Trotz starker Kritik an der luca-App wird sie bereits von zahlreichen Gesundheitsämtern, Geschäften oder Dienstleistern in Deutschland genutzt. Sie soll bei der Kontaktverfolgung nach Restaurantbesuchen, Veranstaltungen und im privaten Bereich helfen. Doch die Macher der luca-App müssen sich gegen anhaltende, massive Vorwürfe von Datenschützern verteidigen.Wachsende Kritik am Datenschutz bei der luca-AppDie luca-App digitalisiert die Kontaktverfolgung nach Besuchen in Restaurants und Veranstaltungen. Damit hilft sie zum Beispiel Gastronomiebetrieben und Veranstaltern Kontaktinformationen der Gäste und Kunden leichter zu erfassen, zu beschleunigen und zu speichern.Dazu gibt es die luca-App und einen analogen Schlüsselanhänger. Dieser ist für Menschen gedacht, die kein Smartphone besitzen, aber regelmäßig luca-Standorte besuchen. Die Anwender von luca müssen personenbezogene Daten wie Name, Adresse und Telefonnummer von sich angeben und die App aktiv nutzen, indem sie z.B. ihre Aufenthaltsorte erfassen. Dafür scannen Sie am Eingang des Restaurants oder Veranstaltungsortes einen QR-Code ein. Verlässt man diese Areale wieder, wird man über eine Geofencing-Erkennung automatisch ausgecheckt, wenn man einen vordefinierten Radius verlässt. Die personenbezogene Daten werden in der luca-App gespeichert. Dadurch sollen diese für Außenstehende nicht so leicht zu lesen sein wie Einträge auf Papier, die zuvor bei Restaurantbesuchen o.ä. ausgefüllt werden mussten. Die Luca-App wird als eine Ergänzung zur bestehenden Corona-Warn-App promotet, die die Gesundheitsämter bei der Kontaktnachverfolgung unterstützen soll. Über die luca-App können die Gesundheitsämter, die die App an ihr System angebunden haben, die Kontaktpersonen informieren, falls es zu einer Corona-Infektion kommt. Das geht bei der Corona-Warn-App der Bundesregierung nicht. Hier bleiben die Anwender anonym, kein Gesundheitsamt kann über die App mit ihnen Kontakt aufnehmen. Auch private Treffen können mit Luca registriert werden. Dafür können QR-Codes erstellt und mit den teilnehmenden Freunden oder Familienmitgliedern verknüpft werden. Allerdings werden bei luca Bewegungsprofile einzelner Anwender mit personenbezogenen Daten und Standorten erstellt. Das hat bereits viele Datenschützer und IT-Experten hellhörig werden lassen. Sie sind der Meinung, dass es eine digitale Kontaktnachverfolgung geben muss, um die Pandemie einzudämmen. Personenbezogene Daten sollten allerdings, anders als bei der luca-App, auf das dafür notwendige Maß beschränkt werden. Sie empfehlen bereits existierende Systeme, wie der Corona-Warn-App, NotifyMe (Schweiz), NHS COVID-19 (Großbritannien) und NZ COVID Tracer (Neuseeland). Diese arbeiteten effektiv, dezentral und minimierten die Risiken für Bürger auf ein Minimum, wenn es um die Daten ginge. luca-App mit PannenDie Kritik an der luca-App lässt nicht nach, was Sicherheit und Datenschutz angeht. Der Moderator Jan Böhmermann deckte einen eklatanten Fehler mit gefaktem Nacht-Besuch im Zoo auf. Zum Einloggen genügte wohl ein Foto, das den QR-Code vor dem Zoo zeigt. Er verwendete zudem ein Fake-Profil.Vor allem seit Veröffentlichung eines Teils des Quellcodes gibt es Kritik an Sicherheit und Datenschutz bei luca. Inzwischen warnen Experten auch vor der Benutzung der App. Trotzdem schließen immer mehr Bundesländer bzw. Gesundheitsämter Verträge ab, um die App anzuwenden. Inzwischen ist der Quellcode allerdings komplett einsehbar. Der Programmcode ihres Systems zur Kontaktverfolgung ist vollständig unter einer Open-Source-Lizenz veröffentlicht, und zwar auf der Plattform GitLab. So kann er auch von unabhängigen Stellen überprüft werden. Datenschutzbeauftragte