Bitte bleiben Sie auch an dieser Geschichte dran. Danke!
    Es kann noch spannend werden, evtl. auch in Bezug auf Steuergeldverschwendung?

  • Piedro

    |

    @Mr. B.
    “…dass ein Rapper und eine Musik-Band ca. 25 Millionen vom Steuerzahler erhalten haben, damit sie diese Luca-App unter das Volk bringen.”
    Das ist falsch. Die Band hat investiert und hält 25% des Unternehmens. Einer der vier promotet das Produkt. Das Steuergeld hat das Unternehmen erhalten, ohne Ausschreibung, ohne Prüfung der Datensicherheit und der Funktionalität. Die Länder müssen nichts zahlen, sie tun es, um dieses Dingen nutzen zu dürfen, zu absolut marktunüblichen Konditionen.

    “…dass das “unwissentliche” Regensburg dieser App auch (quasi) zustimmen musste…”
    Auch das ist falsch, keine Stadt muss dieses Produkt nutzen. Auch nicht, wenn ein Bundesland sich da schon eingekauft hat. Gäbe es eine entsprechende Weisung wäre diese rechtswidrig. Die angebliche Vorgabe wäre für mich zwar in Bayern denkbar, aber gewiss nicht offiziell. Hier übt man sich in vorauseilendem, kritiklosem Gehorsam.

  • Markus Feilner

    |

    @R.G.
    *4) “Das GA Aachen beendete die Kooperation mit #LucaApp, zu groß die Sorgen, dass schlechte IT-Sicherheit bei Anbindung von Luca ans SORMAS Fachverfahren die IT des Gesundheitsamtes gefährdet”

    Die Software Luca ist so schlecht programmiert, dass die Gesundheitsämter Angst haben (müssen), sich gravierende Probleme ins Haus zu holen. So wie wenn sie bei einer Tankstelle Nitroglyzerin oder nen anderen Sprengstoff statt Benzin tankt, weil der Eigentümer Mist gebaut hat. Vielleicht geht’s am Anfang noch, aber ein, zwei Kilometer weiter fliegt ihnen alles um die Ohren. Ob der Vergleich stimmt, müssten Chemiker sagen. :-)

    und zur zweiten Sache:

    “Das Problem: Weil Grundregeln der IT Sicherheit nicht eingehalten wurden, kann man im #LucaApp System geradezu beliebige Daten bei der Registrierung eingeben, das kann auch Schadsoftware sein, und das Risiko dafür wird vollständig auf die Gesundheitsämter abgewälzt.”*

    Luca löst das Problem der Papierlisten, indem es öffentliche (digitale) Listen ins Internet stellt, ähnlich einem Aushang auf dem Dorf. Nur steht bei Luca da für alle lesbar, wer wann wo war. Da kann jeder reinschreiben, und auch was er will. Dummerweise kann es aber da Namen geben, die eine Katastrophe auslösen, weil sie im Gesundheitsamt quasi eine Explosion auslösen in den Computern. Einfach gesagt, könnte jemand “alle Computer herunterfahren” als Nachnamen eintragen und so alle Computer im Gesundheitsamt herunterfahren, weil die sich auf Versprechen von Luca etc. verlassen würden, dass sowas aussortiert wird.

    Aber beide Beispiele sind sehr vereinfacht. Vor allem Querdenker machen solche “Angriffe” derzeit schon, z.B auf Impfzentren.

  • Markus Feilner

    |

    Unter
    https://digikoletter.github.io
    haben die 70 führenden deutschen IT-Security-Wissenschaftler die Technik der Luca-App zerlegt. Fazit: Sicherheitsrisiko, Datenschutzproblem, fragwürdiges Agieren der Hersteller, dubioses Geschäftsmodell.

    Ich habe hier mal die Antwort der Luca-App-Macher sprachlich gewürdigt:
    https://twitter.com/mfeilner/status/1389357439175307266
    Sie ist gute PR, wie es sich für eine renommierte Münchner Agentur gehört, aber wer genau hinschaut wird mein Fazit teilen:
    “Das war die Antwort der Luca-Macher auf Vorwürfe und eine Warnung der deutschen TOP-IT-Security-Wissenschaftler. Sorry, aber bin ich alleine mit der Einschätzung, das klingt wie ein trotziges Kind? “MENNO!” ”

    Wenn das überhaupt professionell genannt werden kann, dann weil das typische Trump-Strategie ist, die die fahren. Man hätte auch inhaltlich antworten können.

