Hallo, meine App ist nicht Luca.
Warum?
Für alle, die nicht viel lesen wollen, hier ein kurzer Abriss.
Zuerst das Gute: Luca wirbt weder mit KI noch mit Blockchain, also den beiden Buzzwords, bei denen man derzeit sicher sein kann, dass sie einen manischen Kaufreflex bei öffentlichen Stellen auslösen.
Die App soll die Kontaktlisten in Restaurants etc. ablösen. Wir erinnern uns: Letztes Jahr ging es schon durch die Presse, dass ein ziemlicher Teil der Einträge in den Kontaktlisten von Restaurants Fake war: Donald Duck und Darth Vader waren dort essen.
Warum macht man das?
Nun, es gibt bis heute Menschen, denen Sinn und Zweck der Kontaktnachverfolgung in einer Pandemie nicht klar ist. Menschen, die ernsthaft ihr Kind in der letzten Woche vor den Osterferien in der Schule ausdrücklich nicht am Schnelltest auf SARS-CoV2 haben teilnehmen lassen, weil sie im Fall einer Quarantäne nicht nach Mallorca fliegen können.
Das muss man erstmal sacken lassen. Dass Menschen sich in derartige Kontaktlisten eben als Donald Duck eingetragen haben ist absolut kein Wunder. Diese Menschen sind einfach dumm, arschig und unsolidarisch.
Die Corona-Schutz-Verordnungen vieler Bundesländer (oder gar aller?) schrieben daraufhin vor, dass die Restaurantinhaber:innen die Einträge ihrer Gäste zumindest auf Plausibilität prüfen müssen. Aus Donald Duck aus Entenhausen wurde dann halt Michael Müller aus Mühlheim.
Jetzt kam Smudo und präsentierte die Luca-App. Die kann das mit den Listen komplett elektronisch, keine handgeschriebenen Kontaktlisten, keine lästige Plausibilitätsprüfung, nur schnell QR-Code scannen und – zack! – eingecheckt.
Der Gastgeber scannt also den Code auf meinem Smartphone und ich bin eingecheckt, man kann dann anhand einer eindeutigen ID, die im Code versteckt ist, nachvollziehen, wer alles zu einem bestimmten Zeitpunkt an einem bestimmten Ort war, an dem sich nachträglich ergeben hat, dass ein:e Anwesend:e Corona-Viren verbreitet hat und alle anderen sich angesteckt haben könnten.
Das alles ist verschlüsselt und das Gesundheitsamt kann im Fall eines solchen Falles per Internet die Kontaktdaten der möglicherweise Infizierten per Mausklick abrufen und alle informieren.
Soweit die Theorie, soweit ok.
Die ersten Bundesländer haben die App „gekauft“, also auch in ihren Corona-VOs zum amtlichen Hilfsmittel gemacht. Beispielsweise Hessen. Da steht die Luca-App in der Corona-VO ausdrücklich als Alternative zu handgeschriebenen Listen.
Wie geht das nun mit „Luca“? Man sucht sie im zuständigen App-Verzeichnis, also dem App-Store unter iOS und dem PlayStore unter Android. Dann lädt man sie herunter und startet sie. Der Registrierungsvorgang beginnt beim ersten Start automatisch.
Was wird abgefragt?
Die Handynummer zuerst.
An die Handynummer wird dann per SMS eine Transaktionsnummer geschickt, die man in die App eingeben muss. Danach geht es weiter, Name, Anschrift und, wenn man will, Mailadresse werden abgefragt.
Ich hab mit das nun einfach gemacht. In Telepolis hat Markus Feilner die App schon unter die Lupe genommen. Er stellte fest, dass auf der Website sms24.me, auf der man werbefinanziert eine Reihe von Handynummern pro Land zur Verfügung hat, um irgendwelche Nachrichten zu bekommen ohne dem Absender die echte eigene Handynummer zu offenbaren, haufenweise Transaktionsnummern von Luca eingegangen sind.
Als ich selber vor zwei Stunden die Luca-App mit Hilfe von sms24.me registriert habe, war der Absender (schon?) nicht mehr Luca sondern eine Art Premium-SMS-Nummer.
Danach wird man nach seinen persönlichen Daten gefragt – Name, Vorname, Straße, Hausnummer, Postleitzahl und Ort. Um es kurz zu machen: Donald Duck has entered the building.
Genau das, was verbesserte Corona-Schutz-Verordnungen erreichen wollten – nämlich, dass ich statt meiner persönlichen Daten einfach einen Scheiß in die Kontaktverfolgungsliste schreibe – ermöglicht Luca.
