Wo wir gerade bei schlechter Software waren: ihr habt sicher von der tollen neuen Corona-Tracing-App "Luca" gehört, für die Smudo von den Fanta4 massiv die Werbetrommel rührt. Gerüchteweise soll man demnächst sogar nur noch mit dieser App bei Ikea einkaufen können. Aber wie ich ja gestern schon schrub: aktuell wird Software eher rausgerotzt als ordentlich entwickelt und das gilt offenbar auch für Luca.

IT-Experten haben eine Sicherheitslücke im System der Luca-App gefunden, durch die sie die Check-In-Profile von Nutzerinnen und Nutzern auslesen konnten. Wie die Gruppe unter dem Namen "Team LucaTrack" um Bianca Kastl und Tobias Ravenstein mitteilt, sei es durch eine Sicherheitslücke in den QR-Codes von Luca-Schlüsselanhängern möglich, Bewegungsprofile nachzuzeichnen.

Der Chaos Computer Club selber wird noch deutlicher:

Zweifelhaftes Geschäftsmodell, mangelhafte Software, Unregelmäßigkeiten bei der Auftragsvergabe: Der Chaos Computer Club (CCC) fordert das sofortige Ende der staatlichen Alimentierung von Smudos Steuer-Millionengrab “Luca-App”.

In den vergangenen Wochen wurden eklatante Mängel in Spezifikation, Implementierung und korrekter Lizenzierung der Luca-App aufgedeckt. Die nicht abreißende Serie von Sicherheitsproblemen und die unbeholfenen Reaktionen des Herstellers zeugen von einem grundlegenden Mangel an Kompetenz und Sorgfalt.

Warum nur setzt sich Smudo so lautstark für diesen Mist ein? Auch darüber gibt der CCC Auskunft:

Obwohl Steuergelder großzügig eingesetzt werden, verbleiben Daten, App und Infrastruktur selbstverständlich in den Händen der privatwirtschaftlichen Betreiber. Dabei gelten die teuren Lizenzen nur für ein Jahr – genug Zeit, um die Luca-App zum de-facto-Standard für Einlass-Systeme zu machen.

Hervorhebung von mir. Keine weiteren Fragen, euer Ehren.

Update: Ha, jetzt Grüß Gott! Prof. Dr. Dr. Dr. Nopper (CDU), seines Zeichens frisch gewählter Oberbürgermeister in Stuttgart und in Sachen Pandemie bisher höchstens durch konsequentes Nichtstun aufgefallen, hat sich dieses wunderbare Stück Software gleich mal für sei Städle gesichert Seggl.

2. Update: läuft für Smudo:

13 Bundesländer haben inzwischen Lizenzvereinbarungen für den Einsatz von Luca abgeschlossen. Die Kosten belaufen sich auf mindestens 20 Millionen Euro, wie netzpolitik.org recherchierte. So zahlt etwa Bayern 5,5 Millionen Euro für eine Jahreslizenz, in Hessen sind es mehr als zwei Millionen, in Sachsen-Anhalt rund eine Million. Eine Ausschreibung hat nur in Bayern stattgefunden, alle anderen Bundesländer verweisen auf Ausnahmen von den Vergaberegeln in Zeiten der Pandemie.

20 Millionen für ein Jahr Lizenzen? Ein echtes Schnäppchen! Dafür kannste ja gerade mal ein Drittel CWA App entwickeln

3. Update: Luca-Überwachung lässt sich mit Fake-Datenmüll aushebeln.

| Abgelegt unter Software, The power game
The views expressed by the author are personal.