  • Markus Feilner

    |

    Und hier gibt es die Datenschutzfolgenabschätzung. Nicht weil der Hersteller die freigegeben hat, sondern weil ein Bürger das Informationsfreiheitsgesetz bemüht hat, wurden Teile freigegeben:
    https://fragdenstaat.de/anfrage/datenschutzrechtliche-bewertung-der-app-luca-3/591486/anhang/Anlage1_lucaBeschreibung3.pdf
    Zum Vergleich die DSFA der Corona-Warn-App (die von Anfang an offen und frei und für jeden einsehbar entwickelt wurde): https://www.fiff.de/presse/dsfa-corona
    (eine sehr kritische Webseite von April 2020)

  • R.G.

    |

    Herr Feilner, freundlichen Dank für Ihre Bereitschaft, ganz einfach zu sprechen.
    Sie haben dabei die Methode einer Metapher, des blumigen Vergleichs, gewählt. Damit können Menschen erreicht werden, die auf anderer Ebene weghören oder abschalten.
    Ich bitte den Administrator, meinen nochmals eingestellten Link eines Videos der Johannes Kepler Universität nicht als Spam zu verstehen. Einige Minuten davon, etwa ab Minute 3:29 mit Prof. Rene Mayrhofer untermauern, was Herr Feilner vorher postete, allerdings wurde es bereits voriges Jahr gesagt. Die Entscheider zum Kauf der Luca App scheinen die Vorsichtshinweise dieser und anderer Professoren nicht beachtet zu haben…Der Quellcode einer App, und die dadurch mögliche Datenschutzfolgenabschätzung sollten öffentlich zugänglich gemacht werden, hieß es schon damals.
    https://www.youtube.com/watch?v=-p7nwFm6oD8

    https://de.wikipedia.org/wiki/Meinhard_Lukas
    Rektor Meinhard Lukas
    Da er selbst schwer chronisch erkrankt ist, wie einige der an den Corona Update Videos beteiligten aktiven Professoren, kennt er, wie schwer es ist, an die richtigen Informationen in kompakter Form zu kommen.

  • schwurbi

    |

    reines linkes verschwörungsgeschwurbel um die app, man muss sie ja nicht nutzen.

    gegen sogenannte verschwörer hetzen und selbst das gleiche posten und verkaufen!!
    pfui!!

  • Piedro

    |

    @schwurbi
    Genau! Endlich merkt es jemand! Die technischen Analysen, die Verweise auf die Verträge, auf die fehlende Ausschreibung, auf Mängel aller Art sind natürlich nichts anderes als Geschwurbel! Eine Verschwörung von Datenschützern und IT-Technikern, um Smudo die Weltherrschaft zu entziehen! Was für verabscheuungswürdige Hetzer!

    Sonst noch was?

  • Mr. B.

    |

    @Piedro
    Ihre Angaben überzeugen mich in keinster Weise!
    Können Sie ‘Fleisch’ bringen? Ja offensichtlich nicht!

  • Piedro

    |

    @Mr. B.
    Sorry, da muss ich passen. War nur ganz kurz “aufgewacht”. Aber vielleicht hielt Ihnen schwurbi, wenn von dieser Seite nicht schon alles gesagt ist.

  • R.G.

    |

    Herr Feilner hat, wie ich hier und anderswo hören konnte, die Bereitschaft behalten, Erwartungen der Laien zu hören und technisch umzusetzen. Mit der Dialogwilligkeit ist es ihm wiederum möglich, die möglichen Schwachstellen eines Programmes in allgemein verständliche Worte zu fassen. Das ist umso notwendiger, wenn Politiker durch die Zustimmung zu einer privaten App als empfohlenes Arbeitsmittel für die Ämter, wie hier geschehen, eine Art der Nutzung ermöglichen, wie sie den offiziellen Stellen zur gleichen Zeit nicht gestattet wäre.

    Entscheider in Betrieben und noch mehr in der Politik sollten, um sich mündig machen zu können, bereits vor einer Bewertung, ausdrücklich mit der allgemeinverständlichen Sprache mächtigen IT-Fachleuten unterhalten, wie der größtmögliche Schutz der Daten der Bürger mit den Erfordernissen zusammengebracht werden kann.

