# COVID-19

Doch lieber Zettel ausfüllen statt die Luca App zu installieren?

Das lässt man mal besser beides sein.

Wie funktioniert eigentlich diese "doppelte Verschlüsselung" bei der Luca App?

Doppelt genäht hält besser? Nicht wenn es um Verschlüsselung geht! Eine Erklärung für nicht Informatiker.

Wer die Luca App im Google Playstore positiv bewertet, würde vermutlich auch einer Hasenpfote auf Amazon fünf Sterne geben.

Warum lese ich in Zeitungen eigentlich immer wieder die Formulierung, dass die Luca App unter Fachleuten umstritten sei? Und das auch nur in einem Nachsatz? Luca ist unter Fachleuten nicht umstritten, sondern wird klar abgelehnt. Da gibt es niemanden, wirklich niemanden, der nicht bereits nach 5 Minuten Einarbeitung in das Thema nicht die Hände über dem Kopf zusammenschlägt und erwartet, dass da gleich Guido Cantz aus dem Schrank springt.

Von Falschangaben in der App über Sabotage der Gesundheitsämter bis hin zum Auslösen einer neuen Pandemiewelle ist da wirklich alles drin!. Das Ding ist ein Totalschaden und ermöglicht konsequent praktisch jedes erdenkliche Missbrauchsszenario.

Tja, Markus Mengs demonstriert dann mal eben eine Code Injection Lücke in Luca und die Welt diskutiert ernsthaft darüber, ob das nun ein Fehler in Excel oder in Luca ist. Die banale Antwort lautet: sowohl als auch. Das sind beides Schrottprodukte, die sich hier gegenseitig ergänzen wie Psychopath und Kettensäge.

Das Problem auf Luca Seite ist einfach, dass sie aufgrund ihrer Pseudoverschlüsselung (Die Daten sind zwar korrekt verschlüsselt, culture4life hat aber Zugriff auf die Schlüssel) nicht wissen, was in ihrer Datenbank drinsteht und beim CSV Export streng genommen die Daten nicht angucken dürfen. Zumindest nicht solange uns Smudo ins Gesicht lügen will, dass nur die Gesundheitsämter entschlüsseln können (was natürlich nicht stimmt, denn das Gesundheitsamt Frontend ist eine Webapp und läuft auf den Servern von culture4life). Das ist einfach ein konzeptioneller Fehler im Systemdesign, der darauf beruht, dass man sich mit techn. Taschenspielertricks versucht hat aus der rechtlichen Verantwortung zu stehlen.

Zur Microsoft Seite sag ich an der Stelle mal nix. Das Problem das man da in alle Datenformate an allen Ecken und Enden ausführbaren Code einbetten kann ist seit Jahren bekannt.

Der Skandal hier ist, das die Sicherheitslücke prinzipiell bereits seit Wochen bekannt war, Sicherheitslücken von neXenio aber grundsätzlich als “harmlos” abgetan werden, bis man ihre Gefährlichkeit medienwirksam demonstriert und selbst dann wird noch versucht, die Schuld auf den Anwender abzuwälzen. Die Firma versteht Sicherheitsprobleme eigentlich nur als Marketingprobleme und ist damit völlig unqualifiziert, in diesem Bereich Produkte anzubieten.

BärCODE - das nächste Heilsversprechen auf App Basis

Der BärCODE macht vieles grundlegend richtig, Grundlegendes aber auch richtig falsch.

Warum eigentlich kein digitaler Impfpass?

Ist die Antwort nicht offensichtlich?

Hier tickert gerade so eine DPA Meldung an mir vorbei, dass die Halbwertwertzeit der Corona Schutzimpfung wohl nur ein gutes halbes Jahr beträgt und dann aufgefrischt werden muss.

Tja, können wir dann bitte mal alle Bestrebungen bezüglich “mehr Rechte für Geimpfte” und Nachweis per digitaler Impfpass App einstellen? Danke!

Das was uns aus der Pandemie führt ist:

1. Infektionen (Kontakte) vermeiden, wo es geht.
2. Impfen
3. Zurück zu 1. bis das Virus ausgerottet ist.

Nicht irgendwelche halbgaren Softwareprodukte, die wieder mehr Infektionsketten verursachen.

