Wissenschaft

#luca App – Ende der Zettelwirtschaft oder lieber (zunächst) nicht installieren? – rupture de caténaire

luca App – Ende der Zettelwirtschaft oder lieber (zunächst) nicht installieren? – rupture de caténaire

Vor ein paar Wochen habe ich etwas zur Bedeutung von Lizenzen bei wissenschaftlicher Software geschrieben. Hätte nicht gedacht, dass mir ein Rapper mit seiner Firma mal vor Augen führen würde, dass diese Dinge auch im nicht-wissenschaftlichen Alltag eine Rolle spielen würden. Nämlich dann, wenn es um Privatssphäre und digitale Sicherheit geht.

Das Hin- und Her zur “luca App” habt ihr sicher mitbekommen. Einer App fürs Handy, welche die Zettelwirtschaft in Kultur und Gastronomie bei Erfassung der Kundschaft und all dem Ärgen rund um datenschutzrechtlichen Hickhack lösen soll. Da der  Quellcode zunächst nichtöffentlich war, gab es die Forderung dies zu ändern. Smudo, der die Entwicklung der App unterstützt, habe ich zu verdanken gelernt zu haben, das man “für open source manpower und service braucht“. Vielleicht hat man ihn diesem Unsinn geflüstert? Aber da ich das schon häufiger gelesen habe, möchte ich kurz sagen: Nein, dass stimmt nicht. Auch Firmen können quelloffene Software entwickeln und dennoch damit Geld verdienen. Es bedeutet für diese prinzipiell keine zusätzlichen Kosten. Auch im nichtöffentlichen Bereich ist für Quellcodemanagementsysteme zu zahlen – entweder auf eigenen Servern oder für den Service (und das nicht mal zwingend). Der “Extra-Service” wird von den Nutzern erbracht, welche die Firma auf Fehler im Code hinweist. Diese korrigiert die Fehler, was sie ohnehin hätte tun müssen – aber vielleicht später erst.

Nun gibt für Firmen viele gute Gründe ihre Software nicht öffentlich zu machen, weil sie sonst ihr Geschäftsmodell torpediert sehen. Das Fass möchte ich hier gar nicht aufmachen! Aber wer eine App wie die luca App unters Volk bringen möchte, erwartet einen großen Vertrauensvorschuss. Klar ihr installiert nutzt auch facebook-, SPON-, twitter-Apps und Vieles mehr ohne je darüber nachzudenken, was mit euren Daten geschieht (nicht ihr alle, die ihr als vielleicht technik-affine Leser scienceblogs mitlest, aber doch genügend viele, um generalisieren zu dürfen). Die Luca App jedenfalls erlaubt einen weiteren Blick in das Privatleben der Nutzer: Hier werden Zeit und Ort eines Aufenthalts an einem zentralen Ort gespeichert. Das erlaubt eine gute Kontaktnachverfolgung, Warnung derjenigen, die sich in der Nähe von Infizierten aufhielten, Weitergabe an das Gesundheitsamt und somit eine etwas bessere Bekämpfung der Pandemie. Eine prima Sache.

Persönlich finde ich dann aber auch das Interesse legitim die App (und die zentralen Server) auf mögliche Sicherheitslücken testen zu wollen. Dazu muss die Software zunächst einmal öffentlich sein. Das ist sie inzwischen. Und nach einigem weiteren Hick-Hack, der zeigte, dass die Macher hinter der App erst einen Lernprozess durchlaufen mussten, auch mit einer Lizenz, die es ermöglicht die Software zu testen.

Das ist essentiell. Doch auch jetzt noch sprechen die Issues, welche die Leute aufmachen Bände:

Auch die Sicherheitsaspekte bei der zentralen Speicherung werden hinterfragt. Eine detaillierte Stellungnahme der Firma ist mir hierzu nicht bekannt – euch vielleicht?