Und zwar auf eine Weise, dass es gar nicht auffallen kann. Luca gaukelt vor, eine Handynummer überprüft zu haben, ermöglicht aber offensichtlich reihenweise Nutzer:innen, dieselbe (!) Handynummer zur Registrierung zu nehmen. Zumindest habe ich beim Runterscrollen der Nachrichten an die von mir genutzte deutsche sms24.me-Nummer alleine in den letzten drei Stunden vier Luca-TANs entdeckt, zwei davon nach meinem Versuch, und trotzdem ist meine Luca-App noch funktionstüchtig. Obwohl mindestens 4 Nutzer:innen sich über diese Nummer registriert haben.
Die App, die sicherstellen soll, dass niemand anonym und nicht nachvollziehbar auf Veranstaltungen oder in Restaurants geht, erlaubt augenscheinlich beliebig viele aktive Registrierungen mit derselben anonymen Handynummer eines Web-Dienstes.
Tolle Wurst, oder?
Dass es neben sms24.me noch eine Reihe weiterer Dienste zum anonymen Empfang von SMS gibt und man daneben z.B. bei eBay für unter 10€, manchmal sogar unter 3€ zzgl. Versand neue und „gebrauchte“ quasianonyme Prepaid-SIM-Karten bekommen kann, macht die Registrierung nur über eine SMS an eine beliebige Handynummer absolut nutzlos. Querdenker, Idioten und Arschlöcher können sich anonym registrieren, ihre Identität geheim halten, sich infizieren und weitere Leute infizieren.
Und sie werden es machen. Weil sie es können.
An dieser Stelle könnt Ihr dann aufhören, wenn Ihr nicht mehr lesen wollt, denn es ist offensichtlich, dass die Luca App von der Ehrlichkeit der Nutzer:innen abhängt und ein Verhindern gefakter Checkins in Gaststätten oder bei Events durch die App nicht mehr möglich ist. Auf Papierlisten würden wenigstens die dreisten Fälschungen auffallen, wer als Donald Duck einchecken will, der kann das aber mit der Luca-App, und es fällt erst auf, wenn die Kontaktverfolgung erforderlich, aber nicht mehr durchführbar ist.
Man mag hier einen gewissen „Schwund“ einkalkulieren – wie bei zwar auf den ersten Blick plausiblen, aber doch falschen Einträgen auf Papierlisten – aber dem Hype nach, der um die App gemacht wird, ist sich dessen niemand bewusst.
Der Hersteller der App appelliert an die Eigenverantwortung der Nutzer:innen. Echt jetzt? Die Eigenverantwortung, die uns in die Situation gebracht hat, in der wir sind? Die Eigenverantwortung von Leuten, die sich Gesundheitszeugnisse gegen das Tragen von läppischen Masken ausstellen lassen? Die – siehe oben – nicht in der Erkrankung das Problem sehen sondern in der Quarantäne?
Wo waren die Entwickler und die Chefs der Firma eigentlich in den letzten 12 Monaten?
Luca ist einer der typischen Fälle, wo das Management versucht, ein Problem mit irgendeiner technischen Lösung zu beheben, ohne die Technik und die damit verbundenen Probleme auch nur im Ansatz zu verstehen.
Dass Handynummern nicht immer so gut auf eine Person zurückzuführen sind, wie der Staat es sich wünscht, ist nunmal so, aber diese quasianonymen SIM-Karten hat halt nicht jede. Wohl aber sehr schnell jede Person, die die Luca-App benutzen will oder muss und dabei anonym bleiben will. Damit eben keine Quarantäne über sie verhängt wird. Damit müssten sowohl die Entwickler:innen und die Politiker:innen schon rechnen.
Dass auch noch multiple Registrierungen mit derselben (!) Handynummer möglich sind, ist ein offensichtlicher und gravierender „Bug“ im Konzept der App selber. Weiterhin wird die angegebene Adresse exakt gar nicht auf Plausibilität geprüft. Natürlich gibt es Entenhausen nicht, die Postleitzahl 48215 aber auch nicht.
Abgleichmöglichkeiten, um hier durch Internetdienste Phantasieadressen zu verhindern, gibt es durchaus. Man muss sie nur nutzen. Wer damit wirbt, dass Menschen durch eine App identifizierbar sind, muss die Möglichkeiten erst Recht nutzen. Sonst ist die App komplett nutzlos.