Der grundsätzliche Denkfehler aller App Ansätze besteht darin zu glauben, dass die Technik es uns erlaubt, (vermeidbare) Risiken einzugehen, weil wir damit eine größere Sicherheitsmarge haben um den Status Quo aufrecht zu erhalten (unser Ziel ist nicht den Status Quo aufrecht zu erhalten, sondern das Virus zu besiegen). Der durchschnittliche Smartphone Anwender versteht aber nicht, wie diese Apps funktionieren und wie man sie richtig nutzt. Für ihn sind das lediglich Alibi Veranstaltungen, die man halt installiert, um endlich wieder “was zu dürfen”. Compliance Scheiße eben, mit der man die Pandemie nur weiter verschleppt. Man könnte genauso gut Teenager Pärchen ein Päckchen Kondome und ‘nen Stapel Bravo Hefte (mit aufgeschlagener Dr. Sommer Seite) ins Zimmer werfen und hoffen, dass das reicht, damit niemand schwanger wird.

Es kommt gerade so ein wenig die Frage auf, warum ich es für gefährlich halte, dass weitere Funktionen (z.B. Clustererkennung) in die Corona Warn App eingebaut werden. Die Antwort ist ganz einfach: Kontaktverfolgung ist ein massiv invasiver Eingriff in die Privatsphäre der Bürger. Bei der CWA haben sich viele Menschen einen Kopp darum gemacht, dass hier keine Technologie etabliert wird, die zu irgendwas anderem außer zur COVID-19 Bekämpfung zu gebrauchen ist. Insbesondere sollte sie für Polizei und Geheimdienste unattraktiv sein und nach der Krise rückstandsfrei wieder verschwinden. Wobei eigentlich von Anfang an klar war, dass es früher oder später zu feature creep kommen würde.

Jedes “nützliche” Feature, dass nachträglich in die CWA eingebaut wird unterminiert die ursprünglichen Absichten und aus der Kombination mehrerer Features können Sicherheitslücken entstehen. Beispiel: die CWA wurde ursprünglich als völlig freiwillig beworben, hatte aber keine Clustererkennung. Diese musste dank dem Konkurrenzk®ampf mit der Luca App nachgerüstet werden. Die Luca App hat sich mittlerweile auf jeder Ebene als völliger Flop erwiesen, steht aber immer noch explizit und verpflichtend in mehreren Corona Schutzverordnungen drin. Die einzige Möglichkeit, Luca da raus zu kriegen ist, sie durch die CWA zu ersetzen, wodurch dann aber halt die CWA automatisch verpflichtend wird.

Nebenbei, CDU und SPD haben sich gerade darauf geeinigt, dass Nachrichtendienste Staatstrojaner einsetzen dürfen. So, und vor dem Hintergrund überlegt euch nochmal, ob ihr irgendeine staatlich verordnete App auf dem Smartphone haben wollt.

Und nein, das Argument, dass die CWA Open Source ist zieht hier nicht, denn ihr habt in der Praxis keine realistische Möglichkeit nachzuvollziehen, ob das Binary auf eurem Smartphone aus dem Quelltext gebaut wurde, den man euch gezeigt hat. Insbesondere ermöglicht das Konzept der nicht anonym nutzbaren Appstores, "App Updates" gezielt an ausgewählte Benutzer zu verteilen.

Mich erstaunt eigentlich immer wieder, was für ein Clusterfuck die Luca App ist und wie neXenio damit sogar Dinge kaputt kriegt, die sie eigentlich nicht selbst in der Hand haben. Ein Drama in 3 Akten:

1. Die Corona Warn App hat keine Clustererkennung, u.a. weil Google und Apple damals gesagt haben: wenn ihr irgendwas mit Standorterfassung macht, dann kriegt ihr keinen Zugriff aufs GAEN API.
2. Luca implementiert Standorterfassung über QR Codes, braucht daher das GAEN API nicht, zwingt aber damit die CWA Entwickler nachzuziehen.
3. Die CWA steht jetzt mit einem Bein im Gefängnis, weil sowohl GAEN, als auch (indirekt) Standortdaten nutzt und damit riskiert, aus den Appstores geschmissen zu werden. Mit dem anderem Bein steht sie im Grab, weil sie sich durch neXenio eine Sicherheitslücke hat aufreißen lassen, durch die sie, genauso wie Luca, durch Fake Checkins getrollt werden kann.

Erfreulicherweise ist Deutschland wie ein Panzer: schwerfällig und kommt nur langsam auf Touren, aber wenn er erstmal rollt, dann rollt er. Die Impfkampagne rollt jetzt auch, mit ein bisschen Glück haben wir bis Herbst Herdenimunität erreicht, dann brauchen wir keine Apps mehr und können uns vielleicht auch mal angstfrei darüber unterhalten, ob wir sie je gebraucht haben, bzw. ob sie irgendeinen messbaren Nutzen gehabt haben. Ich persönlich bin immer noch der Meinung, dass man die ca. 100 Mio(!) €, die in Luca und CWA versenkt worden sind besser für Infektionsschutz (z.B. von Anfang an Masken für Harz IV Empfänger) hätte investieren sollen.