des Bundes und der Länder und andere Sicherheitsexperten kritisieren weiterhin, dass sämtliche, zweifach verschlüsselten Daten der luca-App-Nutzer auf einem zentralen Server gespeichert werden. Das könnte sie anfällig für Missbrauch machen und sei ein großer Schwachpunkt. Der Chaos Computer Club (CCC) geht sogar so weit, dass er eine sofortige Bundesnotbremse der luca-App fordert. In den vergangenen Wochen seien eklatante Mängel und eine nicht abreißende Serie von Sicherheitsproblemen bei ihr aufgetreten. Der Club kritisiert, dass immer mehr Bundesländer dennoch ohne korrektes Ausschreibungsverfahren Verträge mit den Betreibern der luca-App abschließen. Er fordert ein sofortiges Moratorium sowie eine Überprüfung der Vergabepraktiken und ein sofortiges Ende des App-Zwangs. Laut dem CCC erfüllt die App keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von „Contact Tracing"-Apps. Sie werfen den Betreibern vor, in den zentralen Datenbestand einzugreifen. Diese Sicherheitslücken haben auch über 70 führende IT-Sicherheitsforscher festgestellt. Sie raten deshalb in einer gemeinsamen Stellungnahme komplett von der luca-App ab. Sie sprechen ihr Nutzen und Sicherheit ab. Das System sei aufgrund des zentralen Ansatzes anfällig für verschiedenste Missbrauchsszenarien, da es zu einer umfassende Datensammlung an einer zentralen Stelle käme. Das System bei luca sei zentralisiert, sodass alle Daten bei den Betreibern landeten. Das ermögliche ein Monitoring sämtlicher Check-in-Vorgänge, auch der in der App als privat gekennzeichneten, in Echtzeit, heißt es in der Stellungnahme der IT-Experten. Die Betreiber scheuten auch nicht davor zurück, in diese Treffen aktiv einzugreifen und sie beispielsweise zu löschen. Weiterhin hagelt es Kritik an den luca-Schlüsselanhängern, die bereits über 100 000 mal verteilt worden seien. Sie verrieten bei jedem Scan die vollständige zentral gespeicherte Location-Historie. So konnten Besitzer von Schlüsselanhängern, ihre eigenen Daten abrufen. Das wurde allerdings laut der luca-Betreiber inzwischen deaktiviert. Die Schlüsselanhänger des luca Systems besitzen nur aufgedruckte, unveränderliche QR-Codes. Ein Foto davon reiche aus, um sämtliche Check-ins der jeweiligen Schlüsselanhänger der vergangenen 30 Tage auszulesen, so IT-Experten. Eine große Sicherheitslücke, mit der Besitzer der Schlüsselanhänger live ausspioniert werden können. Weiterhin sehen Datenschützer viele Grundprinzipien wie Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung bei der Anwendung nicht eingehalten. Die Experten finden es sehr problematisch, wenn die App Voraussetzung werde, um trotz Pandemie wieder am öffentlichen Leben teilnehmen zu können. Dann sei eine Freiwilligkeit nicht mehr gegeben, da ein "de facto" Nutzungszwang entstehe. Betreiber der luca-App wehren sich gegen KritikDie Betreiber und Entwickler der luca-App wehren sich gegen die zunehmende Kritik. "Datenschutz hat für uns Top-Priorität“, unterstrich der Co-Geschäftsführer Patrick Hennig gegenüber FOCUS. Zugleich sei es wichtig, die Pandemiebekämpfung nicht an übertriebenen Sicherheitsbedenken scheitern zu lassen.Die Betreiber halten außerdem dagegen, dass die Namen und Kontaktdaten der QR-Scans nicht einsehbar seien. Was ein deutlicher Vorteil gegenüber Einträgen auf Papier sei. Die Aufenthaltssorte der Personen würden maximal 30 Tage gespeichert. Das Luca-System sei sicher und transparent und werde auch niemandem aufgezwungen, sagte Patrick Hennig, Geschäftsführer der Culture4Life GmbH, die das Luca-System betreibt. Hennig sagte außerdem, luca sei ein System, das wie viele andere über zentrale Strukturen Daten austausche. Dass die zweifach