Sehr geehrter Herr Oberbürgermeister,
seit dem Start der Luca-App in Nürnberg ist diese stark in Kritik geraten. Sie hält sich weder an allgemeingültige Programmierstandards noch an das Gebot der Datensparsamkeit.
Dies ist umso schlimmer, als dass es sich bei Nexenio, dem Hersteller der Luca-App, um eine privatwirtschaftliche Firma mit Gewinnerzielungsabsicht handelt der die Bürgerinnen bereitwillig ihre Daten überlassen. Entgegen der Versprechungen des Herstellers ist die Verschlüsselung auf dessen Servern lediglich augenscheinlich vorhanden. Wie IT-Sicherheitsexpertinnen zu Recht bemängeln wird diese Verschlüsselung allein durch das Design der Software gebrochen und ist damit faktisch nicht vorhanden. [1]
Selbst wenn man den eindeutigen Interessenkonflikt und die Begehrlichkeiten der Privatwirtschaft an sensiblen Trackingdaten ignoriert, so hat das Nichteinhalten von Standards sowohl in der Vergabe als auch in der Erstellung der Luca-App bereits jetzt zu schweren Sicherheitslücken geführt (Auslesbare Bewegungsdaten durch Schlüsselanhänger, erstellen von Fake-Veranstaltungen, etc.).[2][3][4]
Dies hätte verhindert werden können wäre der Quellcode der Luca-App von Anfang an bereits frei verfügbar und überprüfbar gewesen. Leider wurde der Code jedoch erst am 14.04.2021 vollständig veröffentlicht. Die stückchenweise Veröffentlichung sorgt nicht für mehr Vertrauen bei den Expertinnen und der Bevölkerung. Insbesondere, da Änderungen, welche am Code vor der Zeit der Veröffentlichung gemacht wurden, nicht mit
ausgewiesen wurden. Entweder wurde hier ohne ordentliche Versionierung gearbeitet oder es wurde versucht den Code noch schnell zu säubern.
Das eine ist erschreckender als das Andere und aus IT-Sicherheitssicht ein mehr als deutliches Warnsignal! Selbst mit dem offenbar gesäuberten Code wurde deutlich, dass es sich bei Nexenio nicht um ein auf sicherheitskritische Software spezialisiertes Unternehmen handelt. So wurden Open-Source-Lizenzbestimmungen verletzt und versucht fremdes gedankliches Eigentum sich anzueignen. Gleichzeitig versuchte Nexenio, Spezialisten die sich den Code eingesehen haben in ihrer ersten Lizenzbestimmung einen Maulkorb zu verpassen.[5][6][7]
Die Liste der handwerklichen Fehler, die beim Erstellen der Luca-App gemacht worden sind, ist lang und soll hier nicht weiter den Rahmen sprengen. Eine stichpunktartige unvollständige Liste dieser und weiterer Kritikpunkte finden Sie weiter unten.
Hervorgehoben werden soll hier noch, dass die Luca App weder barrierefrei noch auf Geräten ohne Google Play Store einsetzbar ist.
Auf der Seite http://luca.denken.io/ kann man die Zugriffsstatistiken der Gesundheitsämter auf die Daten der Luca-App ansehen. Stand 19.04.2021 wurden hier aus Nürnberg exakt 0 Anfragen registriert. Gleichzeitig erfährt man aus anderen Kommunen und Ländern, dass die dortigen Gesundheitsämter keinen Mehrwert aus den Daten der Luca-App erwarten, sondern vielmehr befürchten davon überrannt zu werden. [8].
Eine deutlich bessere Herangehensweise zeigt die Corona-Warn-App des Bundes. Die Daten werden nicht nur auf nicht-privatwirtschaftlichen Servern gespeichert, es werden sogar deutlich weniger bzw. keine Adressdaten der Nutzerinnen außerhalb deren eigener Geräte gespeichert. Sicherlich kann man auch an der Corona-WarnApp des Bundes reichlich Kritik üben, denn die Funktionalität kommt spät und die Entwicklung war überfällig. Es gab jedoch vor einem Monat schon andere Apps die mit weniger Daten zurechtkamen, aber dafür eine genauere Nachverfolgung von Kontakten ermöglichte.
