Luca App Source Code Audit VII: der eingebaute Distributed Denial of Service Angriff

Kam ja wie es kommen musste: der Einzelhandel sieht in der Luca App jetzt eine Öffnungsperspektive und macht politisch Druck diese auch zu nutzen, koste es, was es wolle, ohne sich über die Tragweite dessen bewusst zu sein.

Zum Ausdrucken Warum hängen wir jetzt eigentlich seit Monaten im Dauerlockdown, obwohl eine COVID-19 Infektion nach 3 Wochen auskuriert sein sollte? Liegt es vielleicht daran, dass wir das Virus verschleppen, weil wir, statt uns in konsequenter Kontaktvermeidung zu üben, für Jeden eine Ausnahme machen, wenn er nur laut genug jammert und mit einem halbgarem Hygienekonzept wedelt, dass dann, völlig überraschend, in der Praxis scheitert?

Tun wir also mal das, wozu ein Kaufmann eigentlich in der Lage sein sollte und rechnen nach.

Der Vorschlag ist, dass Einzelhändler wieder öffnen können, wenn sie sich einen QR Code an die Türe kleben, darauf achten, dass Kunden diesen scannen und auch nur einen Kunden pro 20 m² Verkaufsfläche einlassen, um Sicherheitsabstand zu gewähren (alleine in diesem Satz stecken schon zwei Annahmen, die den Praxistest nicht überstehen). Aber skaliert das auch?

Betrachten wir das worst case scenario: IKEA. Mein nächster IKEA hat eine Verkaufsfläche von 17.000 m² auf zwei Ebenen. Das entspricht bis zu 849 Kunden, die gleichzeitig mit mir einkaufen dürften. Wer an dieser Stelle an Jan Böhmermann und den Osnabrückner Zoo denkt, stellt die richtige Frage: wo würde man den Luca QR Code anbringen? Am Eingang? Sinnvoll wäre das nicht, denn ein IKEA Durchlauf ist (selbst für Männer) kaum in unter einer halben Stunde zu bewältigen und ein Kunde, der bereits an der Kasse steht hat keine realistische Chance, sich bei jemandem anzustecken, der gerade erst der Laden betritt. Trotzdem nehmen beide, aus Luca Sicht, zur selben Zeit an derselben Veranstaltung teil.

IKEA ist kein Möbelhaus, sondern ein Einkaufserlebnis. Man fährt da nicht hin, weil man etwas wirklich braucht, sondern weil man sehen will, was es so gibt und, wenn man sowieso schon in Shoppinglaune ist, dann wird da in der Regel ein ganzer Einkaufsbummel draus. Das ist zumindest die Hoffnung, die der Einzelhandel gerade mit Luca verbindet.

Bauen wir uns also mal eine User Story: “ich (männlich, Landei) fahre in die Stadt zu IKEA weil ich einen neuen Satz schwedischer Topflappen brauche (oder zumindest glaube zu brauchen). Damit sich das Benzin lohnt, gehe ich danach noch in den Saturn, Småland für Männer eben, und schlussendlich zu Thalia, weil demnächst wieder ein Geburtstag ansteht, zu dem man irgendwas schenken muss (bei wenigstens einem Laden vergesse ich den Checkout). Das ist, alles in allem, ein normaler Samstagnachmittag. Am Sonntagmorgen fühle ich mich leicht krank. Typische Grippesymptome, aber mein Hausarzt hat geschlossen, mein zuständiges Gesundheitsamt sowieso.”

Der Hoffnungsschimmer des Einzelhandels nimmt also “volle” Läden am denkbar ungünstigstem Tag der Woche in Kauf. Wer zum Wochenende hin einkaufen geht und dabei andere infiziert, gibt dem Virus, im Zweifelsfall, bis zu zwei Tage Vorsprung, bevor die Kontaktverfolgung überhaupt aufgenommen werden kann. Die Mitarbeiter des Gesundheitsamtes werden am Montag dann vermutlich die Hände über dem Kopf zusammen schlagen, wenn sie sehen, dass sie von einem halben Dutzend Gastgebern eine Freigabe anfordern müssen und in den fraglichen Zeitfenstern insgesamt mehrere hundert Gäste anwesend waren, denen sie nun allen nachtelefonieren sollen.