Nun zahlen eine ganze Reihe von Bundesländern Geld für die Nutzung der App, die für Endnutzer auf ihren Geräten frei ist. Auch mein Bundesland denkt wohl darüber nach und teilt mit:

Ziel ist, eine bundeseinheitliche Lösung zur digitalen Kontaktnachverfolgung zu schaffen. Dies haben die Ministerpräsidentinnen und Ministerpräsidenten Anfang März vereinbart. „luca“ ermöglicht nicht nur die Erfassung von Kontaktdaten, sondern im Infektionsfall auch eine einfache, verschlüsselte Übermittlung der Daten an die Gesundheitsämter und eine automatische Information der Bürgerinnen und Bürger über Risikokontakte in der App. Die angegebenen Kontaktdaten können dabei nur von den Gesundheitsämtern eingesehen werden. Weder „luca“ noch die Veranstalter können die Kontaktdaten lesen. Luca ist zudem für Gastronomie und Gäste kostenlos, die Kosten übernehmen Bund und Länder. „luca“ wird natürlich ständig weiterentwickelt.

Ein hehres Ziel, dass ich im Kontext der Pandemie (und nur da!) nicht hinterfragen möchte. Und womöglich ist Luca zur Pandemiebekämpfung auch besser als das anstehende Update der Corona-App des Bundes, welches auf die Weitergabe der Daten verzichten will. Aber habt ihr auch in euren Verträgen das Recht auf Kontrolle, Nachbesserungen und Service vereinbart? Vielleicht schon:

Die Sicherheit Ihrer Daten ist uns sehr wichtig. Bei luca sind die Daten deshalb verschlüsselt auf ISO-27001 zertifizierten Servern der Bundesdruckerei in Deutschland gespeichert. Eine Einsicht in die Daten erfolgt nur im Infektionsfall und nur durch die Gesundheitsämter. Nicht benötigte Daten werden gelöscht. Zudem stehen unsere IT-Dienstleister im ständigen Austausch mit luca, um das System noch sicherer zu machen. Die Landesregierung hat zudem darauf hingewirkt, dass das Sicherheitskonzept und der Quellcode von „luca“ veröffentlicht werden und so ständig verbessert werden können. Mehr Informationen finden Sie hier: https://www.luca-app.de/system/.

Und auch die Anbindung an die Software der Gesundheitsämter scheint mit bedacht:

Die Gesundheitsämter sind nicht eingebunden und können die CWA zur Nachverfolgung von Infektionsketten daher nicht einsetzen. Dies ermöglicht aber „luca“, welches über direkte Schnittstellen zu den Gesundheitsämtern und eine Anbindung zur Kontaktnachverfolgungssoftware SORMAS verfügt. Anders als die CWA kann „luca“ zudem ohne Smartphone oder die App genutzt werden.

So lange aber lediglich auf eine Zertifizierung der Server (immer nicht die der Firma, sondern des Bundes) hingewiesen wird (das genannte Zertifikat ist nicht ja nicht schlecht) und die Prozesse unbekannt sind und so lange die Installation der eigentlichen luca App mit so vielen Unklarheiten verbunden ist, werde ich abwarten. Die Inzidenzentwicklung wird mir Zeit geben, meine Einschätzung der luca App auf bessere technische Grundlagen zu stellen. (Leider bin ich selber nicht nicht in der Lage die Sicherheit von Java-Mobile-Apps zu testen – abgesehen von der fehlenden Zeit.) So schnell wird in meiner Region die (Aussen-)gastronomie nicht wieder geöffnet. Ich hoffe sehr, dass die teils harsche Kritik die Macher hinter der Software sensibilisiert hat: Transparenz ist wichtig und Entwicklung, welche die Kritik aufnimmt muss sichtbar werden (z. B. hier), wenn man Akzeptanz will.

Vielleicht hat hier jedoch jemand mehr Verständnis vom Code und kann Input geben?

flattr this!

Wenn Ihnen der Artikel gefallen hat, vergessen Sie nicht, ihn mit Ihren Freunden zu teilen. Folgen Sie uns auch in Google News, klicken Sie auf den Stern und wählen Sie uns aus Ihren Favoriten aus.

Wenn Sie an Foren interessiert sind, können Sie Forum.BuradaBiliyorum.Com besuchen.

Wenn Sie weitere Nachrichten lesen möchten, können Sie unsere Wissenschaft kategorie besuchen.

Quelle

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"
Schließen

Please allow ads on our site

Please consider supporting us by disabling your ad blocker!