#LucaFail in 3 Akten: 1) Zoo Osnabrück mit nur 1 Luca Code am Eingang für >20 Hektar (Foto im Netz) 2) @janboehm checkt mit dem Foto nachts vom Berliner Sofa im Osnbr Zoo ein 3) 110 weitere Menschen checken sich nachts im Zoo Osnbr. ein (@Street_Dogg programmiert Zähltool)
/1
Die Links:
Akt 1) QR Foto vom Zoo Osnabrück im Netz:
Das Problem ist nicht nur das Foto auf Social Media u seine Nutzbarkeit, sondern die Behauptung des Zoos, dass es mit Luca mehr Sicherheit gäbe. Weil das Gesundheitsamt weiss, wer gleichzeitig auf ü. 20 Hektar war? 🙈
/2
Link zu Akt 3):
über 100 weitere Menschen checken von irgendwoher nachts im Zoo Osnabrück ein. Ja, die Zahlen sind zugänglich für jeden (🙈) u hier gibts das Tool von @Street_Dogg, das sie visualisiert: thingspeak.com/channels/13144…. #LucaApp#LucaFail
Übrigens gibts offenbar in ganz Deutschland sinnlose Luca QR Codes für riesige Flächen, deren Check-In Daten zu 100% wertlos für ein Gesundheitsamt sein dürften, neben dem MaxiPark in Hamm (ü 20 Hektar) auch die Modellstadt Rostock mit 56 Hektar. #LucaApp#LucaFail /5
Hier der Link zum Thema 22 Hektar MaxiPark in Hamm. Bemerkenswert: #Smudo feiert den dortigen Einsatz der #LucaApp, obwohl er wissen muss, dass sie dort ein #LucaFail ist, weil die Check-In Daten wertlos sind. /6
Gute Frage: wie checkt man sich eigentlich aus einem Ort aus? Laut #LucaApp Werbung kann man selbst manuell auschecken oder per eingeschalteter Ortungsfunktion automatisch auschecken, wenn man sich von der Location entfernt. Gucken wir uns das mal an: /7
Mit #LucaApp Schlüsselanhänger kann man selbst gar nicht auschecken (oops!). Selbst der Betreiber der Location kann nur alle Nutzer:innen von Schlüsselanhängern gleichzeitig auschecken. Man kann zB 10 Uhr früh den Zoo verlassen haben, ist aber bis zur Schließzeit eingebucht. /8
Bei Android Handys geht der automatische Check-out überhaupt noch nicht - darauf weisen die #LucaApp Werber jedoch nicht hin (oder hab ich was übersehen? (via @sand2drn) #LucaFail
/9
Mir stellt sich die Frage, wie denn ein autom. Checkout bei großen Locations mit unregelmäßiger Fläche überhaupt funktionieren soll? Kein Zoo dürfte die Form eines Kreises haben, aber der "Geofence" für automatischen Check-out per #LucaApp ist ein Radius um 1 Adresse herum 🧐 /10
Nehmen wir den vor allem nachts sehr beliebten Zoo Osnabrück, wo hat da der Betreiber wohl den Mittelpunkt des Check-out Radius gesetzt? Am Eingang? Am Ausgang? Gibts eigtl mehrere Ausgänge? In der geografischen Mitte des Zoos? Und mit welchem (riesigen?) Radius? #LucaApp /11
Die Frage hat @frank_grimm beantwortet: Der Zoo Osnabrück hat seine Adresse (vermutl. Haupteingang) als Messpunkt für das automatische Checkout, mit Radius 500m. Allerdings ist das Gelände viel größer, siehe Karte. Link zum #LucaApp Eintrag Zoo Osnbr: app.luca-app.de/api/v3/locatio… /12
Update: der Zoo Osnabrück hat erst alle Besucher:innen heute früh ausgecheckt u dann seine #LucaApp Location anscheinend (vorrübergehend?) gelöscht, Schnittstelle "not found":
Der @ennolenze hat zu Testzwecken ein privates Meeting per #LucaApp eingerichtet. Er hatte bald danach über 100.000 🔥 Check-Ins. Alle mit "verifizierten Daten", u.a. hatten sich "Polizei" und "Penis" eingecheckt. #Lucafail Link zu Ennos Ausgangstweet:
This escalated quickly: fast eine Drittel Million Gäste kann @ennolenze nach 3.5 Stunden in seinem privaten #LucaApp Test-Meeting begrüßen. Ich wußte nicht, dass Enno in einem Palast wohnt, der Platz für so viele Menschen hat! 😱 #LucaFail /15
Ennos Experiment wurde nach über 600.000 privaten Check-Ins offenbar von den #LucaApp Leuten beendet. Da hatte sich seine App schon aufgehängt. Mit einem sogenannten Rate Limit (zB für max. Anzahl Check-ins) hätte man das leicht verhindern können... cc @ennolenze#LucaFail /16
Hier ist ein Link zu meinem Interview rund um #LucaApp u #CoronaWarnApp beim RBB vom 10.4.21 verlinkt, zu dem ich nachfolgend den Einspieler vor dem eigentlichen Interview kommentieren möchte (also erst 6 min Video gucken, dann weiterlesen 😎) ⬇️ /16
Im Einspieler wird gezeigt, wie die #LucaApp in Cottbus in einer Park Bimmelbahn genutzt wird. Jeder Wagon hat einen eigenen QR Code. Nun bewegt sich allerdings der Wagen u wie auch bei Bussen mit Luca Code frage ich mich, wie da das Check-Out eigentlich funktioniert. /17
