Wie gut ist der Code der Luca-App?

https://blog.wdr.de/digitalistan/wie-gut-ist-der-code-der-luca-app/

Wie gut ist der Code der Luca-App?

Kommentare zum Artikel: 7

Wie sieht es in der Luca-App aus – wie ist sie programmiert? Seit Mittwoch (31.03.2021) lässt sich das zumindest ansatzweise sagen, denn die Entwickler von NeXenio haben damit begonnen, den Programm-Code öffentlich zu machen. Die Android-Version der App ist bereits öffentlich einsehbar. Die iOS-Version ist demnächst auch zu sehen.

Die Luca App: Vorschläge für Verbesserungen; Rechte: WDR/Schieb

Prügel für Quellcode-Lizenz

Die ersten Reaktionen: wenig Begeisterung. Zuerst wurde die Art der Lizenz kritisiert (Entwickler können verschiedene Freiheitsgrade definieren, wenn sie Quellcodes öffentlich machen). Anke Domscheit-Berg zum Beispiel beschwert sich auf Twitter, die “Luca-App macht sich lächerlich”, weil der Code zwar einsehbar, aber nicht veränderbar sei. Ein Fehler beim Einstellen, der umgehend korrigiert wurde. Jetzt steht der Quellcode unter GPLv3-Lizenz. Damit dürfen andere Unternehmen oder Universitäten den Code auch bearbeiten.

Auch haben Entwickler bereits Programmcode von einem anderen Autor entdeckt, der offensichtlich nicht angemessen ausgezeichnet (referenziert) wurde. Das ist nicht schön – aber kein Sicherheitsrisiko.

Cosmo Tech: Je mehr Digital, desto weniger Lockdown?; Rechte: WDR

Cosmo Tech: Je mehr digital, desto weniger Lockdown?

Corona Warn App wird parallel weiterentwickelt

Jetzt müssen sich die Experten und Expertinnen erst einmal in aller Ruhe den Quellcode anschauen und bewerten. Dann kann eine – hoffentlich – sachliche Diskussionen um einzelne Aspekte stattfinden. Das dauert nach Einschätzung mindestens eine Woche.

Viele Gesundheitsämter, Virologen und Epidemiologen sprechen sich für die Einführung von Luca aus. Es wäre gut, eine verlässliche Lösung für die Nachverfolgung der Kontakte zu haben, sollten in hoffentlich absehbarer Zeit wieder Restaurant-Besuche etc. möglich sein.

Die Corona Warn App wird parallel auch weiterentwickelt. Auch sie wird bei Locations “einchecken” können. Mit denselben QR-Codes wie Luca. Außerdem hat die Staatsministerin für Digitalisierung, Dorothee Bär (CSU), auf Twitter angekündigt, die Warn App werde schon bald auch Ergebnisse von Schnelltests anzeigen und als “Impfausweis” fungieren. Das sind gute Nachrichten.

Corona Warn App wird erweitert; Rechte: WDR/Schieb

Die Corona Warn App wird erweitert

Fairer Umgang wäre schön …

Eins muss ich aber sagen: Ein wenig unfair finde ich den Umgang mit den Entwicklern der Luca App schon. Sie haben eine App entwickelt, wie es Unternehmen nun mal tun: Nicht jedes Entwicklerteam geht gleich davon aus, dass ihre Software an die öffentliche Hand verkauft wird – und deshalb komplett offengelegt werden soll/muss. Darum kam diese Anforderung für NeXenio sicherlich überraschend. Das Unternehmen ist der inhaltlich berechtigten Forderung nachgekommen – und erntet trotzdem Prügel.

Selbstverständlich entwickelt man komplett anders, wenn man vornherein weiß, dass der Quellcode OpenSource sein wird. Hier würde ich mir mehr konstruktive Kritik derjenigen wünschen, die sich den Code anschauen – ohne bei der Kommentierung gleich jeden Respekt vermissen zu lassen. Kein “Wir wissen es besser!”, sondern ein: “Wir haben da konstruktive Ideen”. Wie wäre das?

Mitdenken statt querdenken: Smudo erklärt die Luca App

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

7 Kommentare

  1. Meyer Hans am

    Mich würde einmal interessieren, wie die Kontaktverfolgung abläuft. Daten erfassen ist eine Sache und die Meisten scheinen sich damit zufrieden zu geben. Aber was passiert dann ?
    Wie läuft das mit der Kontaktverfolgung ? Inkubationszeit ist ja 1bis 14 Tage. Werden jetzt ALLE Kontakte der letzten 14 Tage geprüft und deren Kontakte und deren Kontakte ?
    Ein Faß ohne Boden. Wie soll das gehen ?