Wer weitere Hintergründe zur Umsetzung der App hören will kann das hier in der (großartigen) Wochendämmerung tun.
Das ganze wäre nicht ganz so schlimm, wenn nicht zufällig diese App von Smudo von den Fantastischen Vier so gepusht worden wäre. Durch diesen PR-Stunt scheint es so, als ob es keine alternativen digitalen Kontaktverfolgiungsapps – also keine Konkurrenz, keine Alternative – gibt.
Das ist aber falsch.
Zum einen ist die Kontaktverfolgung genau das, was die Corona Warn App macht. Nur anders und anonym, dafür im staatlichen Auftrag und offenbar bereits auf 20 Millionen mobilen Geräten. Lediglich der Checkin bei einem spezifischen Lokal oder einer Veranstaltung über einen QR-Code fehlt. Noch. Denn bis Ende April soll das Feature entsprechend online gehen.
Googlet bitte mal „kontaktverfolgung app -luca„. Der erste Treffer verweist auf einen Bericht aus dem Oktober 2020 über eine Clusterverfolgungs-App, die ein Tagebuch führt. Eine Erweiterung um QR-Codes zum Checkin an bestimmten Orten ist da mit wenig Aufwand möglich.
In Berichten über die Luca-App las ich von „40-50“ alternativen digitalen Kontaktverfolgungsmethoden, die bislang (neben der Corona-Warn-App) in Deutschland existieren. Wie „Darf ich rein?“, das die DeHoGa selber schon letztes Jahr zum Führen von Besucherlisten entwickelt hat.
Trotzdem haben mehrere Bundesländer die App „gekauft“, dabei, weil es ja schienbar keine Alternative gab, auf Ausschreibungsrecht verzichtet. Normalerweise muss der Staat, wenn er Software oder Ähnliches kaufen will, eine Ausschreibung machen.
Zuerst macht man sich Gedanken, welches Problem die Software lösen soll, stellt Rahmenbedingungen dafür auf, und schreibt dann die Leistung aus. So sorgt man nicht nur dafür, dass alle Anbieter entsprechender Lösungen auf dem Markt die gleiche Chance haben, sondern man bekommt in der Regel die beste für den gewünschten Zweck verfügbare Lösung.
Im Fall der Luca-App haben sich einige Bundesländer offenbar auf eine Marktanalyse aus Mecklenburg-Vorpommern verlassen, die anhand der Featureliste von der Homepage der Luca-Hersteller ermittelt hat, dass es nur eine App gibt, die genau das macht. Und deshalb die Ausschreibung auf einen Anbieter beschränkt, weil er ja nach seinem eigenen Glanzpapier konkurrenzlos ist.
Unsinn, denn, wie gesagt: Es gibt Alternativen.
Das alles ist schon an sich schlimm. Es wird Geld investiert in eine Lösung, die alles einfacher machen soll, es aber am Ende nur unsicherer und schlechter macht. Was für mich aber das absolute I-Tüpfelchen ist, ist die Verquickung zwischen dem Hersteller der App und einem massiv für die App werbenden Kapitalgeber.
Der Hersteller hat nämlich von einer Firma namens „Fantastic Capital“ Kapital bekommen und muss dem Vernehmen nach wohl rund 1/4 seiner Gewinne an Fantastic Capital abführen.
Fantastic Capital? Anschrift laut Handelsregister:
c/o Beck, Dürr, Rieke, Schmidt GbR, D-70199 Stuttgart.
Genau: Michi „Dee Jot Hausmarke“ Beck, Thomas „D“ Dürr, Andreas „And.Ypsilon“ Rieke und Michael „Smudo“ Schmidt.
Die Plausibilität bzw. Echtheit der angegebenen Daten ist ja nur die halbe Wahrheit. Ein weiteres Problem der „Zettelwirtschaft“ war, daß man als Gast in einem Restaurant eben sehen konnte, wer da noch so war. Mit Namen, Adresse und Telefonnummer.
Das kam ganz auf’s System drauf an. Ich habe sowohl eine „Liste für einen Tag“ (mäh) als auch „eine Liste für einen gemeinsamen Tisch“ (viel besser) gesehen.
Ein weiteres Problem war übrigens auch, dass die ersten Listen schon nach zwei Wochen durch verschiedene Polizeibehörden abgegriffen wurden. Da braucht man sich nicht wundern, wenn das Vertrauen schwindet und insbesondere in linken Szenelokalen keiner mehr seine realen Kontaktdaten einträgt.