viele #LucaApp Kunden haben automatisches Check-out aktiviert, das geht bei Android zwar nicht, aber bei iOS. Automatisches Check-out setzt voraus, dass man sich geographisch vom QR-Code entfernt, wie weit das sein muss für einen Check out, kann die Location festlegen. /18
Das setzt voraus, dass der QR-Code auch eine bestimmte Ortskoordinate hat, also ein Punkt auf einer Karte ist. Der Check-out erfolgt, wenn man den festgelegten Radius um diesen Punkt herum verlässt. Wo soll dieser Punkt sein, wenn sich der QR-Code samt Wagon bewegt? /19
es gibt 2 Möglichkeiten: 1. dem QR-Code auf beweglichen Dingen wie Bus o Bahn ist kein Ortsbezug zugeordnet, dann geht automatischer Check out gar nicht, weil das #LucaApp System ja gar nicht feststellen kann, ob man irgendeinen Radius verlässt. /20
2. Möglichkeit: dem QR-Code auf beweglichen Dingen (Bus o Bahn) ist irgendein Ortsbezug zugeordnet, zB die Start-Haltestelle, dann checkt sich aber jeder Fahrgast automatisch aus, sowie Bus/ Bahn den festgelegten Radius für autom. Checkout verlassen - also bald nach Abfahrt. /21
es ist also offensichtlich, dass automatischer Check out mit einem #LucaApp QR-Code auf beweglichen Dingen wie Bussen u Bahnen nicht funktioniert. Folglich muss man manuell auschecken. Aber wer sagt das den Fahrgästen? und wie viele machen das wohl? /22
wer sich nicht manuell auscheckt, bleibt offensichtlich im #LucaApp System, u fährt vielleicht für immer Bimmelbahn in den Luca-Daten, falls nicht nach 24 Stunden ein Check out durch das App System erfolgt. Die Daten für das Gesundheitsamt dürften sinnlos sein. #LucaFail /23
was glaubt ihr, wie viele Leute checken sich in der Rushhour beim Aussteigen aus einem ÖPNV Bus hintereinander manuell aus mit ihrem Handy? 3 % oder 5%? Mehr bestimmt nicht. Der Rest wurde entw. schon nach der Abfahrt autom. ausgecheckt o fährt im #LucaApp System ewig Bus. 🙈 /24
Dass beim RBB für die Stadt Cottbus ausgerechnet #LucaApp Codes auf einer Bimmelbahn beworben wurden, zeigt wie wenig das Luca System verstanden wird. Viele Anwendungsfälle sind dadurch komplett sinnlos, so wie 1 einziger Luca QR-Code am Eingang eines riesigen Zoos. #lucafail /25
Und schwups konnte man sich durch meine Fotos von der Cottbuser Bimmelbahn auch aus 600km Entfernung dort per #LucaApp einchecken: /26
Und @Street_Dogg fand die Einträge im Luca System zur Cottbuser Bimmelbahn:
Man hat tatsächlich die bewegliche Bahn mit einer festen Adresse in der #LucaApp hinterlegt: Elias Park 2 in Cottbus. Nach Abfahrt wird man trotzdem nicht gleich automatisch ausgecheckt, denn 🥁... /27
... man war so "clever", um die feste Adresse der Cottbuser Bimmelbahn 2.200 Meter (!!!) Radius für den autom. Checkout aus d #LucaApp einzustellen. Wer sich also nach d Aussteigen auf einer 15 Quadrat-Km großen Fläche des Cottbuser Stadtgebiets bewegt, bleibt eingecheckt 🙈 /28
In Cottbus freut man sich laut @rbb24, dass schon jeder 2. Bimmelbahn-Nutzer in Cottbus mit #LucaApp eincheckt. Aber hat der lobende Stadtsprecher auch mal sein Gesundheitsamt gefragt, was es mit den dabei entstehenden sinnlosen Daten anfangen soll? #lucafail /29
Immer wieder sehe ich Beispiele für extrem dilettantische Programmierung der #LucaApp. Ich frage mich wirklich, wie man dort so viele Basics versemmeln kann. Hier ein Bsp, wo sie nicht mal das Format für ein Tel.-Nr. Feld vernünftig programmiert haben 🙈 #lucafail /30 ⬇️
mind. 100.000 #LucaApp Schlüsselanhänger sind im Umlauf. Die gravierende #Sicherheitslücke#LucaTrack (Entdeckt von @bkastl u @rvnstn) ermöglicht Auslesen von Check-in Locations 30 Tage rückwärts u Verfolgung aktueller Check-Ins. Ein feuchter Traum für Stalker! #LucaFail ⬇️
/31
Hier zeigt @bkastl per Video, wie einfach die Sicherheitslücke #LucaTrack das Auslesen von 30 Tagen Geo-Koordinaten der Luca Check-ins ermöglicht (wo der/die Besitzer:in war). Das Unternehmen wurde vor Veröffentlichung d Schwachstelle informiert. Video: ⬇️ #LucaFail#LucaApp /32
Erste Medien berichten, dass das Start Up sich bereits in einer Presseerklärung dazu äußerte, die Sicherheitslücke #LucaTrack bei den #LucaApp Schlüsselanhängern sei geschlossen worden. Obs stimmt, wird man sehen. Fakt ist: ein #LucaFail jagt den anderen.