Anmerkung Die Freigabe eines Gastgebers an ein Gesundheitsamt erfolgt nicht automatisch. Dies ist Teil des Sicherheitskonzepts und zentrales Werbeversprechens von Luca ("doppelte Verschlüsselung der Kontaktdaten"). Hierdurch entsteht eine weitere Verzögerung in einem sowieso schon zeitkritischem Abschnitt.

Zur Erinnerung: wer krank zu IKEA geht, kann unmöglich alle gleichzeitig anwesenden Kunden/Mitarbeiter infizieren. Wer den Checkout vergisst (das passiert insbesondere bei Verwendung des Schlüsselanhängers!), bleibt gegebenenfalls bis Ladenschluss virtuell anwesend und sammelt auch nach Verlassen des Ladens noch fleißig weiter Kontakte (dies ist insbesondere dann fatal, wenn Nutzer von Schlüsselanhängern den Laden längst verlassen haben, bevor ein Infizierter ihn betritt). Für das Gesundheitsamt ist aus den Luca Traces nicht nachvollziehbar, ob sich zwei Besucher einer Veranstaltung jemals bis auf kritische Distanz genähert haben. Sie müssen alle Anwesenden kontaktieren, unter Quarantäne stellen und testen, nur um sicher zu gehen!

Ob beim Einkaufsbummel flüchtige Kontakte zu anderen Menschen zwischen den Geschäften statt gefunden haben (z.B. anrempeln anderer Passanten, einem Obdachlosem Geld geben,…) ist weder für Luca noch für die Corona Warn App nachvollziehbar.

und das bedeutet… ?

Wo lag nochmal gleich die Inzidenz, ab der Gesundheitsämter nicht mehr in der Lage sind, Kontakte zu verfolgen? 35? 50? Lassen wir es 100 sein.

Luca ist für die Öffnung des Einzelhandels das völlig falsche Konzept. Fußgängerzonen und insbesondere große Kaufhausketten sind darauf ausgelegt, großen Publikumsverkehr anzuziehen und durchzuschleusen. Ein IKEA funktioniert nicht, wenn einzelne Kunden in 30 Minuten Taktung durch die Gänge hetzen und dann (vielleicht) einen Topflappen kaufen. Damit ist weder das Personal, noch der Strom für die Beleuchtung oder die Klimaanlage zu bezahlen.

Luca bietet sich zwar auch hier als Heilsbringer an (um auf Gedeih und Verderb systemrelevant zu werden), kann das Versprochene aber gar nicht einhalten, denn das System animiert dazu, viele (vermeidbare) Kontakte zu haben, obwohl es nur genau einen einzigen Arbeitspunkt kennt: niemand ist infiziert. Sobald sich jemand als infiziert meldet, ist das zuständige Gesundheitsamt sofort überlastet (und zwar unabhängig davon, ob die Infektion weiter gegeben wurde). Die App skaliert lediglich die Kontakterfassung (und die Kontakterzeugung), nicht aber die eigentliche Kontaktverfolgung. Letztere ist und bleibt der Flaschenhals. Damit ist die Software nicht nur nutzlos, sondern sogar noch aktiv schädlich.

Fazit

Ziel von Luca ist nicht der Kontaktverfolgung an sich, sondern lediglich eine Alibi Veranstaltung zu sein, mit der sich gesetzliche Vorgaben einhalten lassen, ohne den dahinterstehenden Sinn zu berücksichtigen. Die Kontaktverfolgung verkommt dadurch zu einem Ritual. Der Einzelhandel macht sich hierbei zum Brot, indem er, kurzsichtig, für eine Woche Ladenöffnung eine Denial of Service Attacke gegen die Gesundheitsämter fährt und damit den nächsten Lockdown provoziert. Als Künstler kann man Luca befürworten, denn “nach meinem Konzert die Sintflut” - neue Woche, neue Stadt, neues Glück. Wohl dem, der mobil ist. Als Gewerbetreibender sollte muss man etwas nachhaltiger denken!