Der Charme der Zettelwirtschaft gegenüber der Luca-App ist ja am Ende des Tages, dass die Luca-App gar nicht wirklich anonym ist. Die Daten werden (nach meinem Verständnis beim Checkin) verschlüsselt gespeichert und erst dechiffriert, dem Gesundheitsamt zugänglich gemacht und ausgewertet, wenn ein konkreter Infektionsverdacht vorliegt. Das entscheide aber nicht ich als derjenige, dessen Daten es sind, sondern – die Anwendung. Die hat den Schlüssel zum Dechiffrieren und es ist nach meinen Erfahrungen absehbar, dass die Anwesenheitslisten von Ermittlern und „Diensten“ abgegriffen werden. Dechiffriert. Und offen für maschinelle Auswertungen.
Das Hauptproblem ist doch, dass auch völlig korrekt erfasste Daten vom Gesundheitsamt praktisch nicht genutzt werden können, weil eine manuelle Abarbeitung von riesigen Datenbergen an der Personalkapazität scheitert. Die Corona-Warn-App (CWA) könnte dafür praktisch fast von selbst schnell und umfassend warnen. Aber die Verordnungen verlangen quasi Listen und die vom Staat betriebene CWA wird nicht anerkannt.
Beste Nachverfolgung, die ich gesehen habe, waren einzelne Postkarten.
Die Gäste haben je eine Postkarte mit Datum an sich selbst ausgefüllt. Die wurden dann nach 14 Tagen verschickt und waren Gutschein für ein kleines Getränk bei x Umsatz.
Damit war nach 14 Tagen ‚die Liste gelöscht‘ und alles abseits von Hardcore-Schwurbler hatte einen echten Anreiz, korrekte Daten abzugeben.
Warum fällt Dir das alles jetzt anhand der Luca-App auf? Vor bald einem Jahr wurde die Entwicklung der Corona-Warn-App beschlossen, welche gleichermaßen von der Ehrlichkeit ihrer Nutzer:innen abhängt und obendrein die Mitwirkung an der Pandemiebekämpfung explizit für freiwillig erklärt. Es war also ein Jahr Zeit, realistische Anforderungen an eine effektive und effiziente Kontaktverfolgung zur Unterbrechung von Infektionsketten zu formulieren und praktizierte oder geplante Vorgehensweisen zu kritisieren. Dies ist nicht geschehen und dafür kann Luca nichts.
Die Konzepte der beiden Apps sind nicht vergleichbar. Die CWA ist freiwillig und deckt sowohl die Kontaktnachverfolgung als auch die Benachrichtigung bei Risikokontakten ab. Kein Gesundeitsamt muss mich informieren können, dass die CWA einen Risikokontakt erkannt hat, ich bleibe anonym.
Luca wurde von den Promotern als Ersatz der Kontaktlisten in z.B. Restaurants vermarktet. Das impliziert zumindest, dass die Nutzung eben nicht als Donald Duck möglich ist und durch die App eine Benachrichtigung durch das Gesundheitsamt ermöglicht wird.
Genau das, was in den Medien als Verkaufsargument und Alleinstellungsmerkmal dargestellt wird, ist aber nicht gegeben.
Stellt sich heraus, dass z.B. eine Theateraufführung wahrscheinlich ein (Super?)Spreading-Event war, wird das zuständige Gesundheitsamt per Luca neben den Einträgen verantwortungsvoller Menschen mit einem Haufen Fakeadressen zugemüllt, die nicht nur unnötige Arbeit machen, sondern ohne Luca – z.B. bei Vorbestellung der Eintrittskarten per Mail und Führen von Besucherlisten durch das Theater weitestgehend hätten verhindert werden können.
Da wäre sogar die CWA auf dem Handy als Voraussetzung zum Eintritt die bessere Lösung, denn da kann ich mangels Personalisierung gar keine Fake-Daten eingeben und die App benachrichtigt mich selber. Da sehe ich sogar die Chance, dass wenigstens einige der Leute, die bei Luca Fake-Daten eingeben, sich nach der Alarmierung per CWA überlegen, doch mal einen Test zu machen.
Danke für die ausführlichen Informationen. An diesem Beispiel können wir sehen, wie gerade die Verweigerer die Türen für eine weitere Einschränkung des Datenschutzes öffnen. Solch eine App wird, wenn man deinen Ausführungen folgt, nur dann sinnvoll sein, wenn sie an eine klar identifizierbare Bezugsgröße gekoppelt ist.