/33
Nur als vernichtend kann man diese Generalabrechnung des Chaos Computer Clubs zur #LucaApp bezeichnen. Der CCC "fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab “Luca-App”" ccc.de/de/updates/202… #bundesnotbremse für #lucafail /34
Die Macher der #LucaApp diskreditieren immer wieder Kritiker:innen. Meine Aussage, die App sei "schlecht gemacht u funktional kaputt" bezeichnete #Smudo in einem Interview als "falsch u völliger Schwachsinn".
Das spricht für krasse Realitätsverweigerung, denn... #LucaFail /36
... inzwischen beschreiben auch Gesundheitsämter recht ausführlich, auf wie vielen Arten u Weisen die #LucaApp ihre Funktion NICHT erfüllt. Schon seit Tagen wollte ich Euch den Bericht der Stadt Weimar dazu aufdröseln, das hat nun @HonkHase umfassend erledigt:
/37
Meine Highlights zur #LucaApp aus dem Weimarer Bericht: "Von 655 angefragten u übermittelten Kontakten waren "0" (= NULL) Kontakte relevant". 🧐
Jeder der 655 Kontakte musste vom Ges.Amt bewertet werden (= Aufwand).
Einen Nutzen für die Kontaktverfolgung gab es dabei nicht. /38
"Funktional kaputt" ist die #LucaApp laut Weimarer Bericht aber auch, weil (u.a.):
- viele Checkouts nicht funktionieren
- das GA Daten zu manuellen Checkins gar nicht erhält
- angepriesene User Warnfunktion nicht existiert
- Checkin im Nachbarladen nur mit Umweg mögl ist. /39
so ist es auch kein Wunder, dass der Weimarer Bericht schlussfolgert, dass der Einsatz der #LucaApp im Einzelhandel NICHT empfohlen werden kann. Ob #Smudo nun auch die Stadt Weimar u ihren Bericht als "falsch und schwachsinnig" bezeichnet? /40
Lest auf jeden Fall den gesamten Thread von @HonkHase zum Bericht der Stadt Weimar, in meinem Thread bei /37 verlinkt. Da stehen noch mehr "Perlen" drin. Ich bleibe dabei, die #LucaApp ist ein eklatanter #LucaFail, ein Werbegag, der Smudo u.a. reich macht u niemandem nützt. /41
Korrektur zu meinem Tweet nr 36: Das Zitat/Interview hatte die Schweriner Volkszeitung nicht mit #Smudo, sondern mit @patrick_hennig, geführt. Er steht an der Spitze des #LucaApp Start Up u er nannte meine Aussagen schwachsinnig.
Smudo macht nur Werbung für sein Investment. /42
70 führende IT-Sicherheitsforscher:innen unterzeichnen offenen Brief mit fundamentaler Kritik an #LucaApp. @evawolfangel schreibt darüber hier: zeit.de/digital/datens….
Nachfolgend ein paar Highlights aus dem Text. /44
70 Sicherheitsforscher:innen: 4 Grundprinzipien sind für Apps zur Kontakt Nachverfolgung wichtig: 1. Zweckbindung, 2. Transparenz, 3. Freiwilligkeit, 4. Risikoabwägung.
Die #LucaApp erfüllt keines davon. #Lucafail /45
70 IT-Sicherheitsforscher:innen: Mit #LucaApp verbundene Risiken durch zentr. Datensammlung sind völlig unverhältnismäßig u "bergen massives Missbrauchspotenzial".
