Deutsch
English
# COVID-19
Ein EU weiter digitaler Impfnachweis per Smartphone App?
Der digitale Impfpass verspricht derselbe Totalschaden zu werden, wie Luca und die Corona Warn App. Vielleicht sollten wir langsam mal aufhören, ständig unsere Hoffnung auf Apps als Allheilmittel zu setzen?
Also wenn man sich die 1* Bewertungen der Luca App im Playstore anschaut, fällt auf, dass ein Großteil von denen sich über über HTTP 40X Fehler beim SMS TAN Verfahren beschwert. Seit ein paar Tagen schlagen auch vermehrt Besucher hier im Blog auf, die anscheinend nach Lösungen für überschrittene Anfrage Limits gesucht haben (worum es in dem Post eigentlich gar nicht geht). Dasselbe Problem hatte ich übrigens selbst während Recherche zum Luca TAN Verfahren.
Ist mir irgendwie unbegreiflich, das hier nicht langsam mal die Verträge zurück abgewickelt werden, wenn der Betreiber seit Wochen nicht mal so etwas banales wie die Anmeldung am System in den Griff bekommt.
Liebes Pandemie Tagebuch,
Es sind die kleinen Dinge, die einem durch die Krise helfen…
Und wieder eine Sicherheitslücke in der Luca App (für Android)
Die gute Nachricht lautet, dass sie sich nicht einfach ausnutzen lässt. Die schlechte Nachricht ist… eher schlecht.
Mich ärgert ja folgende Aussage von Patrick Henning (Nexenio):
Wenn er [Jan Böhmermann] meint, in einer Pandemie gibt es einen Wettlauf, wer wie Systeme missbrauchen kann, dann kann ich ihm noch zehn andere Systeme nennen, die er schlimmer missbrauchen kann
Man muss sich die Unverschämtheit an der Stelle mal auf der Zunge zergehen lassen. Nexenio wusste von Anfang an, dass es Missbrauch geben würde. Die Tatsache, dass sich Menschen unter falschem Namen in Gästelisten eintragen war bereits während der Planungsphase der Luca App bekannt und das SMS TAN Verfahren ist ein Eingeständnis, dass Luca genau dieses Problem lösen sollte. Die Validierung von zumindest der Telefonnummer war dann auch das große Werbeversprechen, mit dem Smudo durch die Talkshows tingelte.
Wenn du einen Geldautomaten baust, bei dem man lediglich Kontonummer und Betrag eingeben muss, dann kannst du auch nicht die Verantwortung auf die Bankräuber abwälzen, das System nicht zu missbrauchen!
Unter diesen Voraussetzungen erfordert es schon eine besondere Form von Chuzpe, sich überrascht davon zu geben, dass Menschen unkooperativ sind, zu argumentieren, dass es OK ist, wenn zugesicherte, zentrale Funktionen nicht funktionieren, weil die Konkurrenz es noch schlechter macht und das Produkt trotzdem nicht vom Markt zu nehmen (sogar noch weiter zu bewerben!), obwohl klar ist, dass es ein Pandemietreiber ist und Menschenleben kosten wird.
So langsam nimmt das hier echt soziopathische Züge an.
Nochmal zur Checkin Funktion der Corona Warn App: bei Luca wollten sie uns ja einen App Zwang über den Umweg des Hausrechts überhelfen. Jetzt wo die CWA auch Checkin kann, gibt es eigentlich keinen Grund mehr, überhaupt noch Luca auf Luca zu setzen. In jedem Fall aber muss ein Restaurant nun beides anbieten, was uns zu zwei wichtigen Fragen bringt:
- Haben wir es gerade geschafft, über die Hintertür einer Hintertür den Zwang zur Nutzung der CWA einzuführen (entgegen allen Versprechungen, dass die Nutzung freiwillig ist)?
- Was genau hindert mich eigentlich daran, die CWA vor Besuch eines Restaurants zu installieren und danach sofort wieder zu löschen?
Merkt eigentlich überhaupt noch jemand, wie hirnlos und am Sinn der Sache vorbei das Ganze betrieben wird? Die Kontaktverfolgungerfassung ist mittlerweile zu einem reinem Selbstzweck verkommen und völlig kontraproduktiv!
