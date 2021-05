Anzeige

Anzeige

Eigentlich soll die Luca-App die Kontaktnachverfolgung vereinfachen und so die Gesundheitsämter entlasten. Doch eine schwerwiegende Sicherheitslücke in der Check-In-App könnte dafür sorgen, dass persönliche Daten von Nutzerinnen und Nutzern ausgelesen oder im schlimmsten Fall sogar die gesamte IT-Infrastruktur der Gesundheitsämter lahmgelegt werden könnte.

Der IT-Sicherheitsexperte Marcus Mengs demonstriert in einem am Mittwoch auf YouTube veröffentlichtem Video, wie ein Angriff auf ein mit der Luca-App verbundenes Gesundheitsamt aussehen könnte. Mit Hilfe der Methode der Code Injection gelangt Mengs zunächst an die persönlichen Daten von Luca-Nutzerinnen und -Nutzern.

Luca-App Einfallstor für Trojaner?

Anzeige

Bei der Code Injection, die in dem Video nicht im Detail zu sehen ist, fügt Mengs als Nutzer der App bestimmte Sonderzeichen in die Eingabefelder für seine persönlichen Daten hinzu, etwa in das Feld seiner Straße. Die Luca-App übermittelt die Kontaktdaten als CSV-Datei ans Gesundheitsamt. Öffnet ein Behördenmitarbeiter die Datei mit Microsoft Excel, liest Excel die Sonderzeichen automatisch als Formel, die möglicherweise weitere Befehle enthält.

Anschließend zeigt Sicherheitsforscher Mengs, wie sich mit manipulierten Kontaktdaten Schadsoftware in die Rechner des Gesundheitsamtes einschleusen lässt. Zum Beispiel Ransomware, welche die Daten auf einem angegriffenen Computer verschlüsselt. Die einzige Hürde, die eine solche Trojaner-Attacke auf das Luca-System offenbar überwinden muss, ist ein Warndialog, der in Excel aufploppt, wenn ein Gesundheitsamts-Mitarbeiter die Daten im CSV-Format aus der App importieren will.

Schadsoftware könnte sich auf andere Behörden ausbreiten

Anzeige

Die Warnung „Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle der Datei vertrauen“ weist darauf hin, dass das Microsoft-Programm Unstimmigkeiten in den Daten erkennt. Es sei jedoch durchaus realistisch, dass ein Behördenmitarbeiter die Daten trotz des Warnhinweises importiert. Mengs bezeichnet die Sicherheitslücken der App als „gravierend“, die Auswirkungen einer solchen Attacke seien „verheerend“.

Die Schadsoftware, egal ob Verschlüsselungstrojaner oder ein anderes Virus, könne sich innerhalb eines Gesundheitsamts verbreiten und auch auf andere angebundene Systeme ausweiten. Sobald die Software Sormas X in den kommenden Wochen implementiert ist, mit der die Ämter untereinander vernetzt werden sollen, wäre nicht mehr ausgeschlossen, dass sich Schadsoftware >unter den Gesundheitsämtern verbreitet.

Sicherheitslücke mittlerweile geschlossen

Die Sicherheitslücke durch Code Injection ist nicht unbekannt, zahlreiche IT-Experten hatten bereits vor der flächendeckenden Einführung der Nachverfolgungs-App vor Mängeln beim Datenschutz und der Sicherheit gewarnt. Noch Anfang Mai hatte Patrick Hennig, CEO des Entwicklerunternehmens Nexenio, gesagt, eine Code-Injection-Attacke auf die App sei nicht möglich. Am Mittwoch erklärte Nexenio gegenüber Zeit Online, die Sicherheitslücke kurz nach Veröffentlichung von Mengs Video geschlossen zu haben.

Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), sagte gegenüber dem Spiegel: „Die Schwachstellen sind eklatant und die Reaktionen der Betreiber jedes Mal katastrophal. Für die Bundesländer ist es jetzt an der Zeit, diesem Drama ein Ende zu bereiten.“ Der CCC fordert schon länger, den Einsatz der App zu stoppen. Mitglieder des CCC hatten bereits Anfang April in einem offenen Brief an das Sozialministerium Baden-Württemberg vor der Einführung der App gewarnt.