Bewegungsprofile lassen sich mit Metadaten erstellen.
"Über Luca könnte nachvollzogen werden, wo jmd wann war" /46
Aber dafür entlastet die #LucaApp doch die Gesundheitsämter!!!1elf
Nö.
70 IT-Sicherheitsforscher:innen: "Der Nutzen des Luca Systems bleibe zweifelhaft", "durch schlechte Datenqualität könnte die Belastung des Gesundheitsamtes sogar noch zu nehmen" /47
Warum sehen 70 IT-Sicherheitsforscher:innen in fehlender technischer #Zweckbindung der #LucaApp ein weiteres großes Problem?
Weil jetzt eine Abhängigkeit von einem einzelnen Privatunternehmen entsteht, per (kommerzieller) App, die auf Mill. dt. Mobiltelefone installiert ist. /48
zur Pandemiebekämpfung muss man Datenschutz weiter reduzieren? 70 IT Sicherheitsforscher:innen: "auch in dezentralen, datensparsamen Systemen können notw. Informationen zur Pandemiebekämpfung erhoben u Ges.Ämtern zur Verfügung gestellt werden." Sie empfehlen #CoronaWarnApp. /49
70 IT Sicherheitsforscher innen: mit #LucaApp gabs eine App, bevor klar war, welches Problem man lösen wolle. Es wurde nicht geprüft, ob zentrale Speicherung so vieler Daten verhältnismäßig ist. Haltlose Versprechen, wie "Luca holt Menschen aus Lockdown" verspielen Vertrauen.
/50
Der offene Brief der 70 IT Sicherheitsforscher:innen, auf den sich Tweets 44-50 im Thread beziehen, kann hier nachgelesen werden: digikoletter.github.io.
Die Liste der Erstunterzeichner:innen ist ein Who ist Who der IT Sicherheitsforschung in Deutschland. #LucaApp#LucaFail /52
Die Sicherheitslücken bei der #LucaApp nehmen kein Ende. Guckt Euch diese hier mal an 🙈🙈🙈 von wegen "Bei Luca sind Eure Daten sicher, solange keiner in ein Gesundheitsamt einbricht" ⬇️ /53
Der Brillen-Apollo CEO @Joerg_Ehmer fühlt sich (zu Recht) von d Politik verschaukelt. Die #CoronaWarnApp wurde lang vom Bund vernachlässigt, danach eine defekte u unsichere #LucaApp von Kommunen u Ländern hoch gejazzt u z. T. sogar vorgeschrieben. Grund: #digitaleInkompetenz /54
"Nur 15 von 53 Gesundheitsämtern in NRW nutzen die Kontaktverfolgungssoftware SORMAS" - Mit der Kontaktverfolgung kommen sie einfach nicht hinterher, aber in der Region wird die #LucaApp beworben, weil die ja so eine tolle Anbindung an SORMAS haben soll. 🙈 #digitaleGlobuli
/55
Das großartige @Peng ! Kollektiv demonstriert Euch in 125 Sekunden Video, wie unsicher die #LucaApp ist u wie leicht man das Luca System mit falschen Daten fluten kann. Binsenweisheit: wo ein System derartige Lücken hat, werden sie ausgenutzt. #LucaHack#LucaFail#LuciApp /56
Mit der #Hackerautobahn ins Gesundheitsamt? - das GA Aachen beendete die Kooperation mit d #LucaApp, zu groß die Sorgen, dass schlechte IT-Sicherheit bei Anbindung von Luca ans SORMAS Fachverfahren die IT des Gesundheitsamtes gefährdet: @evawolfangel: zeit.de/digital/datens…
/57
Weil der eben verlinkte Text recht lang ist, hier ein paar Highlights:
Sozialdezernent Ziemons, Stadt Aachen: "der Druck war massiv", "Schimpfwörter wie Digitaltrottel fielen", die #LucaApp Leute köderten mit kostenlosen Probephasen. "Dieses Geschäftsmodell ist so perfide." /58
Besonders gefährlich: die geplante Direktanbindung an die Fachanwendung Sormas, sagt Sozialdezernent Ziemons: "jede Schwachstelle im Luca-System (könnte) auch eine Schwachstelle im System des Gesundheitsamtes werden" #LucaApp#LucaFail
/59
Das Problem: Weil Grundregeln der IT Sicherheit nicht eingehalten wurden, kann man im #LucaApp System geradezu beliebige Daten bei der Registrierung eingeben, das kann auch Schadsoftware sein, und das Risiko dafür wird vollständig auf die Gesundheitsämter abgewälzt. /60
Gérard Krause, SORMAS Entwickler, meint, dass die Fachanwendung Schadcode erkennt, will aber keine Verantwortung übernehmen für Schäden, die durch #LucaApp Daten im Gesundheitsamt entstehen. GA Schnittstellen dürfen nur für vertrauenswürdige u sichere Systeme geöffnet werden. /61
Muss man versierter Hacker sein, um über #LucaApp Gesundheitsämtern zu schaden? laut @HonkHase nicht. Da Eingabefelder zB für Name o Adresse beliebige Daten u Datenlängen erlauben, könnten Böswillige auch mit Eingabe eines Kilometerlangen Namens ältere IT Systeme lahmlegen. /62
Auch was #LucaApp nützt, fragte @evawolfangel: 1) Nur 3 von 137 GÄ nutzen Luca im Alltag 2) Ges.Amt Weimar: von 655 Luca Datensätzen waren 0 verwertbar. 3) GA Bodenseekreis rief seit Pandemiebeginn erst 3 Mal Kontaktlisten ab.