verschlüsselten Daten der App-Nutzer auf einem zentralen Server gespeichert würden, sei eben nötig, um die Gesundheitsämter bei einem Corona-Fall schnell mit den Kontaktdaten der jeweils Infizierten versorgen zu können. Geschäftsführer Patrick Hennig führte weiter an, die Gesundheitsämter seien auf die konkreten Kontaktdaten angewiesen, um die Infektionsketten effizient zu unterbrechen. Deswegen verlangten die Infektionsschutzverordnungen aus einem guten Grund die Erfassung der Daten. Hennig sieht große Akzeptanz bei den Bürgerinnen und Bürgern, weil sie das Gefühl hätten, sich aktiv an der Bekämpfung der Pandemie zu beteiligen. Sie könnten dem Gesundheitsamt nur dann Daten zur Verfügung stellen, wenn es notwendig sei. Laut der Verbraucherzentrale ist eine Nutzungspflicht oder -zwang, wie es die Kritiker sehen, sehr unwahrscheinlich, Es sei allerdings denkbar, dass sich Wirte oder Veranstalter auf ihr Hausrecht berufen und eine Nutzung der luca-App verlangen könnten. Die NRW-Coronaschutzverordnung hat in diesem Fall geregelt, dass auch die Datenerfassung auf Papier weiterhin möglich sein muss. Geschäftsleute mit der luca-App könnten ihre Kunden also maximal bitten und nicht zwingen, die Daten darin erfassen zu dürfen, heißt es. Die Betreiber und Entwickler der luca-App geben an, weiter an der Sicherheit dieser zu arbeiten, gemeinsam mit Gesundheitsämtern und den Datenschutzbehörden in Deutschland. Dazu sollen die Schutzmaßnahmen gegen Server-Angriffe und gegen den Missbrauch von Daten sowie hoher Datenabfrage ausgebaut werden. Videotipp: Luca App gegen Corona: So funktioniert die Kontaktverfolgung Ähnlich wie bei der Corona-Warn-App, sind inzwischen auch gefälschte luca-Apps im Umlauf.Was Sie ebenfalls interessieren könnte: Luca App Kritik Datenschutz: So sicher ist die Luca App
- Details
- Chip RSS Feed
- Hauptkategorie: IT News aus aller Welt
- Kategorie: Computer & Internet
Trotz starker Kritik an der luca-App wird sie bereits von zahlreichen Gesundheitsämtern, Geschäften oder Dienstleistern in Deutschland genutzt. Sie soll bei der Kontaktverfolgung nach Restaurantbesuchen, Veranstaltungen und im privaten Bereich helfen. Doch die Macher der luca-App müssen sich gegen anhaltende, massive Vorwürfe von Datenschützern verteidigen.Wachsende Kritik am Datenschutz bei der luca-AppDie luca-App digitalisiert die Kontaktverfolgung nach Besuchen in Restaurants und Veranstaltungen. Damit hilft sie zum Beispiel Gastronomiebetrieben und Veranstaltern Kontaktinformationen der Gäste und Kunden leichter zu erfassen, zu beschleunigen und zu speichern.Dazu gibt es die luca-App und einen analogen Schlüsselanhänger. Dieser ist für Menschen gedacht, die kein Smartphone besitzen, aber regelmäßig luca-Standorte besuchen. Die Anwender von luca müssen personenbezogene Daten wie Name, Adresse und Telefonnummer von sich angeben und die App aktiv nutzen, indem sie z.B. ihre Aufenthaltsorte erfassen. Dafür scannen Sie am Eingang des Restaurants oder Veranstaltungsortes einen QR-Code ein. Verlässt man diese Areale wieder, wird man über eine Geofencing-Erkennung automatisch ausgecheckt, wenn man einen vordefinierten Radius verlässt. Die personenbezogene Daten werden in der luca-App gespeichert. Dadurch sollen diese für Außenstehende nicht so leicht zu lesen sein wie Einträge auf Papier, die zuvor bei Restaurantbesuchen o.