Manchmal verstehe ich meine Fellow Nerds nicht. Hatten wir uns nicht gerade darauf verständigt, dass die Checkin Funktion bei Luca broken by design ist, weil z.B. ein Zoo lediglich einen Checkin Point am Eingang haben kann, damit hunderte Leute gleichzeitig an einer Veranstaltung teilnehmen können (ohne sich tatsächlich zu begegnen), die Hälfte davon wahrscheinlich den Checkout verbummelt (damit nach Verlassen der Veranstaltung noch Kontakte sammelt) und das Gesundheitsamt am Ende unter einem nicht auswertbarem Datenberg begraben wird?
Jetzt kriegt die Corona Warn App dieses Feature auch und da isses auf einmal toll und empfehlenswert?
Ihr kennt das vielleicht. Einmal nicht aufgepasst, und schon hat man versehentlich Zugangsdaten in seine Versionsverwaltung eingecheckt. Aber gleich ganze Verträge? So langsam übertreibt es culture4life echt ein bisschen.
Tja, da hätten wir also die Vereinbarung zur Datenverarbeitung im Auftrag. Was steht da so feines drin?
Präambel (A):
culture4life wird bei der Erfüllung seiner vertraglichen Pflichten [..] voraussichtlich Zugriff auf personenbezogene Daten erhalten und diese nach Weisung des Auftraggebers im Rahmen der vertraglichen Zusammenarbeit verarbeiten.
Äh… ja? War genau das nicht das große Werbeversprechen und der Grund für den ganzen Crypto Klimbim, dass ihr eben keinen Zugriff auf personenbezogene Daten erhaltet?
§2.4
culture4life wird personenbezogene Daten ausschließlich innerhalb von Mitgliedstaaten der Europäischen Union oder von Vertragsstaaten des Europäischen Wirtschaftsraumes verarbeiten. Eine Verlagerung und Verarbeitung personenbezogener Daten in Drittländer bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) erfüllt sind.
Na das ist aber beruhigend… zumindest bis…
§5.1
Die Beauftragung von Dritten mit der Durchführung der Datenverarbeitung durch culture4life (nachstehend „Unterauftragnehmer“) ist nach vorheriger schriftlicher Zustimmung des Auftraggebers zulässig. Der Auftraggeber wird seine Zustimmung nicht ohne wichtigen datenschutzrechtlichen Grund verweigern.
Moment… ihr wollt ja jederzeit irgendwelche Subunternehmer an Bord holen können? Das ist doch dieses Zeitschriftenabo-and-der-Haustüre Drückerkolonnen Geschäftsmodel, oder? Wen habt ihr denn schon so an Bord?
§5.3
Der Auftraggeber stimmt bereits jetzt der Beauftragung der nachfolgenden Unterauftragnehmer durch culture4life zu:
| Firma des Unterauftragnehmers | Beschreibung der Leistungen | Ort der Datenverarbeitung |
|---|---|---|
| neXenio GmbH | Wartung und Betrieb | Deutschland |
| Telekom Deutschland | Software-Hosting-Leistungen, SMS-Versandleistungen | Deutschland und Ungarn |
| Mailjet SAS | E-Mail-Versand-Leistungen | Frankreich, Deutschland, Belgien, Vereinigtes Königreich |
Hmja, Vereintes Königreich, DSGVO (§2.4). Habt ihr irgendwie das mit dem Brexit nicht mitbekommen oder sah das letztes Jahr noch nicht so akut aus?
So ein dämliches Argument, dass ich immer wieder höre, warum wir contact tracing apps brauchen ist die “Clustererkennung”. Also die komische Annahme, dass wir Infektionshotspots erkennen könnten, wenn wir Flöhe mit digitalen Helferlein hüten.
Wisst ihr, wie ich Clustererkennung implementieren würde? Telefonbuch aufschlagen, nach “*Schule” und “Gymnasium” suchen!
Ich lese auf Play immer wieder Kommentare von Anwendern zu Luca, die der App 1* gegeben haben, weil sie private Treffen nicht beenden konnten.
Das UI Element zum Beenden eines Treffens ist ein Slider, kein Button. Das ist auf der einen Seite sinnvoll, weil es dadurch nahezu unmöglich wird, versehentlich auszuchecken. Auf der anderen Seite sind Slider unter Android eher unüblich, weil eben unhandlich, weswegen Nutzer sie nicht erwarten.
Und damit wäre eigentlich schon alles zur Sinnhaftigkeit von Contacttracingapps gesagt, was da zu sagen wäre: wir setzen unsere Hoffnung auf Hightech Spielzeug in den Händen von Anwendern, die noch nicht einmal den Ein/Aus Schalter finden.