Da dies mit der Mobilnummer nicht möglich ist, werden solche Dienste in Zukunft an eine einmalige Nummer wie z.B. die Steuernummer gekoppelt werden (müssen). Wenn man das zu Ende denkt, wirst du mit deinem Handy immer getrackt. Und du wirst es auch immer bei dir tragen müssen, da sonst solche Apps wie Luca nicht funktionieren und du keinen Zugang zu Geschäften etc. erhältst.
Das ist der Spagat zwischen Datenschutz und Wirksamkeit, der schwierig zu lösen ist.
[…] von Jan Böhmermann, der aus der Ferne nachts im Osnabrücker Zoo einchecken konnte, von Nutzern, die sich problemlos mit Fake-Nummern registrieren konnten, von einer virtuellen Party mit vermeintlich 600.000 Gästen oder von einer Nutzerin, die davon […]
Möchte kurz einen Beitrag aus Österreich beisteuern. Wir haben bis zum Beginn der Schließung der Gastronomie im November 2020 eine größere Menge an Betrieben mit unserer „Wiener Gästeregistrierung“ und „ticket4you.at“ als digitale Gästeliste unterstützt.
Ich habe auch für die Österreichische Wirtschaftskammer eine Überprüfung aller 61 Anbieter (lt. Liste der Sparte Gastronomie) durchgeführt. Im Endergebnis haben nur 5 Anbieter (Darfichrein.de war nicht dabei) die regionalen Vorschriften vollständig erfüllt. Das geht sogar soweit, dass in den westlichen Bundesländern Tirol, Salzburg und Vorarlberg eine Lösung von allen Fremdenverkehrsverbänden für ihre Gastronomie- und Hotelbetriebe gekauft haben, die nicht einmal die Verordnungen der eigenen Landesregierungen erfüllen. Hier gibt es einfach einen Herdentrieb. Ein vorausschauender Tourismusverband hat im August 2020 eine Gästeregistrierung programmieren lassen. Da gab es aber noch keine Verordnungen, wie diese im Herbst gesetzeskonform aussehen müssen. Alle anderen Verbände haben diese Lösung ungeprüft übernommen. Letztendlich jedoch ohne Folgen, da wir ja bisher bis auf Vorarlberg keinen Betrieb mehr offen haben.
Zu dem Artikel: wir haben in unseren Lösungen „Blacklists“ eingeführt um Gäste wie „Donald Trump“ oder „Max Mustermann“, ungültige Postleitzahlen und andere Phantasiebezeichnungen zu verhindern. Theoretisch wäre es sogar möglich, die gesamten Straßennamen je PLZ zu überprüfen. Allerdings muss ich zugeben, dass diese „Blacklists“ nur für PR Zwecke geeignet sind. Zum einen haben wir den echten Herrn Mustermann tatsächlich an einer Registrierung gehindert und mussten den dann nach Urgenz als Ausnahme hinzufügen, zum anderen haben wir bei den Namen nur die Phantasie der Gäste angeregt, um nach dem Hinweis, das die Eingabe ungültig ist, einen anderen Namen zu probieren. Allerdings geben über 70 % der Benutzer nach Donald Trump und Co einen glaubwürdigen Namen an.
Wir arbeiten mit SMS Verifizierung der Telefonnummer oder E-Mail als Verifizierung. Je nach Kostenmodell. Die doppelte Eingabe einer Telefonnummer ist nicht möglich.
Generell halte ich das Modell von Luca die Lizenz an die Gesundheitsämter zu verkaufen als das wirtschaftlich sinnvollste Businessmodell. Warum? Wir hatten in den über 6.000 Wiener Betrieben im Zeitraum September bis Mitte November 2020 nur ZWEI Anfragen zum Thema Contact Tracing der Behörde… Außerdem möchte keiner der Gastronomen für die Lösung etwas bezahlen und eigentlich auch keine Registrierung durchführen (ticket4you.at). Am besten der Gast erledigt alles selber (Wiener Gästeregistrierung).
Wobei alles zusammen eigentlich völlig sinnlos war, da es weder eine Kontrolle durch irgendeine Behörde gab ob alle Gäste im Lokal registriert sind, noch eine Möglichkeit zur Bestrafung der säumigen Betriebe. In Wien wurde sogar rückwirkend die gesamte Verordnung wegen Verstoß gegen die DSGVO aufgehoben.
Na ja, bald haben wir die Möglichkeit wieder neu zu starten…
LG aus Wien
Erwin Kreczy