ä. ausgefüllt werden mussten. Die Luca-App wird als eine Ergänzung zur bestehenden Corona-Warn-App promotet, die die Gesundheitsämter bei der Kontaktnachverfolgung unterstützen soll. Über die luca-App können die Gesundheitsämter, die die App an ihr System angebunden haben, die Kontaktpersonen informieren, falls es zu einer Corona-Infektion kommt. Das geht bei der Corona-Warn-App der Bundesregierung nicht. Hier bleiben die Anwender anonym, kein Gesundheitsamt kann über die App mit ihnen Kontakt aufnehmen. Auch private Treffen können mit Luca registriert werden. Dafür können QR-Codes erstellt und mit den teilnehmenden Freunden oder Familienmitgliedern verknüpft werden. Allerdings werden bei luca Bewegungsprofile einzelner Anwender mit personenbezogenen Daten und Standorten erstellt. Das hat bereits viele Datenschützer und IT-Experten hellhörig werden lassen. Sie sind der Meinung, dass es eine digitale Kontaktnachverfolgung geben muss, um die Pandemie einzudämmen. Personenbezogene Daten sollten allerdings, anders als bei der luca-App, auf das dafür notwendige Maß beschränkt werden. Sie empfehlen bereits existierende Systeme, wie der Corona-Warn-App, NotifyMe (Schweiz), NHS COVID-19 (Großbritannien) und NZ COVID Tracer (Neuseeland). Diese arbeiteten effektiv, dezentral und minimierten die Risiken für Bürger auf ein Minimum, wenn es um die Daten ginge. luca-App mit PannenDie Kritik an der luca-App lässt nicht nach, was Sicherheit und Datenschutz angeht. Der Moderator Jan Böhmermann deckte einen eklatanten Fehler mit gefaktem Nacht-Besuch im Zoo auf. Zum Einloggen genügte wohl ein Foto, das den QR-Code vor dem Zoo zeigt. Er verwendete zudem ein Fake-Profil.Vor allem seit Veröffentlichung eines Teils des Quellcodes gibt es Kritik an Sicherheit und Datenschutz bei luca. Inzwischen warnen Experten auch vor der Benutzung der App. Trotzdem schließen immer mehr Bundesländer bzw. Gesundheitsämter Verträge ab, um die App anzuwenden. Inzwischen ist der Quellcode allerdings komplett einsehbar. Der Programmcode ihres Systems zur Kontaktverfolgung ist vollständig unter einer Open-Source-Lizenz veröffentlicht, und zwar auf der Plattform GitLab. So kann er auch von unabhängigen Stellen überprüft werden. Datenschutzbeauftragte des Bundes und der Länder und andere Sicherheitsexperten kritisieren weiterhin, dass sämtliche, zweifach verschlüsselten Daten der luca-App-Nutzer auf einem zentralen Server gespeichert werden. Das könnte sie anfällig für Missbrauch machen und sei ein großer Schwachpunkt. Der Chaos Computer Club (CCC) geht sogar so weit, dass er eine sofortige Bundesnotbremse der luca-App fordert. In den vergangenen Wochen seien eklatante Mängel und eine nicht abreißende Serie von Sicherheitsproblemen bei ihr aufgetreten. Der Club kritisiert, dass immer mehr Bundesländer dennoch ohne korrektes Ausschreibungsverfahren Verträge mit den Betreibern der luca-App abschließen. Er fordert ein sofortiges Moratorium sowie eine Überprüfung der Vergabepraktiken und ein sofortiges Ende des App-Zwangs. Laut dem CCC erfüllt die App keinen einzigen der zehn Prüfsteine des CCCs zur Beurteilung von „Contact Tracing"-Apps. Sie werfen den Betreibern vor, in den zentralen Datenbestand einzugreifen. Diese Sicherheitslücken haben auch über 70 führende IT-Sicherheitsforscher festgestellt. Sie raten deshalb in einer gemeinsamen Stellungnahme komplett von der luca-App ab. Sie sprechen ihr Nutzen und Sicherheit ab. Das System sei aufgrund des zentralen Ansatzes anfällig für verschiedenste Missbrauchsszenarien, da es zu einer umfassende Datensammlung an einer zentralen Stelle käme. Das System bei luca sei zentralisiert, sodass alle Daten bei den Betreibern landeten. Das ermögliche ein Monitoring sämtlicher Check-in-Vorgänge, auch der in der App als privat gekennzeichneten, in Echtzeit, heißt es in der Stellungnahme der IT-Experten. Die Betreiber scheuten auch nicht davor zurück, in diese Treffen aktiv einzugreifen und sie beispielsweise zu löschen. Weiterhin hagelt es Kritik an den