Male hand holding smartphone. Businessman using laptop computer and digital tablet while working in the cafe. Mobile app or internet of things concepts. Modern lifestyle in digital age.
© Getty Images/iStockphoto / Zephyr18/IStockphoto.com

Netzpolitik

Code von Wiener: Wirbel um deutsche Corona-App Luca

Barbara Wimmer

Eine Tracing-App des Rappers Smudo aus Berlin sorgt jetzt für Wirbel wegen eines Open-Source-Codes aus Wien.

Dieser Artikel ist älter als ein Jahr!

In Deutschland gibt es seit längerem Debatten um eine neue Tracing-App eines Berliner Start-ups. Die Culture4life GmbH, die die App entwickelt, hat mit einer Gruppe Künstler*innen, darunter auch der „Fanta-Vier“-Musiker Smudo, eine App namens Luca veröffentlicht. Diese soll dabei helfen, Geschäfte, Restaurants und Sportevents wieder schrittweise sicher zu öffnen.

Nutzer registrieren sich - anders als bei der völlig anonymen Stopp Corona App - mit persönlichen Angaben wie Name und Telefonnummer. Beim Eintritt in Restaurants oder Veranstaltungen wird ein QR-Code gescannt. Wird dann eine Corona-Infektion gemeldet, werden alle Gäste der Location informiert, die sich zur betreffenden Uhrzeit im selben Raum aufgehalten haben. Die Daten der Gäste werden zusätzlich an das Gesundheitsamt übermittelt, welches die Daten zur Kontaktverfolgung verwenden kann.

Kritik und der Quellcode

Die App befindet sich seit längerem in Entwicklung und zählt bereits zu den meist geladenen in den deutschen App-Stores. An Luca gab es bereits immer wieder zahlreiche Kritik und Datenschutz-Bedenken. Kritisiert wird etwa, dass bei Luca auf den Servern viele Echtzeitinfos zusammenlaufen, etwa wer wo wann wie lange eine Veranstaltung besucht hat. Das könnte zur Überwachung bestimmter Personengruppen genutzt werden.

Die App-Entwickler haben nach zahlreicher Kritik nun vor kurzem auch den Quellcode der App veröffentlicht. Doch dieser war anfangs unter einer Lizenz veröffentlicht worden, den Hacker*innen der Gruppe „Zerforschung“ als „die schlimmste Lizenz, die wir seit langem gelesen haben“ bezeichnet hatten. „Damit kann eigentlich niemand einen Audit machen, der eine Spendenseite hat, denn das könnten kommerzielle Zwecke sein. Da die nicht-private Nutzung ausgeschlossen ist, ist auch unklar, ob unabhängige Organisationen so etwas machen können“, heißt es in einer Stellungnahme der Sicherheitsforscher. Der Code steht nun seit kurzem unter einer anderen Lizenz, der GPLv3.

Lizenzverletzung beim Open Source Code

Die Sicherheitsforscher*innen haben obendrein entdeckt, dass auch Teile eines Open-Source-Codes, der unter einer sogenannten BSD-Lizenz veröffentlicht worden war, einfach von den Machern der Luca-App übernommen worden war - und zwar von einem in Wien ansässigen Entwickler namens M. Bubelich. Das Übernehmen des Codes wäre im Grunde erlaubt, sofern man sich dabei an die jeweiligen Lizenzregeln hält. Allerdings tat das die Culture4life GmbH nicht.

„Außer dem Entfernen von Lizenzhinweisen/Kommentaren und Whitespaceänderungen wurde nichts geändert. Damit wurde vermutlich gegen dessen Lizenz verstossen“, heißt es seitens des Kollektives der „Zerforschung“. Der echte Open-Source-Code wurde übernommen, und zwar gänzlich ohne Copyright-Hinweis des Urhebers oder Hinweis auf die BSD-Lizenz. Dies wurde mittlerweile ebenfalls von den Machern der Luca-App nachgebessert.

Laut Einschätzung des Open-Source-Spezialisten und Rechtsexperten Till Kreuzer sind bei einer Übernahme des Open-Source-Codes Pflichten zu beachten: Die Namensnennung des Urhebers sowie der Lizenzhinweis. "Offenbar wurde dies am Anfang nicht eingehalten", so die Einschätzung. "Geklaut" sei der Code in dem Sinne deswegen allerdings nicht, aber es handelt sich dabei um eine Lizenzverletzung sowie eine Verletzung der urheberrechtlichen Pflichten zur Namensnennung.

Reaktion des Entwicklers

Die futurezone hat den Wiener Entwickler, der auf Software-Entwicklung spezialisiert ist und diesen Open-Source-Code vor rund sechs Jahren veröffentlicht hatte, kontaktiert. Dabei hat sich herausgestellt, dass dieser bis wir ihn am Mittwoch darüber informiert haben nichts von der „Übernahme“ des Codes gewusst hatte. „On the record“ möchte jener Entwickler, der „viel seiner Arbeit unter Open Source Lizenzen stellt“, jedoch zu dem Thema noch keine Stellungnahme abgeben, weil er sich erst genauer über die Sachlage informieren möchte.

In Deutschland ist die Aufregung rund um die Luca-App nun groß. So haben öffentliche Stellen Steuergeld dafür ausgegeben, ohne dass diese Probleme zuvor jemandem aufgefallen waren. Bundesländer wie Berlin, Hessen oder das Rheinland-Pflanz haben beschlossen, die App offiziell käuflich zu erwerben. Das Bundesland Niedersachsen hat ebenfalls bereits einen einjährigen Vertrag zur Nutzung der Luca-App abgeschlossen. Die Kosten beliefen sich auf drei Millionen Euro. Auch Baden-Württemberg hat Lizenzen für den flächendeckenden Einsatz der Luca-App beschafft.

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 31.03.2021, 16:56 Uhr

Barbara Wimmer

shroombab

Preisgekrönte Journalistin, Autorin und Vortragende. Seit November 2010 bei der Kurier-Futurezone. Schreibt und spricht über Netzpolitik, Datenschutz, Algorithmen, Künstliche Intelligenz, Social Media, Digitales und alles, was (vermeintlich) smart ist.

mehr lesen
Barbara Wimmer

Mehr zum Thema

Kommentare