WTF! DAFÜR diese teure, hochriskante App?!? /63
Ich sag ja, die #LucaApp ist #funktionalkaputt.
Checkins von Luca Schlüsselanhängern können von Gesundheitsämtern NICHT nachvollzogen werden. Wie gut, dass es eine "Lösung" für Menschen ohne Smartphone gibt, sie können sich sicherer "fühlen". Checkout geht übrigens eh nicht. /64
Wer mehr wissen will zu aktuellen Positionen diverser Sachverständiger hinsichtlich #CoronaWarnApp u #LucaApp, dem empfehle ich meinen Video-Ausschussreport zum #Digitalausschuss im Bundestag von letzter Woche. /65 ⬇️
Der unschlagbare Vorteil der #CoronaWarnApp ist ihre Warngeschwindigkeit. Mancher zweifelt an ihrer Wirkung, weil er/sie wg Lockdown zZ keine Warnungen selbst erhält. Aber es gibt sie u jetzt auch Daten dazu: jede hochgeladene Warnung generiert 6 rote Warnungen an Dritte!
/67
Die #CoronaWarnApp nützt! Guckt einfach rein in die App, sie zeigt an, dass bisher 456.369 Warnungen hochgeladen wurden. Jede warnte im Schnitt 6 Nutzer:innen. Das sind über 2.7 Mio (!) Menschen, von denen sich 80% testen ließen, wodurch ca 150.000 Infektionen entdeckt wurden /68
Zurück zum Interview in @AZ_Augsburg: ich wurde gefragt, wie ich weiteren Funktionen für #CoronaWarnApp finde. Zum Impfnachweis äußerte ich mich skeptisch, aber eine Broadcasting Funktion wär toll, was das ist, erkläre ich im Zitat. Warnungen ü #LucaApp gibts übrigens nicht. /69
In @PNN_de gibts ebenfalls einen längeren Text mit Kritik zur #LucaApp, denn Potsdam will sie auch einführen (🙈). Highlights darin zitieren die Stellungnahme der Datenschutzaufsichtsbehörden von Bund u Ländern: "zZ können Gesundheitsämter nicht von korrekten Daten ausgehen" /70
Und weiter kritisieren die Expert:innen: dass alle Gesundheitsämter im #LucaApp System den gleichen (!) Schlüssel für Daten-Entschlüsselungen verwenden, birgt Missbrauchsgefahr.
/71
Außerdem, so d Bericht d Datenschutz-Behörden aus Bund u Ländern, können bei #LucaApp Fake-Identitäten erstellt werden, was auch zu Quarantäne-Pflichten für Bürger:innen ohne jeglichen Risikokontakt führen könnte. Auch Telefonbelästigungen sind durch Fakeanmeldungen möglich. /72
Auch die mögliche Überlastung von Gesundheitsämtern durch Mülldaten aus dem #LucaApp System kritisieren die Datenschützer:innen aus Bund u Ländern. "Ein Kontaktverfolgungssystem, das nicht in der Lage sei, den GÄ valide Daten zu liefern, werde seinem Zweck nicht gerecht." /73
Aus den "über 70 IT-Sicherheitsforscher:innen", die einen offenen Brief mit grundlegender Kritik u Forderungen an die #LucaApp unterzeichneten, sind inzwischen über 450 unterzeichnende Fachleute geworden, schreibt @PNN_de. Die Stadt bleibt jedoch bei ihrer Empfehlung. /74
ich hab euch ja noch gar nicht den Link zum ganzen Artikel hier gepostet, den ich hier in mehreren Tweets zur #LucaApp zitiert hatte. Hier also das ganze Stück aus der @PNN_de zum Nachlesen: pnn.de/potsdam/start-…#Datenschutzkonferenz
/75
Und schon wieder wurde eine #Sicherheitslücke bei #LucaApp entdeckt (von @mame82): Man kann verschlüsselte Kontaktdaten von Luca Schlüsselanhänger Nutzer:innen nach Checkin unbemerkt ändern u so zB unbeliebte Personen vom Ges.Amt in Quarantäne schicken lassen 🙈. /76 ⬇️
Es ist wirklich bodenlos, die #LucaApp stets als einzige App in Deutschland anzupreisen, die verifizierte Kontaktdaten an Gesundheitsämter liefern kann, wo sie genau das offensichtlich nicht tut. Luca ist aber nicht nur nutzlos, sondern auch gefährlich. /77