luca-Schlüsselanhängern, die bereits über 100 000 mal verteilt worden seien. Sie verrieten bei jedem Scan die vollständige zentral gespeicherte Location-Historie. So konnten Besitzer von Schlüsselanhängern, ihre eigenen Daten abrufen. Das wurde allerdings laut der luca-Betreiber inzwischen deaktiviert. Die Schlüsselanhänger des luca Systems besitzen nur aufgedruckte, unveränderliche QR-Codes. Ein Foto davon reiche aus, um sämtliche Check-ins der jeweiligen Schlüsselanhänger der vergangenen 30 Tage auszulesen, so IT-Experten. Eine große Sicherheitslücke, mit der Besitzer der Schlüsselanhänger live ausspioniert werden können. Weiterhin sehen Datenschützer viele Grundprinzipien wie Zweckbindung, Transparenz, Freiwilligkeit und Risikoabwägung bei der Anwendung nicht eingehalten. Die Experten finden es sehr problematisch, wenn die App Voraussetzung werde, um trotz Pandemie wieder am öffentlichen Leben teilnehmen zu können. Dann sei eine Freiwilligkeit nicht mehr gegeben, da ein "de facto" Nutzungszwang entstehe. Betreiber der luca-App wehren sich gegen KritikDie Betreiber und Entwickler der luca-App wehren sich gegen die zunehmende Kritik. "Datenschutz hat für uns Top-Priorität“, unterstrich der Co-Geschäftsführer Patrick Hennig gegenüber FOCUS. Zugleich sei es wichtig, die Pandemiebekämpfung nicht an übertriebenen Sicherheitsbedenken scheitern zu lassen.Die Betreiber halten außerdem dagegen, dass die Namen und Kontaktdaten der QR-Scans nicht einsehbar seien. Was ein deutlicher Vorteil gegenüber Einträgen auf Papier sei. Die Aufenthaltssorte der Personen würden maximal 30 Tage gespeichert. Das Luca-System sei sicher und transparent und werde auch niemandem aufgezwungen, sagte Patrick Hennig, Geschäftsführer der Culture4Life GmbH, die das Luca-System betreibt. Hennig sagte außerdem, luca sei ein System, das wie viele andere über zentrale Strukturen Daten austausche. Dass die zweifach verschlüsselten Daten der App-Nutzer auf einem zentralen Server gespeichert würden, sei eben nötig, um die Gesundheitsämter bei einem Corona-Fall schnell mit den Kontaktdaten der jeweils Infizierten versorgen zu können. Geschäftsführer Patrick Hennig führte weiter an, die Gesundheitsämter seien auf die konkreten Kontaktdaten angewiesen, um die Infektionsketten effizient zu unterbrechen. Deswegen verlangten die Infektionsschutzverordnungen aus einem guten Grund die Erfassung der Daten. Hennig sieht große Akzeptanz bei den Bürgerinnen und Bürgern, weil sie das Gefühl hätten, sich aktiv an der Bekämpfung der Pandemie zu beteiligen. Sie könnten dem Gesundheitsamt nur dann Daten zur Verfügung stellen, wenn es notwendig sei. Laut der Verbraucherzentrale ist eine Nutzungspflicht oder -zwang, wie es die Kritiker sehen, sehr unwahrscheinlich, Es sei allerdings denkbar, dass sich Wirte oder Veranstalter auf ihr Hausrecht berufen und eine Nutzung der luca-App verlangen könnten. Die NRW-Coronaschutzverordnung hat in diesem Fall geregelt, dass auch die Datenerfassung auf Papier weiterhin möglich sein muss. Geschäftsleute mit der luca-App könnten ihre Kunden also maximal bitten und nicht zwingen, die Daten darin erfassen zu dürfen, heißt es. Die Betreiber und Entwickler der luca-App geben an, weiter an der Sicherheit dieser zu arbeiten, gemeinsam mit Gesundheitsämtern und den Datenschutzbehörden in Deutschland. Dazu sollen die Schutzmaßnahmen gegen Server-Angriffe und gegen den Missbrauch von Daten sowie hoher Datenabfrage ausgebaut werden. Videotipp: Luca App gegen Corona: So funktioniert die Kontaktverfolgung Ähnlich wie bei der Corona-Warn-App, sind inzwischen auch gefälschte luca-Apps im Umlauf.Was Sie ebenfalls interessieren könnte: - Zugriffe: 134