Aufgrund der oben aufgeführten Sachlage bitten die PARTEI/Piraten darum die folgende Anfrage zu beantworten, sowie den unten stehenden Antrag wegen Dringlichkeit auf die Tagesordnung der nächsten Stadtratssitzung zu setzen.
Anfrage:
1. Wie viele Luca Schlüsselanhänger wurden in Nürnberg ausgegeben und wie viele davon sind potenziell durch die Sicherheitslücke betroffen? Wurden die betroffenen Bürgerinnen informiert?
2. Wie wird sichergestellt, dass der Schlüsselanhänger auch zu der Person gehört, die ihn vorzeigt? Was passiert bei Verlust?
3. Wie steht das Gesundheitsamt zu den Fragen der Datensparsamkeit und der von Luca zu erwartenden Datenmenge? Weshalb wurden noch keine Anfragen aus Nürnberg durchgeführt?
4. Im Fall einer Meldung über die Luca-App werden die Bürgerinnen natürlich durch die Kontaktverfolgung informiert. Dazu müssen die Daten durch die Gesundheitsämter entschlüsselt werden. Wie ist das Vorgehen, falls sich eine Meldung über Luca als False Positive herausstellt? Wird
die Kontaktverfolgung dann abgebrochen? Falls ja, werden die Bürgerinnen dennoch darüber informiert, dass ihre Daten entschlüsselt wurden?
5. Im Falle einer Abmeldung von der Luca App durch eine* Bürgerin* wie lange werden die Daten durch Nexenio gespeichert, wann werden sie gelöscht und wie wird dies sichergestellt?
6. Wir hoffen alle, dass wir in einem Jahr keine Corona-Nachverfolgung mehr benötigen. Realistisch muss man trotzdem Fragen wie die Planung mit der Luca-App in einem Jahr aussieht, wenn die aktuellen Verträge auslaufen. Gibt es hierfür eine Exit-Strategie oder befinden wir uns bereits im Prozess des Vendor-Lockins? Für den Fall, dass die Luca-App weiter eingesetzt wird, wird diese dauerhaft durch den Freistaat bezahlt oder ist in der Zukunft mit erhöhten Kosten zu rechnen?
7. Ist sichergestellt, dass andere Behörden außer dem Gesundheitsamt auch in Zukunft keinen Zugriff auf die personenbezogen Daten erhalten? Falls ja, wie? Wie sind die Löschfristen?
Antrag:
Um den Schutz der Daten von Nürnbergs Bürgerinnen zu gewährleisten, fordern wir deshalb ein Moratorium der Luca-App in Nürnberg. Die Luca-App darf nicht weiter in Nürnberg eingesetzt werden bis eine unabhängige Besichtigung und Beurteilung des Quellcodes vorliegt und das Vertrauen in die App hergestellt wurde.
Als Ersatz sollte auf die Corona-Warn-App des Bundes gesetzt werden, welche in diesen Tagen mit einer deutlich datensparsameren Methode das Gleiche anbieten wird wie die Luca-App.
