Luca: Schwerwiegende Sicherheitslücke ermöglicht Angriffe auf Gesundheitsämter

Die Luca-App stammt aus privater Hand, ist also im Gegensatz zur Corona-Warn-App nicht „offiziell“. Dennoch wird sie mittlerweile gerne von Veranstaltern und Gastronomiebetrieben verwendet, damit Kunden sich über die App einchecken können und die Daten dann an die Gesundheitsämter gehen. Schnell gab es Kritik an der Sicherheit und jene dürfte nun stärker denn je aufflammen: Durch eine Sicherheitslücke sind Angriffe auf die Gesundheitsämter möglich.

Berichtet haben darüber bereits einige Medien wie z. B. Zeit. Im Wesentlichen lässt sich in den Daten, welche die Luca-App an die Gesundheitsämter liefert, Quellcode verstecken. Dabei gibt Excel zwar eine Warnung aus, wenn derlei Daten in CSV-Dateien eingeschleust werden, doch die könnte leicht von manchem Mitarbeiter in den Gesundheitsämtern ignoriert werden. Sie lautet „Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle der Datei vertrauen“ – und die Luca-App wird da wohl als vertrauenswürdig wahrgenommen.

Doch danach wäre dann Schluss, denn es wäre dann möglich den Computer zu verschlüsseln und Lösegeldforderungen zu stellen. Entdeckt wurde diese Sicherheitslücke von Marcus Mengs, der sie in obigem Video demonstriert. Möglich wäre dann auch, dass sich die Ransomware in einem Gesundheitsamt auf weitere Rechner ausbreitet oder gar andere Ämter infiziert. Denn da ist ja eine Vernetzung durch die Software Sormas X geplant.

Wie bekommt man die kritischen Zeilen aber in die CSV-Datei? Das könnte ein Angreifer so bewerkstelligen, indem er kritische Zeichen als Teil seines Namens oder der Adresse eingibt. Da ist der Fehler, dass die Luca-App dies lange  erlaubte – dort konnte man Namen und Adressdaten beliebig mit Sonderzeichen hinterlassen. Auch jetzt solle es da laut Mengs trotz ergriffener Maßnahmen noch Risiken geben. Die Verantwortlichen für die Luca-App seien ihrer Verantwortung schlichtweg nicht gewachsen.

Auch der Chaos Computer Club hält die Sicherheitslücke für schwer. Es sei dadurch möglich, Patientendaten zu stehlen, Daten zu löschen oder Schadsoftware einzuschleusen. Man habe die Verantwortlichen, die Entwickler von Nexenio, bereits vor dem Problem gewarnt. Beim Unternehmen werde das Risiko jedoch kleingeredet und nicht ausreichend erst genommen. Das sei leider dort die übliche Strategie.

Update:

Die Entwickler der Luca-App teilen mit, dass die Angriffe mittlerweile systemseitig verhindert würden. Bereits implementierte Maßnahmen seien erweitert worden. Es sei aber ohnehin unwahrscheinlich gewesen, dass die Lücke erfolgreich ausgenutzt werden könnte, da die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports im behördlichen Umfeld im Regelfall deaktiviert sei. Es seien auch keine Vorfälle im Zusammenhang mit der Lücke bekannt und in Zukunft werde es keine geben, da der Missbrauch durch bestehende und neue Maßnahmen wirksam verhindert werde.

In diesem Artikel sind Amazon-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.