was die vielen Sicherheitslücken immer wieder deutlich machen, ist wie krass dilettantisch die #LucaApp entwickelt wurde, die Daten zu Bewegungsprofilen von potentiell zig Millionen Bürger :innen zentral speichern soll. Ein schlechtes Konzept schlecht umgesetzt = worst case. /78
Sehr schön hat @bkastl in einem thread zusammengefasst, wie viele fuckups allein zum #LucaApp#Schlüsselanhänger bereits bekannt wurden... zB heimlich Leute tracken (Stalker freut sich), Ges.Amt kommt an Daten aber nicht ran, Checkout geht auch nicht etc. #funktionalkaputt /79
Und @evawolfangel fiel noch was auf, nämlich dass Nexenio (#LucaApp Firma) selbst alle Seriennummern der Schlüsselanhänger kennen kann u daher auch an (Checkin) Bewegungsprofile der Nutzer:innen rankommt. Von wegen "Wir können nix lesen, weil so toll verschlüsselt" LOL! /80
... gibt es nun statt angepriesener automat. Warnung schlappe 6 Mon später eine "Info über Datenabfragen", unter Warnung verstehe ich allerdings etwas Anderes! Und mich ärgert wirklich, dass die Bundesländer 21 Mio € für ein unfertiges u schlechtes Produkt bezahlen. #LucaApp /82
Und hier offenbart sich im übrigen ein weiteres Problem mit den #LucaApp Schlüsselanhängern, die nicht nur sehr unsicher sind, sondern außerdem natürlich niemanden automatisch warnen können. Ein auf Plastik aufgeklebter QR-Code empfängt nun mal keine Nachrichten. /83
EIL: 😱 #LucaApp ermöglicht gefährliche Einschleusung von Schadsoftware ins Gesundheitsamt, demonstriert von @mame82 am Bsp #Ramsonware!
Jedes Gesundheitsamt sollte bei derart unsicherer Software sofort die Verbindung kappen. Luca = IT Security Risiko #lucafail@BSI_Bund ⬇️ /84
genau vor dieser Art Angriffsmöglichkeit auf Gesundheitsämter durch #LucaApp haben IT Sicherheitsexpert:innen länger gewarnt. Die Macher der Luca App stritten ab, dass es diese Sicherheitslücke gibt. Siehe Artikel von @evawolfangel von Anfang Mai. Was muss noch passieren? /85
🙈 Ich glaubs einfach nicht... die Dilettanten der #LucaApp haben die gravierende neueste Sicherheitslücke so "gefixt", dass man jetzt über die Eingabe von Luca Kontaktdaten die Software im Gesundheitsamt abstürzen kann!
Danke @mame82 für das erneute Offenbaren des #LukaFail. /86
kleiner Exkurs in die mysteriöse Welt der Wiederholungsschleife: 1) Sicherheitslücke bei #LucaApp von Journos, Aktivist:innen o. Sicherheitsforscher:innen aufgedeckt 2) NeXenio macht stümperhaften Hotfix 3) NeXenio macht PR = "Problem war keins, aber wir haben es gelöst". /89
Hier (siehe Tweet /89) hatte also NeXenio das Problem "Schadcode Einschleusung über CSV Schnittstelle bei Gesundheitsämtern" durch pauschale Löschung aller möglicher Sonderzeichen zu lösen versucht, was aber unzählige Namen verstümmelt, die zB š oder ç enthalten. #LucaApp /90
und nun zieht Euch diesen kleinen aber feinen thread von @mfeilner dazu rein, in dem er die in /89 erwähnte Wiederholungsschleife analysiert. Ein Ausschnitt hier als Foto, sein Mini- Thread hier:
übrigens, wenn was schiefgeht mit den Daten, ist die Location dran, während die Dilettanten von #LucaApp aus dem Schneider sind. Vielleicht erzählt Ihr das mal den Inhaber:innen der Cafés u Shops die einen Luca QR Code an der Tür haben u warnt sie vor misslichen Folgen.