    Werden dann automatisch alle meine Kontakte des Adressbuches ebenso verfolgt ? Das würde ja einen Verstoß der DsGVo bedeuten.
    Kommt dann die Polizei zu mir nach Hause ?
    Aber ich vermute, dass man diese Fragen nicht stellen darf, da man jetzt als Leugner und Querdenker gilt

  2. >>Selbstverständlich entwickelt man komplett anders, wenn man vornherein weiß, dass der Quellcode OpenSource sein wird.

    Wie meinsten das? Baut man in eine closed src einen privaten Schlüssel ein und hofft es findet niemand raus?

    Ich denke, dass es da keinen Unterschied geben darf. Für beide Projekte müssen die selben best practices für secure coding gelten. Oder wie siehst du das?

  3. Marco Habeck am

    “nicht angemessen ausgezeichnet (referenziert)” Das ist grundlegend Falsch. Die Copyright Einträge wurden bewusst entfernt, was einen verstoß gegen die Lizenzbedingungen und Betrug zu folge hat. Das ändern der Lizenz zur GPLv3 ist schlicht weg nicht möglich. Denn der betreffende Code steht unter BSD und kann gar nicht unter GPLv3 veröffentlicht werden. Laut Bedingungen der BSD wird nun die Vertragsstrafe fällig, die der Betroffene per Anwalt nun einfordert. Jede Installation stellt eine Urheberverletzung dar! Der öffentliche Code ist nicht gleich jener von der App die über die Stores verteilt wurde. Es wurden teile entfernt und die Versionen die jetzt laufen berühren Rechte dritter. Laut Haushaltsrecht hätte dafür nie Steuergeld verwendet werden dürfen.. Zumal droht die Anwendung aus den Stores zu fliegen, zu recht. Einer Firma die so vergeht vertraut man keine Daten an. Noch etwas die QR Codes zum Check in wurden abfotografiert und verteilt. Man kann sich beliebig einchecken. Ist wohl im Klinikum Rostock passiert. Mit den Daten kann kein Gesundheitsamt etwas anfangen.

    • Das mit den abfotografierten QR Codes ist interessant. Dafür gäbe es ja Lösungsansätze, etwa eine Plausibilitätsprüfung beim Check-In (ist Aufenthaltsort korrekt?). Fraud ist ja leider überall in einem gewissen Maße möglich, bei Papierlisten ganz besonders. Es ist allerdings ein Rechtsverstoß und kann geahndet werden.

  4. Carsten Mohr am

    Nun ja, mit den “konstruktiven Ideen” ist das immer so eine Sache.
    Eine App soll funktionieren, und das haben die Leute geliefert. Was würde ein Koch sagen, wenn er sein Hühnchen ausreicht und die Kunden sagen, da müsse Piri Piri ran, dann schmeckt es (mir) besser. Will sagen, das Hoheitsrecht hat doch immer noch, solange keine (wie angesprochen) Sicherheitsrisiken bestehen, der Entwickler.

    • M. Zernke am

      Das der Datenschutz in der Situation einen so absurd hohen Stellenwert hat kann ich nicht verstehen. In einer so ernsten Lage den Datenschutz vor Menschenleben, Existenzen, Bildung und Freiheit zu setzen halte ich für arg bedenklich. Dafür ist die Nachvervolgung zu wichtig.

      • Thomas Hagen am

        “Sie haben eine App entwickelt, wie es Unternehmen nun mal tun: (…)
        Selbstverständlich entwickelt man komplett anders, wenn man vornherein weiß, dass der Quellcode OpenSource sein wird.”

        Was ist denn das für ein Unsinn?
        Der Qualitätsmaßstab darf doch nicht davon abhängig sein, ob grobe handwerkliche Fehler ggf. nur im Verborgenen begangen werden.
        “Mord ist in Ordnung, solange man ihn nicht nachweisen kann…”

        Tatsache ist, daß das Unternehmen Reihenweise gegen den Stand der Technik auf VIELEN verschiedenen Gebieten verstoßen hat.
        Ob durch Unfähigkeit, oder aus Vorsatz macht keinen wirklichen Unterschied.
        Solchen Leuten darf man solche Aufgaben nicht überlassen.

Einen Kommentar schicken

Die mit * gekennzeichneten Felder müssen ausgefüllt werden.

Top