  • Piedro

    |

    @R.G.
    Jau, der Feilner ist ne coole Socke.

    Der Stadt beschloss, “eine möglichst einheitliche bzw. interkompatible App zur digitalen Kontaktnachverfolgung in der Stadt und Landkreis Regensburg zu etablieren”. Das ist ja ne gute Idee. Deshalb wurde ja die CWA entwickelt. Dass die es nicht sein sollte wurde den Beschließenden vorher nicht mitgeteilt, das kam erst raus, als jemand nach den Kosten fragte.

    Diese sind, wie sich nun herausstellt, ebenso intransparent wie so ziemlich alles andere. Darüber kann man sich noch lange austauschen, geht aber irgendwann am Thema vorbei. Es schaut so aus, als sollte der Stadtrat dieser App zustimmen, deshalb wurden alle relevanten Informationen unterschlagen und ein Disput über die Sinnhaftigkeit dieses Angebotes verhindert. Weshalb es nicht die App des RKI sein soll, die auf alle Anforderungen, von der Nutzbarkeit bis zum Datenschutz, geprüft ist, weiß wohl keiner. Noch nicht. Aber es wird schon einen Grund geben, warum das Angebot eines privaten Anbieters, und sei es noch so fragwürdig, dem vom Staat selbst entwickelten Angebot vorzuziehen sein soll.

    Nach allem, was nun bekannt ist, dürften die wenigsten Veranstalter und Gastronomen dieses Ding haben wollen, schon wegen des Haftungsrisikos, sondern auf die verlässlichere und bedenkenlos nutzbare CWA setzen. Wer als Gast weder das eine, noch das andere will, oder gar kein Smartphone hat, gibt seine Kontaktdaten halt schriftlich ab.

    Unterm Strich ist das Thema nach wie vor: man hat den Stadtrat durch das Vorenthalten wesentlicher Informationen zur Staffage gemacht. Dazu braucht es diesmal keinen Anbieter oder Eigentümer, das hat die Oberbürgermeisternde mit ihrer Verwaltung ganz allein geschafft. Die Stadtratenden hoben brav die Hände und nickten ab, was abzunicken war, denn sie wussten wieder nicht was sie tun. Sie sollten das nicht wissen.

    Um das zu werten muss man nicht über Geschäftsmodelle und IT-Sicherheit diskutieren. Um es mit Smudo zu sagen:
    “Das Drumherum muß stimmen, sonst ist alles null und nichtig. Das Image ist sehr wichtig, richtig? Richtig.”

  • R.G.

    |

    @Piedro
    ” Es schaut so aus, als sollte der Stadtrat dieser App zustimmen, deshalb wurden alle relevanten Informationen unterschlagen und ein Disput über die Sinnhaftigkeit dieses Angebotes verhindert.”

    Gefühlt ja, aber es kann anders gewesen sein.

    In Quasi-Deutsch, wir stimmen heute über eine Lösung ab. Unsere Bayerischen Politiker haben sich dafür entschieden. Das Zeug war teurer als das staatliche, Markenware sozusagen, deshalb stimmen wir zackzack dafür. ;)

  • KW

    |

    Gestern Abend beim zappen versehentlich bei TVA hängengeblieben. Da wurde irgendeiner von Söders Landtagsvasallen interviewt. Die wollen scheints tatsächlich diese Smudo-App etablieren.

  • Mr. T.

    |

    KW, so schlecht kann gar nix sein, dass die sowas nicht etablieren wollen. Hat man ja an der Maut schon gut beobachten können.
    Schlimmer als jedes noch so große Desaster ist nur, zuzugeben, auf etwas falsches gesetzt zu haben.

  • Piedro

    |

    “Im Rahmen einer Verhandlungsvergabe hat das Bayerische Staatsministerium für Digitales sich unter den bestehenden Anbietern für die Luca-App entschieden. Die Luca-App bietet Betrieben, Behörden sowie weitere Organisationen und Gästen eine Möglichkeit Kontaktdaten digital und datenschutzkonform auszutauschen.

    Ein zentrales Kriterium war die direkte Anbindung an die Gesundheitsämter.”

