# COVID-19

Tuesday, May 4, 2021

Es kommt gerade so ein wenig die Frage auf, warum ich es für gefährlich halte, dass weitere Funktionen (z.B. Clustererkennung) in die Corona Warn App eingebaut werden. Die Antwort ist ganz einfach: Kontaktverfolgung ist ein massiv invasiver Eingriff in die Privatsphäre der Bürger. Bei der CWA haben sich viele Menschen einen Kopp darum gemacht, dass hier keine Technologie etabliert wird, die zu irgendwas anderem außer zur COVID-19 Bekämpfung zu gebrauchen ist. Insbesondere sollte sie für Polizei und Geheimdienste unattraktiv sein und nach der Krise rückstandsfrei wieder verschwinden. Wobei eigentlich von Anfang an klar war, dass es früher oder später zu feature creep kommen würde.

Jedes “nützliche” Feature, dass nachträglich in die CWA eingebaut wird unterminiert die ursprünglichen Absichten und aus der Kombination mehrerer Features können Sicherheitslücken entstehen. Beispiel: die CWA wurde ursprünglich als völlig freiwillig beworben, hatte aber keine Clustererkennung. Diese musste dank dem Konkurrenzk®ampf mit der Luca App nachgerüstet werden. Die Luca App hat sich mittlerweile auf jeder Ebene als völliger Flop erwiesen, steht aber immer noch explizit und verpflichtend in mehreren Corona Schutzverordnungen drin. Die einzige Möglichkeit, Luca da raus zu kriegen ist, sie durch die CWA zu ersetzen, wodurch dann aber halt die CWA automatisch verpflichtend wird.

Nebenbei, CDU und SPD haben sich gerade darauf geeinigt, dass Nachrichtendienste Staatstrojaner einsetzen dürfen. So, und vor dem Hintergrund überlegt euch nochmal, ob ihr irgendeine staatlich verordnete App auf dem Smartphone haben wollt.

Und nein, das Argument, dass die CWA Open Source ist zieht hier nicht, denn ihr habt in der Praxis keine realistische Möglichkeit nachzuvollziehen, ob das Binary auf eurem Smartphone aus dem Quelltext gebaut wurde, den man euch gezeigt hat. Insbesondere ermöglicht das Konzept der nicht anonym nutzbaren Appstores, "App Updates" gezielt an ausgewählte Benutzer zu verteilen.

Monday, May 3, 2021

Mich erstaunt eigentlich immer wieder, was für ein Clusterfuck die Luca App ist und wie neXenio damit sogar Dinge kaputt kriegt, die sie eigentlich nicht selbst in der Hand haben. Ein Drama in 3 Akten:

  1. Die Corona Warn App hat keine Clustererkennung, u.a. weil Google und Apple damals gesagt haben: wenn ihr irgendwas mit Standorterfassung macht, dann kriegt ihr keinen Zugriff aufs GAEN API.
  2. Luca implementiert Standorterfassung über QR Codes, braucht daher das GAEN API nicht, zwingt aber damit die CWA Entwickler nachzuziehen.
  3. Die CWA steht jetzt mit einem Bein im Gefängnis, weil sowohl GAEN, als auch (indirekt) Standortdaten nutzt und damit riskiert, aus den Appstores geschmissen zu werden. Mit dem anderem Bein steht sie im Grab, weil sie sich durch neXenio eine Sicherheitslücke hat aufreißen lassen, durch die sie, genauso wie Luca, durch Fake Checkins getrollt werden kann.

Erfreulicherweise ist Deutschland wie ein Panzer: schwerfällig und kommt nur langsam auf Touren, aber wenn er erstmal rollt, dann rollt er. Die Impfkampagne rollt jetzt auch, mit ein bisschen Glück haben wir bis Herbst Herdenimunität erreicht, dann brauchen wir keine Apps mehr und können uns vielleicht auch mal angstfrei darüber unterhalten, ob wir sie je gebraucht haben, bzw. ob sie irgendeinen messbaren Nutzen gehabt haben. Ich persönlich bin immer noch der Meinung, dass man die ca. 100 Mio(!) €, die in Luca und CWA versenkt worden sind besser für Infektionsschutz (z.B. von Anfang an Masken für Harz IV Empfänger) hätte investieren sollen.

Sunday, May 2, 2021

Ein EU weiter digitaler Impfnachweis per Smartphone App?

Der digitale Impfpass verspricht derselbe Totalschaden zu werden, wie Luca und die Corona Warn App. Vielleicht sollten wir langsam mal aufhören, ständig unsere Hoffnung auf Apps als Allheilmittel zu setzen?

Thursday, April 29, 2021

Also wenn man sich die 1* Bewertungen der Luca App im Playstore anschaut, fällt auf, dass ein Großteil von denen sich über über HTTP 40X Fehler beim SMS TAN Verfahren beschwert. Seit ein paar Tagen schlagen auch vermehrt Besucher hier im Blog auf, die anscheinend nach Lösungen für überschrittene Anfrage Limits gesucht haben (worum es in dem Post eigentlich gar nicht geht). Dasselbe Problem hatte ich übrigens selbst während Recherche zum Luca TAN Verfahren.

Ist mir irgendwie unbegreiflich, das hier nicht langsam mal die Verträge zurück abgewickelt werden, wenn der Betreiber seit Wochen nicht mal so etwas banales wie die Anmeldung am System in den Griff bekommt.

Liebes Pandemie Tagebuch,

Es sind die kleinen Dinge, die einem durch die Krise helfen…

Wednesday, April 28, 2021

Und wieder eine Sicherheitslücke in der Luca App (für Android)

Die gute Nachricht lautet, dass sie sich nicht einfach ausnutzen lässt. Die schlechte Nachricht ist… eher schlecht.