/93
Wie viele Nutzer-Namen der dilettantische Hotfix der letzten Sicherheitslücke bei #LucaApp nun einfach wegfiltert (die werden dann vom Gesundheitsamt nie angerufen, wenn was ist), hat spaßeshalber @yetzt für Euch mal näherungsweise herausgefunden ⬇️ #lucaFail /94
Ich dachte, für heute war genug #LucaFail, aber es geht noch schlimmer! Jetzt werden LucaLocation Inhaber gebeten, IT-Sicherheits-NoGos zu begehen, u ihre privaten (!!!) Schlüssel bei d Anmeldung zur #LucaApp hochzuladen. 🙈🙈🙈 Bitte tut das NIEMALS! (ist wie Euer Passwort). /95
so sieht es aus, wenn #LucaApp versucht, die privaten Schlüssel von Location Inhaber:innen zu erhalten.
Hinweis für wenig IT-affine Menschen: es gibt 2 Schlüssel bei dieser Verschlüsselung, 1 öffentlichen u 1 privaten u der private heisst so, weil man ihn geheim halten soll! /96
Die Macher der #LucaApp regen sich immer auf, wenn man die App als funktional kaputt bezeichnet. In diesem Thread gibts schon viele Beispiele für #lucafail, aber hier habt Ihr noch eins:
Luca bringt checkin/-out Zeiten durcheinander, erzeigt Müll-Daten fürs Gesundheitsamt./97
Ich dokumentiere längst nicht alle #lucafails, weil da keiner mehr nachkommt. Aber langsam muss wer (@BSI_Bund 👀) die Reissleine ziehen u formell vor weiterem Einsatz der #LucaApp warnen. Gestern zeigte @mame82, dass immer noch Gesundheitsämter ü Luca angreifbar sind (contd) /98
2 Std später erklären Unternehmensvertreter von #LucaApp, das Problem sei erkannt, mit den Ges.-ämtern löse man das gemeinsam. Wie JEDES MAL fixten sie ein nicht verstandenes Problem, ohne Tests, ohne strukturelle Prüfung. Wie jedes Mal, blieben gravierende Sicherheitslücken!
/99
Zum 3. Mal (wenn ich nicht weitere Fälle übersehen habe) hat nun @mame82 nachgewiesen, dass man über die Sicherheitslücken u den Schrott-Code der #LucaApp Schadsoftware an Gesundheitsämter (!) übermitteln kann, so könnten zB kriminelle Erpresser Ges.Amts-Daten verschlüsseln. /100
Zieht Euch den mini Thread von @mame82 rein, den ich bei Tweet #99 verlinkt hatte. Für Menschen mit Sinn für IT-Sicherheits ist es eine reinste #LucaApp Horrorstory.
Warum verlangen die Bundesländer nicht ihre 22mio € für #lucafail zurück? Warum machen sie weiter Werbung? /101
IT-Sicherheitsfachmann @mame82 hat unzählige Sicherheitslücken der #lucafail App dokumentiert + unfassbar viel unbezahlte Zeit investiert. Die #LucaApp Leute "dankten" es mit Ignoranz u "weiter so" Marketing. Seine Arbeit stellt er deshalb unvollendet ein. Seine Sammlung ⬇️ /102
Falls wer das Problem der über #LucaApp ins Gesundheitsamt eingeschleusten Schadsoftware (CSV Injection) besser verstehen möchte, @evawolfangel hatte die ursprüngliche Sicherheitslücke u ihre potentiellen Folgen schon im Mai sehr gut beschrieben:
/103
Im #bundestag wird (trotz #Haushaltsdebatte) über das Anti-Migrations- u „Sicherheitspaket“ diskutiert u die Rede von Nancy Faeser macht klar: sie will eine krasse #Überwachungsinfrastruktur aufbauen, bei der es mir kalt den Rücken runterläuft. Aber ganz neu ist das nicht /1
Nancy Faeser kündigt an, automatisiert Gesichts- und Stimmabgleiche von Salafisten in sozialen Medien vorzunehmen. Das ist aus so vielen Gründen höchst problematisch, aber meine jüngste #KleineAnfrage zum Einsatz von #KI zeigt, dass solche Projekte längst vorbereitet werden./2
Die KI-Verordnung der EU verbietet Echtzeit-Identifikation auf Basis biometrischer Merkmale - wie Stimme o. Gesicht. Alle nicht verbotenen KI-Anwendungen im Bereich Strafverfolgung u Migration (die mit fachl. Arbeit zu tun haben), gelten als #HighRisk. #KIVO #KI #Grundrechte/3
Jetzt Debatte zum Haushalt des Ministeriums für Digitalisierung + Verkehr. In seiner Rede lobt sich Volker @Wissing über den grünen Klee, z.b. den schnellen 5G Rollout und die 97% Abdeckung mit 4G, aber auch dass jeder 3. Haushalt in DE einen Glasfaseranschluss buchen könnte./1
Die Formulierung „Glasfaser buchen könnte“ ist wichtig, denn in DE sind Glasfaseranschlüsse im Vergleich zu anderen EU-Ländern so teuer, dass viele Haushalte sich gar keinen Glasfaseranschluss leisten können. Für Teilhabe reicht eine theoretische Verfügbarkeit aber nicht. /2
Tatsächlich sind wir im sonstigen EU Vergleich generell keineswegs so großartig, wie @Wissing behauptete. Unionspolitiker @reinhardbrandl rechnet vor: bei dig. Verwaltung von EU-Platz 14 auf Platz 19 abgesackt, bei Gigabitausbau: von 11 auf 14, bei 5G von 4 auf Platz 9… /3
die🚦 ist so lost. Klar muss man Islamismus effektiver bekämpfen, aber das Zauberwort ist effektiv d.h. wirksam + zielgerichtet. Was bringt ein absolutes Messerverbot an Bahnhöfen? Man erwischt Touris u Pfadfinder mit Schweizer Taschenmesser, Omas mit Küchenmesser zum Apfel /1
Ein absolutes Messerverbot ist
- null durchsetzbar o.