Mit piratigen Grüßen
Florian Betz
Anhang:
Eine unvollständige Liste der Kritikpunkte insbesondere an handwerklichen Fehlern der Luca App umfasst unter anderem:
• nicht signierte Verschlüsselung – Authentizität nicht feststellbar; QR Codes leicht zu faken
• Quellcode nicht geprüft und erst 14.04. vollständig(?) veröffentlicht
• Commithistorie vor Veröffentlichung nicht vorhanden
• Open-Source Lizenzen verletzt, Urheber und Lizenzhinweise entfernt [9][10][11]
• nicht ausreichende Tests für eine Software die personenbezogene Daten sammelt und speichert
• keine binäre Reproduzierbarkeit
• keine unabhängigen Software- und Securityaudits; der „Security Standard“ der Luca App Entwickler weißt lediglich auf einen Penetration Test durch eine weitere privatwirtschaftliche Firma und Mitarbeit von Fraunhofer Mitarbeitern hin
• ungenügende Methode der Standortermittlung; Geofencing zu ungenau [12]
• auch mit nicht registrierten Schlüsselanhängern ist der Zugang möglich
• unnötige Abfrage und Speicherung sensibler personenbezogener Daten
• Fehlerhafte (nicht vorhandene) Verifizierung bei der SMS Registrierung [13]
• Store-Abhängigkeit iOS/Android, keine „freien“ Geräte unterstützt
• Barrierefreiheit nicht vorhanden
Quellen und weiterführende Informationen:
[1] https://www.youtube.com/watch?v=kNGVQcLjlmo
[2] https://blog.wdr.de/digitalistan/luca-app-schwere-sicherheitsluecke-in-den-schluesselanhaengern/
[3] https://lucatrack.de/LucaTrack%20Pressebeschreibung.pdf
[4] https://www.zeit.de/digital/datenschutz/2021-04/luca-app-luecke-software-datenschutz-coronakontaktverfolgung
[5] https://www.ifun.de/schwere-vorwuerfe-luca-app-soll-quellcode-geklaut-haben-168403/
[6] https://www.basicthinking.de/blog/2021/04/06/luca-app-quellcode/
[7] https://netzpolitik.org/2021/mfg-gpl-die-fantastische-lizenz-der-luca-app/
[8] https://www.volksstimme.de/amp/sachsen-anhalt/landespolitik/sachsen-anhalts-amter-furchten-datenflutdurch-luca-app-1776945?__twitter_impression=true
[9] https://www.ifun.de/schwere-vorwuerfe-luca-app-soll-quellcode-geklaut-haben-168403/
[10] https://www.basicthinking.de/blog/2021/04/06/luca-app-quellcode/
[11] https://netzpolitik.org/2021/mfg-gpl-die-fantastische-lizenz-der-luca-app/
[12] https://www.zeit.de/digital/datenschutz/2021-03/luca-app-corona-warn-app-kontaktverfolgungdatenschutz/komplettansicht
[13] https://www.rostock-heute.de/luca-app-datenschutz-luecke-falsche-telefonnummer/115938
Disclaimer: Dieser Text verwendet das generische Femininum. Männer sind natürlich ebenfalls gemeint *augenzwinker*
Sehr geehrter Herr Oberbürgermeister,
seit dem Start der Luca-App in Nürnberg ist diese stark in Kritik geraten. Sie hält sich weder an allgemeingültige Programmierstandards noch an das Gebot der Datensparsamkeit.
Dies ist umso schlimmer, als dass es sich bei Nexenio, dem Hersteller der Luca-App, um eine privatwirtschaftliche Firma mit Gewinnerzielungsabsicht handelt der die Bürgerinnen bereitwillig ihre Daten überlassen. Entgegen der Versprechungen des Herstellers ist die Verschlüsselung auf dessen Servern lediglich augenscheinlich vorhanden. Wie IT-Sicherheitsexpertinnen zu Recht bemängeln wird diese Verschlüsselung allein durch das Design der Software gebrochen und ist damit faktisch nicht vorhanden. [1]
Selbst wenn man den eindeutigen Interessenkonflikt und die Begehrlichkeiten der Privatwirtschaft an sensiblen Trackingdaten ignoriert, so hat das Nichteinhalten von Standards sowohl in der Vergabe als auch in der Erstellung der Luca-App bereits jetzt zu schweren Sicherheitslücken geführt (Auslesbare Bewegungsdaten durch Schlüsselanhänger, erstellen von Fake-Veranstaltungen, etc.).[2][3][4]
Dies hätte verhindert werden können wäre der Quellcode der Luca-App von Anfang an bereits frei verfügbar und überprüfbar gewesen. Leider wurde der Code jedoch erst am 14.04.2021 vollständig veröffentlicht. Die stückchenweise Veröffentlichung sorgt nicht für mehr Vertrauen bei den Expertinnen und der Bevölkerung. Insbesondere, da Änderungen, welche am Code vor der Zeit der Veröffentlichung gemacht wurden, nicht mit
ausgewiesen wurden. Entweder wurde hier ohne ordentliche Versionierung gearbeitet oder es wurde versucht den Code noch schnell zu säubern.
