Der schlechte Open-Source-Versuch von Luca!
Erst folgt die Lizenz der Luca-App dem Motto: nur angucken, nicht anfassen. Dann wird es doch die GPL. Vertrauenswürdig geht anders!
Die Pandemiebekämpfung in Deutschland soll, wie auch immer, nun noch eine weitere App richten und der Hersteller der Luca-App hatte vor wenigen Wochen noch versprochen, den Quellcode dazu als Open Source zu veröffentlichen. Das ist nun zwar wie angekündigt geschehen, die zuerst offenbar selbst geschriebene Lizenz hatte mit Open-Source-Software jedoch nichts zu tun und verhinderte gar effektiv eine unabhängige Überprüfung der App.
Wohl nur auf Grund der massiven Kritik an dem ersten Versuch, der nun als „temporäre Lizenz“ bezeichnet wird, versucht das Team zu retten, was noch zu retten ist und hat sich mit der GPLv3 dann wohl doch noch für eine echte Open-Source-Lizenz entschieden. Das Vertrauen in die Macher der App ist damit trotzdem nicht gerettet.
Doch was war das Problem der ersten selbst geschriebenen Lizenz? Diese war wirklich so schlimm, dass klar von einer bösen Absicht der Luca-App-Macher ausgegangen werden muss. An Transparenz und Kontrolle hatten die Entwickler offenbar keinerlei Interesse. Viel mehr noch wurden Furcht, Ungewissheit und Zweifel (FUD) verbreitet. Die App sollte schon allein deshalb niemand nutzen. Auch wenn einige Länder dafür schon Millionen an Steuergeldern rausgeworfen haben.
Trotz der recht kurzen initialen Lizenzbestimmungen sind die Probleme damit lang und offensichtlich. So stand der Code ursprünglich „ausschließlich zum Zwecke der Betrachtung“ bereit. Wenigstens angucken war also erlaubt. Aber auch das nur für „persönliche, nicht kommerzielle Zwecke“. Den App-Code also als Teil eines Jobs anzusehen, war explizit verboten.
Wie schlimm darf es sein?
Audits, eine unabhängige Überprüfung des Codes, waren so nicht machbar. Darauf weist auch die Forschergruppe Zerforschung auf Twitter hin. Schon seit Einführung der Creative-Commons-Lizenzen ist klar, dass niemand so recht weiß, was eigentlich unter kommerzielle und nichtkommerzielle Nutzung fällt. Ist ein Spendenbanner oder ein Crowdfunding für einen Audit schon kommerziell? Das müssten am Ende Gerichte entscheiden und macht die Sache entsprechend ungewiss.
Die Culture4life GmbH, die die App entwickelt, führte die Verbote in der ersten Lizenz aber noch explizit aus. So durften Interessierte den Code schlicht nicht „anderweitig vervielfältigen oder verarbeiten“. Genau genommen war damit auch das Klonen des Git-Repositorys verboten, das ist ja eine Vervielfältigung und Verarbeitung durch eigene technische Systeme. Und obwohl der Code immerhin öffentlich einsehbar ist, durfte dieser weder weiter verteilt noch öffentlich wiedergegeben werden.
Vor allem aus Letztem folgt, dass bei einer Quellcode-Untersuchung, so sie denn überhaupt legal möglich wäre, nicht aus dem Code zitiert werden dürfte. Auf Fehler hätte also nicht hingewiesen werden dürfen, diese durften auch nicht am konkreten Beispiel erklärt werden. Auch das bloße Kopieren in ein „öffentliches oder verteiltes Netzwerk“ war verboten. Das Klonen des Codes in ein eigenes Repository war damit wohl ebenso ausgeschlossen wie möglicherweise die Bereitstellung von Screenshots des Codes in sozialen Netzwerken. Immerhin könnte das als Kopie gelten.
Die Macher untersagten darüber hinaus auch, den Code zu modifizieren, anzupassen oder zu übersetzen. Mit Letzterem ist wohl das Kompilieren gemeint. Ein Audit oder selbst einfache Tests des Codes auf eigenen Geräten waren damit ebenfalls ausgeschlossen.
Bei all diesen Bedingungen sollte einfach allen Beobachtern klar sein, dass das zuständige Unternehmen sich wie ein kleines Kind mit Händen und Füßen gegen eine unabhängige Überprüfung wehren wollte und die Veröffentlichung schlicht nicht vorbereitet wurde. Für eine App, die wichtige persönliche Daten verarbeitet, ist das eigentlich ein Totalausfall, auch wenn dies gerade noch einmal so behoben wurde.
Unprofessionelle Anfänger an der Luca-App!!
Immerhin hat das Unternehmen nach all der wirklich harschen Kritik inzwischen wohl auch selbst eingesehen, dass die eigene Lizenz keine gute Idee war und hat heute Morgen als erste Leistung die Lizenz geändert. Der Code steht damit nun unter der GPLv3. Besser macht das aber wenig.
Denn das Team hatte mehrere Wochen Vorlauf, die Offenlegung des Codes vorzubereiten, rechtlich bewerten zu lassen und sich auch Hilfe bei Organisationen wie der FSFE oder der Open Source Business Alliance (OSBA) zu holen. Ebenso gibt es spezialisierte Anwälte für Open-Source-Lizenzen. Einen Kontakt zu diesen haben die Macher der Luca-App wohl in den vergangenen Wochen nicht gesucht, sonst wäre der Code wohl nie mit der temporären Lizenz veröffentlicht worden.
Dafür, dass die Luca-App-Macher nicht unbedingt wussten, was Open Source genau bedeuten soll und auch sonst einfach nur unprofessionell sind, spricht auch, dass schlicht echter Open-Source-Quellcode aus einem anderen Projekt übernommen wurde, dabei aber sowohl der Copyright-Hinweis des Urhebers als auch die BSD-Lizenz komplett entfernt wurden. Auch das ist inzwischen behoben und richtiggestellt. Gleiches gilt für den Lizenzhinweis im Gradle-File.
Doch bei der Luca-App handelt es sich aber eben nicht um ein Hobbyprojekt, wo solche Dinge vielleicht mal durchrutschen, auch wenn sie nicht sollten, sondern um eine professionelle App, an der seit über einem Jahr gearbeitet wird und die auch schon vertrieben wird. Es ist zu vermuten, dass die App mit einer Urheberrechtsverletzung vertrieben wurde, bis dies irgendwem im Internet aufgefallen ist. Vertrauenswürdige Entwicklung geht anders.
Große Teile des Codes fehlen weiter
Hinzu kommt außerdem, dass es sich bei dem nun verfügbaren Code ausschließlich um die Android-App handelt, und offenbar nicht mal um die Version, die aktuell vertrieben wird, sondern um den Entwicklungszweig. Was weiterhin fehlt, ist der Code für die iOS-App und vor allem für die Server- und Backend-Systeme.
Denn nur mit dem Backend-Code ist überhaupt sinnvoll nachvollziehbar, wie das gesamte Luca-System technisch funktioniert und ob dies den Versprechungen der Macher überhaupt standhält. Dass der Code dazu aber auch weiter nicht bereitsteht, sorgt ebenfalls nicht für Vertrauen in Luca. Letztlich warnen auch Datenschützer vor der Nutzung der App. Zum Glück bietet nun auch bald die Corona-Warn-App eine anonyme und dezentrale Check-in-Funktion; hier ist das gesamte System als Open Source verfügbar und der Code dazu bereits vielfach untersucht. (Quelle: Golem)