Luca: Schwerwiegende Sicherheitslücke ermöglicht Angriffe auf Gesundheitsämter
von André Westphal | Kommentare deaktiviert
Die Luca-App stammt aus privater Hand, ist also im Gegensatz zur Corona-Warn-App nicht „offiziell“. Dennoch wird sie mittlerweile gerne von Veranstaltern und Gastronomiebetrieben verwendet, damit Kunden sich über die App einchecken können und die Daten dann an die Gesundheitsämter gehen. Schnell gab es Kritik an der Sicherheit und jene dürfte nun stärker denn je aufflammen: Durch eine Sicherheitslücke sind Angriffe auf die Gesundheitsämter möglich.
Berichtet haben darüber bereits einige Medien wie z. B. Zeit. Im Wesentlichen lässt sich in den Daten, welche die Luca-App an die Gesundheitsämter liefert, Quellcode verstecken. Dabei gibt Excel zwar eine Warnung aus, wenn derlei Daten in CSV-Dateien eingeschleust werden, doch die könnte leicht von manchem Mitarbeiter in den Gesundheitsämtern ignoriert werden. Sie lautet „Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle der Datei vertrauen“ – und die Luca-App wird da wohl als vertrauenswürdig wahrgenommen.
Doch danach wäre dann Schluss, denn es wäre dann möglich den Computer zu verschlüsseln und Lösegeldforderungen zu stellen. Entdeckt wurde diese Sicherheitslücke von Marcus Mengs, der sie in obigem Video demonstriert. Möglich wäre dann auch, dass sich die Ransomware in einem Gesundheitsamt auf weitere Rechner ausbreitet oder gar andere Ämter infiziert. Denn da ist ja eine Vernetzung durch die Software Sormas X geplant.
Wie bekommt man die kritischen Zeilen aber in die CSV-Datei? Das könnte ein Angreifer so bewerkstelligen, indem er kritische Zeichen als Teil seines Namens oder der Adresse eingibt. Da ist der Fehler, dass die Luca-App dies lange erlaubte – dort konnte man Namen und Adressdaten beliebig mit Sonderzeichen hinterlassen. Auch jetzt solle es da laut Mengs trotz ergriffener Maßnahmen noch Risiken geben. Die Verantwortlichen für die Luca-App seien ihrer Verantwortung schlichtweg nicht gewachsen.
Auch der Chaos Computer Club hält die Sicherheitslücke für schwer. Es sei dadurch möglich, Patientendaten zu stehlen, Daten zu löschen oder Schadsoftware einzuschleusen. Man habe die Verantwortlichen, die Entwickler von Nexenio, bereits vor dem Problem gewarnt. Beim Unternehmen werde das Risiko jedoch kleingeredet und nicht ausreichend erst genommen. Das sei leider dort die übliche Strategie.
Update:
Die Entwickler der Luca-App teilen mit, dass die Angriffe mittlerweile systemseitig verhindert würden. Bereits implementierte Maßnahmen seien erweitert worden. Es sei aber ohnehin unwahrscheinlich gewesen, dass die Lücke erfolgreich ausgenutzt werden könnte, da die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports im behördlichen Umfeld im Regelfall deaktiviert sei. Es seien auch keine Vorfälle im Zusammenhang mit der Lücke bekannt und in Zukunft werde es keine geben, da der Missbrauch durch bestehende und neue Maßnahmen wirksam verhindert werde.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.
Du willst nichts verpassen?
Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.