@digitalcourage

Wenn jemand von Euch jetzt noch eine kurze deutsche Erklärung dazu schreiben könnte, wäre das mega.

Einfach das Wichtigste zusammenfassen, weil nicht jeder kann so gut englisch. Danke.

Follow

@Sofie

Wir haben S. 2 (Summary of Findings) von grob übersetzen lassen und leicht nachbearbeitet:

»
# Zusammenfassung der Ergebnisse

Unsere Analyse des Luca Sicherheitskonzepts deckt die folgenden Probleme auf:

## Durchsickern von sensiblen Informationen zum Luca Backend Server.

In seinem normalen Betriebsmodus sammelt und verarbeitet der Luca Backend Server eine große Menge an sensiblen Informationen über Veranstaltungsorte und Personen. Konstruktionsbedingt kann der Luca Backend Server:

– Echtzeitinformationen über Veranstaltungsorte erfahren, z.B. wie viele Personen sich an einem Veranstaltungsort befinden, wann sie ankommen und wann sie gehen. Diese Informationen könnten u.a. für kommerzielle Zwecke oder die Überwachung von Gemeinschaften, die eng mit diesen Orten verbunden sind, z.B. aufgrund ihrer politischen oder religiösen Ausrichtung, weiterverwendet werden.

1/3

· · Web · 1 · 9 · 5

@Sofie

– erfahren, welche Veranstaltungsorte von Sars-CoV-2-positiven Benutzern besucht wurden. Diese Informationen könnten genutzt werden, um eine risikobasierte Rangliste von Veranstaltungsorten zu erstellen. Dies könnte zu einer sozialen Stigmatisierung von Veranstaltungsorten und den dazugehörigen Gemeinden führen.

– das Pseudonym von Nutzern erfahren, die eine positive Diagnose für Sars-CoV-2 melden, vergangene Ortsbesuche dieser Nutzer verknüpfen für den Zeitraum, in dem sie als ansteckend galten, und das Pseudonym von Nutzern erfahren, die einen Ort zur gleichen Zeit wie ein positiver Indexfall besucht haben. Diese Pseudonyme sind eindeutige, dauerhafte Identifikatoren von Benutzern und können potenziell mit der IP-Adresse oder Telefonnummer des Benutzers verknüpft werden, was zu einer Identifizierung der Benutzer führen kann.

2/3

@Sofie

Diese Informationen können dazu verwendet werden, restriktive Maßnahmen gegen Einzelpersonen zu ergreifen, ihre Bewegungs- und Vereinigungsfreiheit zu bedrohen, Benutzer zu zwingen, ihr Verhalten zu ändern, oder zur sozialen Stigmatisierung der Benutzer beizutragen.

– Verknüpfung von Besuchsdatensätzen derselben (Gruppe von) Benutzern auf der Grundlage von Metadaten mit hoher Wahrscheinlichkeit. Diese Informationen könnten für kommerzielle Interessen oder für die Überwachung von Einzelpersonen und Gemeinschaften wiederverwendet werden.

Für diese Rückschlüsse ist es nicht erforderlich, dass der Angreifer die betrieblichen Informationsflüsse des Systems aktiv verändert oder dessen Schutzmechanismen umgeht. Der Betreiber des Luca-Dienstes (oder eine beliebige Entität, die den Luca-Backend-Server kompromittiert, erzwingt oder vorschreibt) kann jeden dieser Schäden verursachen, ohne entdeckt zu werden.

3/4

@Sofie

Das Risiko dieser Schäden kann die Teilnahme von Nutzern und Veranstaltungsorten entmutigen und die Effektivität des Luca-Systems effektiv reduzieren.

## Hohes Missbrauchsrisiko aufgrund der Zentralisierung des Vertrauens.

Das Luca-System zentralisiert das Vertrauen in eine einzige mächtige Instanz, die Partei, die den Luca-Backend-Server betreibt. Wenn diese zentrale Instanz böswillig handelt, kompromittiert oder genötigt wird, könnte der Server vollen Zugriff auf die Kontaktdaten und den Standortverlauf jedes einzelnen Benutzers erhalten. Das aktuelle System bietet keine technische Absicherung gegen einen willkürlichen Zugriff auf diese Informationen im Falle eines Fehlverhaltens. Sein Sicherheitskonzept beruht ausschließlich auf prozeduralen Kontrollen und setzt das volle Vertrauen in den Betreiber des Luca-Dienstes voraus, die Protokolle getreu zu befolgen.
«

4/4

@digitalcourage

Vielen herzlichen Dank! Und dann gleich noch eine Frage?

Sorry, aber das liegt mir schon lange im Magen. Ich versuche möglichst sicher zu agieren.
Und ich suche verzweifelt einen guten Übersetzer, also App oder Ähnliches für Desktop, der nicht mit Google arbeitet. Habt Ihr da einen Tipp? Google ist ja sehr komfortabel, aber man holt sich damit ja die Krake zurück. Danke!

@marco @digitalcourage

Danke, also hab mir jetzt mal DEEPLE angesehen, aber da muss ich es erst immer ganz runterladen.

Libre funktionierte bei mir nicht. Nochmal gucken.

@Sofie @marco

Da hingen noch Zeichen an der URL, die da nicht hingehören. Irgend eine App hat diesen Bug.

Vielen Dank für den Tipp:
libretranslate.de/

/c

@Sofie @digitalcourage Danke für die Korrektur des Links. Da hat Tusky nicht richtig abgeschnitten.

Deepl ist am Ende eine private Firma, die Geld verdienen muss / will. Soll datenschutztechnisch besser geworden sein (kein Google Tracking mehr), aber ich würde libretranslate.de/ vorziehen, weil libre.

Sign in to participate in the conversation
digitalcourage.social

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!