Das eine ist erschreckender als das Andere und aus IT-Sicherheitssicht ein mehr als deutliches Warnsignal! Selbst mit dem offenbar gesäuberten Code wurde deutlich, dass es sich bei Nexenio nicht um ein auf sicherheitskritische Software spezialisiertes Unternehmen handelt. So wurden Open-Source-Lizenzbestimmungen verletzt und versucht fremdes gedankliches Eigentum sich anzueignen. Gleichzeitig versuchte Nexenio, Spezialisten die sich den Code eingesehen haben in ihrer ersten Lizenzbestimmung einen Maulkorb zu verpassen.[5][6][7]
Die Liste der handwerklichen Fehler, die beim Erstellen der Luca-App gemacht worden sind, ist lang und soll hier nicht weiter den Rahmen sprengen. Eine stichpunktartige unvollständige Liste dieser und weiterer Kritikpunkte finden Sie weiter unten.
Hervorgehoben werden soll hier noch, dass die Luca App weder barrierefrei noch auf Geräten ohne Google Play Store einsetzbar ist.
Auf der Seite http://luca.denken.io/ kann man die Zugriffsstatistiken der Gesundheitsämter auf die Daten der Luca-App ansehen. Stand 19.04.2021 wurden hier aus Nürnberg exakt 0 Anfragen registriert. Gleichzeitig erfährt man aus anderen Kommunen und Ländern, dass die dortigen Gesundheitsämter keinen Mehrwert aus den Daten der Luca-App erwarten, sondern vielmehr befürchten davon überrannt zu werden. [8].
Eine deutlich bessere Herangehensweise zeigt die Corona-Warn-App des Bundes. Die Daten werden nicht nur auf nicht-privatwirtschaftlichen Servern gespeichert, es werden sogar deutlich weniger bzw. keine Adressdaten der Nutzerinnen außerhalb deren eigener Geräte gespeichert. Sicherlich kann man auch an der Corona-WarnApp des Bundes reichlich Kritik üben, denn die Funktionalität kommt spät und die Entwicklung war überfällig. Es gab jedoch vor einem Monat schon andere Apps die mit weniger Daten zurechtkamen, aber dafür eine genauere Nachverfolgung von Kontakten ermöglichte.
Aufgrund der oben aufgeführten Sachlage bitten die PARTEI/Piraten darum die folgende Anfrage zu beantworten, sowie den unten stehenden Antrag wegen Dringlichkeit auf die Tagesordnung der nächsten Stadtratssitzung zu setzen.
Anfrage:
1. Wie viele Luca Schlüsselanhänger wurden in Nürnberg ausgegeben und wie viele davon sind potenziell durch die Sicherheitslücke betroffen? Wurden die betroffenen Bürgerinnen informiert?
2. Wie wird sichergestellt, dass der Schlüsselanhänger auch zu der Person gehört, die ihn vorzeigt? Was passiert bei Verlust?
3. Wie steht das Gesundheitsamt zu den Fragen der Datensparsamkeit und der von Luca zu erwartenden Datenmenge? Weshalb wurden noch keine Anfragen aus Nürnberg durchgeführt?
4. Im Fall einer Meldung über die Luca-App werden die Bürgerinnen natürlich durch die Kontaktverfolgung informiert. Dazu müssen die Daten durch die Gesundheitsämter entschlüsselt werden. Wie ist das Vorgehen, falls sich eine Meldung über Luca als False Positive herausstellt? Wird
die Kontaktverfolgung dann abgebrochen? Falls ja, werden die Bürgerinnen dennoch darüber informiert, dass ihre Daten entschlüsselt wurden?
5. Im Falle einer Abmeldung von der Luca App durch eine* Bürgerin* wie lange werden die Daten durch Nexenio gespeichert, wann werden sie gelöscht und wie wird dies sichergestellt?
6. Wir hoffen alle, dass wir in einem Jahr keine Corona-Nachverfolgung mehr benötigen. Realistisch muss man trotzdem Fragen wie die Planung mit der Luca-App in einem Jahr aussieht, wenn die aktuellen Verträge auslaufen. Gibt es hierfür eine Exit-Strategie oder befinden wir uns bereits im Prozess des Vendor-Lockins? Für den Fall, dass die Luca-App weiter eingesetzt wird, wird diese dauerhaft durch den Freistaat bezahlt oder ist in der Zukunft mit erhöhten Kosten zu rechnen?
