Luca App

LucaTrack und andere Gefahren

Wer spricht da eigentlich?

Level of Expertise

  • Frontend Entwicklerin, Stuttgart
  • Projektmanagerin Digitale Kontaktnachverfolgung für Gesundheitsamt Bodenseekreis
  • Team LucaTrack
  • Sachverständige Ausschuss Digitale Agenda Clusterkennungs-Apps

Zettelwirtschaft zu voll digitaler Kontaktnachverfolgung

  • agiles Software Projekt seit 7 Monaten
  • fully remote
  • volldigitales Zusammenspiel diverser Komponenten
  • Projektkommunikation via Gitlab

Contact Tracing

Womit kann Kontaktverfolgung eigentlich nur funktionieren?

  • Geschwindigkeit
  • Mehr Geschwindigkeit

Was behauptet Luca?

»Schnelle und lückenlose Kontaktrückverfolgung im Austausch mit den Gesundheitsämtern«

Was passiert vor Luca alles im Amt?

  • Testeingang
  • Kontakt Indexperson
  • Ermittlung enge Kontaktpersonen (häusliches Umfeld)
  • Isolierung Kontaktpersonen
  • dann erst vielleicht Luca

Wie lange dauerts (eigenes Amt)?

  • Isolierung von KP innerhalb von Stunden nach Testeingang (Testergebnis über Nacht)
  • gesamter Verwaltungsworkflow sehr oft taggleich
  • ist das normal?

Warum eigentlich Luca?

GIF eines Konzerts mit kreischenden Teenies

Aber Cluster und so?

  • Luca Daten sind erst mal nur Checkins
  • Ob es da Ansteckungen gab und wie wahrscheinlich das war, steht da nicht
  • Luca Location Abfragen sind also erst einmal nur mögliche Cluster

Aber wenn ich jetzt allen nachgehe, dann kriege ich doch…

In einem Beispielablauf von 4 Arbeitstagen, ÖPNV, Mittags Essen, zwei Einkäufen und zweimal Kultur sind das schon 16 solcher potenzieller Cluster - pro Fall.

Es ist nicht sonderlich zielführend, das «Nadel im Heuhaufen Problem» mit mehr Heu allein lösen zu wollen.

Aber gibt es da denn keine App, die uns weiterhilft?

  • Anbindung an Testinfrastruktur
  • Erweiterte Detektion (Abstand & Checkins)
  • Risikoberwertung in Historie
  • Warnung an andere
  • gutes Kontakttagebuch
Logo der Corona Warn App
Intermission GIF

Luca Architektur

Luca Architektur

  • zentraler Datentreuhänder
  • sieht nur verschlüsselte Daten
  • Checkins und Kontaktinfos
  • alles ziemlich zerstückelt

Klingt erstmal theoretisch relativ sicher

  • Teile, die durchrotieren
  • dezentrale Teile
Logo der Corona Warn App

Merkwürdigkeiten

Huch, was liegt denn hier offen?

Scanner 24. März (Tobias Ravenstein)

Folge: aktueller Checkin Count, gesamter Checkin Count und Scanner jeder Location offen zugänglich mit Location UUID

Fix dann irgendwann am 7. April

Der luca Schlüsselanhänger ist das analoge Gegenstück zur luca App. Der Schlüsselanhänger ist gedacht als einfache Alternative für Nutzer:innen, die kein Smartphone haben und regelmäßig luca-Standorte besuchen

trace IDs

An opaque identifier derived from a Guest’s user ID and tracing secret during Guest Check-In. It is used to identify Check-Ins by an Infected Guest after that Guest shared their tracing secret with the Health Department.

Frage

Moment, war der tracing secret nicht das, was sich bei den Apps durchrotiert? Aber wie geht das bei gedruckten QR-Codes auf dem Schlüsselanhänger?

Security Considerations

A Static Badge cannot provide the same security guarantees as the Guest App. During check-in, the Scanner Frontend learns the Badge’s tracing secret and performs tasks that would normally be done by the Guest App.

Oops Gif

Also brauchen wir

  • User ID (steht auf dem QR Code)
  • Tracing Secret (steht auf dem QR Code)

Ooookay…

Wie schlimm ist das denn eigentlich in der Praxis?

> 100.000 Schlüsselanhänger?

This is fine Gif

Was ist sonst noch kaputt?

Checkins

QR Codes

Luca ist ein arg seltsames Pseudo-Open-Source-Projekt geworden, bei dem eine Community aus Gesundheitsämtern und Security Expert:innen einem Privatunternehmen dabei helfen muss, seine hohen Marketingversprechen irgendwie einlösen zu können und dafür Lizenzen zu kassieren.

Weiterführende Infos (Artikel Contact Tracing generell / Corona IT):