- erfordert krasseste Personenkontrollen an Bahnhöfen o.
- wird zu grundrechtswidrigem racial profiling führen (siehst arabisch aus? Tasche auf! ein Taschenmesser? kriminell!)
- wird unzählige Unschuldige kriminalisieren
/2
Das ist billigster Populismus, komplett an der Realität vorbei.
Übrigens ist Menschen ermorden bereits verboten. Und Messer auf großen Festen wie in Solingen waren auch schon verboten. Verbrecher, die morden wollen, sind doch Verbote egal!
Echte Prävention geht anders!
/3
Wie ernst meint es die Ampel mit d Stärkung von #OpenSource? Meine neuen Anfragen bestätigen, dass es an Umsetzung mangelt. In 2024 wird nun auch das Zentrum für #DigitaleSouveränität durch Ressourcenmangel ausgebremst. Meine Pressemitteilung dazu: /1mdb.anke.domscheit-berg.de/2024/03/pm-bre…
Meine schriftl. Fragen ergaben: das #ZenDis - Zentrum für dig. Souveränität hat bisher nur 9 MA, darunter nur 4 MA, die konkret an #OpenSource Projekten arbeiten: #OpenDesk (OSS-Arbeitsplatz: 3 MA) u #OpenCode (OSS-Plattform: 1 MA). Wg. 4-Augenprinzip gibts 2 Geschäftsführer. /2
Das Zentrum für dig. Souveränität soll mit Beauftragung durch Bund u Länder arbeiten. ABER: der Bund hat bisher nur 1 kleineren Auftrag für #OpenCode erteilt (endet im März), für das Flagship-Vorhaben #OpenDesk gab es noch keinen einzigen Auftrag! Das ZenDis gibts schon ü 1 J.!/3
Digitalpol. befasse ich mich schon lange mit IT-Sicherheit im Allgemeinen + der IT-Sicherheit im Bund im Besonderen. Es war u ist ein Trauerspiel, u das, obwohl wir in geopol. Hochrisiko-Zeiten leben, wo jede Schwäche ausgenutzt wird, auch für Informationskrieg.
#Taurusleak /1
Das Problem mit IT-Sicherheit: es darf nirgendwo eine Lücke geben, alles muss „dicht“ sein: bei Hardware, Software, Netzen, Umgebung, Prozessen u Verhalten. Die ganze Sicherheitsarchitektur muss passen u die Governance - Steuerung, Verantwortungen, Rollen auch. #Taurusleak /2
Beim #Taurusleak ging Vieles falsch. Wenn auch Tage später über die Einstufung des Gesprächs gegrübelt wird, hat sich offenbar vorher keiner Gedanken drüber gemacht. WebEx ist nur bei der untersten Geheimhaltungsstufe ggf. tolerierbar, bei „vertraulich“ u „geheim“ ein nogo. /3
Heute ist ein schwarzer Tag, denn wir werden in der Fraktionssitzung am Nachmittag das Ende der Linksfraktion beschließen. Als Optimistin glaube ich, dass es im nächsten Bundestag wieder eine Linksfraktion geben wird, selbstverständlich ist das aber nicht. Wie geht es weiter? 🧵
Heute beschließen wir, wann genau die Liquidation der Linksfraktion beginnt, das wird sich eher in etlichen Tagen als (etlichen) Wochen messen. Parallel werden wir die Gründung einer Gruppe der @dieLinke vorbereiten u bald die Anerkennung beantragen. Das ist ein Präzedenzfall./2
Noch nie wurde eine Fraktion während einer Legislatur in eine Gruppe umgewandelt, wir betreten also Neuland u es gibt auch gewisse Grauzonen. Vieles ist Verhandlungssache, denn die Mehrheit im Bundestag (= Ampel) beschließt über unsere Rechte als Gruppe, das kann auch dauern./3