7. Ist sichergestellt, dass andere Behörden außer dem Gesundheitsamt auch in Zukunft keinen Zugriff auf die personenbezogen Daten erhalten? Falls ja, wie? Wie sind die Löschfristen?
Antrag:
Um den Schutz der Daten von Nürnbergs Bürgerinnen zu gewährleisten, fordern wir deshalb ein Moratorium der Luca-App in Nürnberg. Die Luca-App darf nicht weiter in Nürnberg eingesetzt werden bis eine unabhängige Besichtigung und Beurteilung des Quellcodes vorliegt und das Vertrauen in die App hergestellt wurde.
Als Ersatz sollte auf die Corona-Warn-App des Bundes gesetzt werden, welche in diesen Tagen mit einer deutlich datensparsameren Methode das Gleiche anbieten wird wie die Luca-App.
Mit piratigen Grüßen
Florian Betz
Anhang:
Eine unvollständige Liste der Kritikpunkte insbesondere an handwerklichen Fehlern der Luca App umfasst unter anderem:
• nicht signierte Verschlüsselung – Authentizität nicht feststellbar; QR Codes leicht zu faken
• Quellcode nicht geprüft und erst 14.04. vollständig(?) veröffentlicht
• Commithistorie vor Veröffentlichung nicht vorhanden
• Open-Source Lizenzen verletzt, Urheber und Lizenzhinweise entfernt [9][10][11]
• nicht ausreichende Tests für eine Software die personenbezogene Daten sammelt und speichert
• keine binäre Reproduzierbarkeit
• keine unabhängigen Software- und Securityaudits; der „Security Standard“ der Luca App Entwickler weißt lediglich auf einen Penetration Test durch eine weitere privatwirtschaftliche Firma und Mitarbeit von Fraunhofer Mitarbeitern hin
• ungenügende Methode der Standortermittlung; Geofencing zu ungenau [12]
• auch mit nicht registrierten Schlüsselanhängern ist der Zugang möglich
• unnötige Abfrage und Speicherung sensibler personenbezogener Daten
• Fehlerhafte (nicht vorhandene) Verifizierung bei der SMS Registrierung [13]
• Store-Abhängigkeit iOS/Android, keine „freien“ Geräte unterstützt
• Barrierefreiheit nicht vorhanden
Quellen und weiterführende Informationen:
[1] https://www.youtube.com/watch?v=kNGVQcLjlmo
[2] https://blog.wdr.de/digitalistan/luca-app-schwere-sicherheitsluecke-in-den-schluesselanhaengern/
[3] https://lucatrack.de/LucaTrack%20Pressebeschreibung.pdf
[4] https://www.zeit.de/digital/datenschutz/2021-04/luca-app-luecke-software-datenschutz-coronakontaktverfolgung
[5] https://www.ifun.de/schwere-vorwuerfe-luca-app-soll-quellcode-geklaut-haben-168403/
[6] https://www.basicthinking.de/blog/2021/04/06/luca-app-quellcode/
[7] https://netzpolitik.org/2021/mfg-gpl-die-fantastische-lizenz-der-luca-app/
[8] https://www.volksstimme.de/amp/sachsen-anhalt/landespolitik/sachsen-anhalts-amter-furchten-datenflutdurch-luca-app-1776945?__twitter_impression=true
[9] https://www.ifun.de/schwere-vorwuerfe-luca-app-soll-quellcode-geklaut-haben-168403/
[10] https://www.basicthinking.de/blog/2021/04/06/luca-app-quellcode/
[11] https://netzpolitik.org/2021/mfg-gpl-die-fantastische-lizenz-der-luca-app/
[12] https://www.zeit.de/digital/datenschutz/2021-03/luca-app-corona-warn-app-kontaktverfolgungdatenschutz/komplettansicht
[13] https://www.rostock-heute.de/luca-app-datenschutz-luecke-falsche-telefonnummer/115938
Disclaimer: Dieser Text verwendet das generische Femininum. Männer sind natürlich ebenfalls gemeint *augenzwinker*