Tuesday, April 27, 2021

Mich ärgert ja folgende Aussage von Patrick Henning (Nexenio):

Wenn er [Jan Böhmermann] meint, in einer Pandemie gibt es einen Wettlauf, wer wie Systeme missbrauchen kann, dann kann ich ihm noch zehn andere Systeme nennen, die er schlimmer missbrauchen kann

Man muss sich die Unverschämtheit an der Stelle mal auf der Zunge zergehen lassen. Nexenio wusste von Anfang an, dass es Missbrauch geben würde. Die Tatsache, dass sich Menschen unter falschem Namen in Gästelisten eintragen war bereits während der Planungsphase der Luca App bekannt und das SMS TAN Verfahren ist ein Eingeständnis, dass Luca genau dieses Problem lösen sollte. Die Validierung von zumindest der Telefonnummer war dann auch das große Werbeversprechen, mit dem Smudo durch die Talkshows tingelte.

Wenn du einen Geldautomaten baust, bei dem man lediglich Kontonummer und Betrag eingeben muss, dann kannst du auch nicht die Verantwortung auf die Bankräuber abwälzen, das System nicht zu missbrauchen!

Unter diesen Voraussetzungen erfordert es schon eine besondere Form von Chuzpe, sich überrascht davon zu geben, dass Menschen unkooperativ sind, zu argumentieren, dass es OK ist, wenn zugesicherte, zentrale Funktionen nicht funktionieren, weil die Konkurrenz es noch schlechter macht und das Produkt trotzdem nicht vom Markt zu nehmen (sogar noch weiter zu bewerben!), obwohl klar ist, dass es ein Pandemietreiber ist und Menschenleben kosten wird.

So langsam nimmt das hier echt soziopathische Züge an.

Saturday, April 24, 2021

Also wenn man sich mal die Mühe macht, die Videos von dieser #allesdicht Kampagne vorurteilsfrei anzuschauen, dann fallen zwei Dinge auf:

  1. Sie haben alle denselben Stil, d.h. der Text ist aus derselben Feder getropft. Es sind Testimonials, also die übliche Promi/Influencer Werbe Kacke bei der man eigentlich weiß, dass Überzeugung nur geschauspielert ist.
  2. Aus dem Kontext gerissen ist jedes Video eigentlich nur regierungskritisch. Kritik gegenüber der Regierung ist in einer Demokratie aber nicht nur erlaubt, sondern sogar Voraussetzung und in der aktuellen Lage auch mehr als berechtigt. Bei mehr als einem Video fragt man sich zudem: war das jetzt eigentlich ein Plädoyer für oder gegen härtere Maßnahmen?

Ich habe keine Ahnung, welcher Schauspieler auf welcher Seite steht und ob einigen vielleicht nicht klar war, wofür sie ihren Namen hergeben. Die schiere Masse an Videos relativ unbekannter Gesichter lässt aber schonmal vermuten, dass das hier eine Auftragsarbeit ist, für die man einmal das ganze Branchenbuch abtelefoniert und jeden genommen hat, bei dem es eine Rückmeldung gab.

Natürlich wird es auch den Einen und die Andere geben, der oder die privat voll hinter der Aktion steht. Aber hey, das ist Meinungsfreiheit. Eine Meinung darf man in einer Demokratie haben. Auch, bzw. gerade dann, wenn sie nicht mehrheitskonform ist. Nebenbei, #allesauf fanden wir noch vor wenigen Wochen mehrheitlich ziemlich geil, als die Luca App damit um die Ecke kam.

Das hier ist weniger ein Anbiedern an Querdenker, sondern ein (weiteres) Aufbäumen von Wirtschaftsvertretern.

Thursday, April 22, 2021

Nochmal zur Checkin Funktion der Corona Warn App: bei Luca wollten sie uns ja einen App Zwang über den Umweg des Hausrechts überhelfen. Jetzt wo die CWA auch Checkin kann, gibt es eigentlich keinen Grund mehr, überhaupt noch Luca auf Luca zu setzen. In jedem Fall aber muss ein Restaurant nun beides anbieten, was uns zu zwei wichtigen Fragen bringt:

  1. Haben wir es gerade geschafft, über die Hintertür einer Hintertür den Zwang zur Nutzung der CWA einzuführen (entgegen allen Versprechungen, dass die Nutzung freiwillig ist)?
  2. Was genau hindert mich eigentlich daran, die CWA vor Besuch eines Restaurants zu installieren und danach sofort wieder zu löschen?

Merkt eigentlich überhaupt noch jemand, wie hirnlos und am Sinn der Sache vorbei das Ganze betrieben wird? Die Kontaktverfolgungerfassung ist mittlerweile zu einem reinem Selbstzweck verkommen und völlig kontraproduktiv!

Wednesday, April 21, 2021

Manchmal verstehe ich meine Fellow Nerds nicht. Hatten wir uns nicht gerade darauf verständigt, dass die Checkin Funktion bei Luca broken by design ist, weil z.B. ein Zoo lediglich einen Checkin Point am Eingang haben kann, damit hunderte Leute gleichzeitig an einer Veranstaltung teilnehmen können (ohne sich tatsächlich zu begegnen), die Hälfte davon wahrscheinlich den Checkout verbummelt (damit nach Verlassen der Veranstaltung noch Kontakte sammelt) und das Gesundheitsamt am Ende unter einem nicht auswertbarem Datenberg begraben wird?

Jetzt kriegt die Corona Warn App dieses Feature auch und da isses auf einmal toll und empfehlenswert?