    Eine Markterkundung hat gezeigt, dass lediglich zwei Anbieter sämtliche Kriterien erfüllen. Im Zuge des anschließenden Vergabeverfahrens hat sich die Luca-App als beste Lösung herausgestellt.

    Die Einhaltung der Bestimmungen der Daten­schutz­grund­verordnung (DSGVO) waren ein Kriterium im Vergabeverfahren. … Die Bayerische Staatsregierung hat sich umfassende Prüfungs- und Kontrollrechte einräumen lassen.”

    Bis dahin schon recht lustig, aber jetzt biegen sich die Balken:
    “Nach Einschätzung der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, weist das Luca-System eine tragfähige Konzeption und tragfähige technische Architektur auf. … Weitere ausführliche Informationen zum Thema Datenschutz finden Sie in der Stellungnahme zu Kontaktnachverfolgungssystemen (PDF, 262 KB) der Konferenz der unabhängigen Datenschutzaufsichtsbehörden.”
    Quelle: https://www.stmd.bayern.de/themen/kontaktnachverfolgungs-app/

    In der verlinkten Stellungnahme steht allerdings ganz was anderes: https://www.datenschutzkonferenz-online.de/media/st/20210429_DSK_Stellungnahme_LUCA.pdf – vom 29.4.21
    “Weitere Untersuchungen der Aufsichtsbehörden haben gezeigt, dass manche Risiken, die sich – trotz der dem Grunde nach tragfähigen Konzeption des Luca-Systems – insbesondere im Bereich der durchgängig verschlüsselten Kontaktdaten durch den nun geplanten weitverbreiteten Einsatz mit erhöhten Wahrscheinlichkeiten von missbräuchlicher Nutzung ergeben, weitere technische Schutzmaßnahmen erforderlich machen. … Dies führt aufgrund der Möglichkeit von beispielsweise automatisierten Angriffen zu einem erhöhten Missbrauchsrisiko. … Die zur Verhinderung genau dieses Umstands eingesetzte Rufnummernüberprüfung lässt sich für technisch versierte Angreifer umgehen und kann ihrerseits zur Belästigung von Personen missbraucht werden, die
    dann SMS-Nachrichten mit Bestätigungscodes erhalten würden. Die Konferenz weist die Gesundheitsämter darauf hin, dass sie bis zur Korrektur dieses Verhaltens des Systems – wie bei Papierdokumenten auch – nicht von der Korrektheit der ihnen vorgelegten Kontaktdaten ausgehen können. … Ein Kontaktnachverfolgungssystem, das nicht in der Lage ist, den Gesundheitsämtern valide Daten zu liefern, die diese für die Kontaktnachverfolgung effizient einsetzen können, wird seiner Zwecksetzung nicht gerecht. … Nach dem derzeitigen Stand kann daher ein qualifizierter Angriff von Dritten gegen die zentralen IT-Systeme des Dienstes dazu führen, dass ab dem Zeitpunkt eines erfolgreichen Cyberangriffs die Funktionsweise des Luca-Systems manipuliert wird und im schlimmsten Fall die Angreifenden in großem Umfang Daten über die Anwesenheit von Personen bei Veranstaltungen etc. entschlüsseln und ausleiten können. … Die Konferenz anerkennt die Anstrengungen und die Kooperationsbereitschaft des Unternehmens und erwartet, dass dieser Arbeitsplan unverzüglich und
    mit der größtmöglichen Sorgfalt abzuarbeiten ist. Das System weist dem Grunde nach eine tragfähige technische Architektur auf. Dennoch erforderliche Weiterentwicklungen des Systems werden die zuständigen Aufsichtsbehörden fortlaufend kritisch prüfen.”

    Das “dem Grunde nach” und “aber” hat das Bayr. Staatsministerium für Digitales lieber mal unterschlagen. Keine der vom Gremium festgestellten Probleme wurde behoben. Bezahlt ist ja schon, also wird der Anbieter schon noch alles richten was gerichtet gehört.

    Solche Geschäfte kann man echt nur mit staatlichen Stellen machen. Jemand könnte mal den Söder in Quarantäne schicken, oder gleich den ganzen Landtag. Technisch ist das jetzt machbar.

Kommentare sind deaktiviert

drin