Eigentlich soll die Luca-App die Kontaktnachverfolgung vereinfachen und so die Gesundheitsämter entlasten. Doch eine schwerwiegende Sicherheitslücke in der Check-in-App könnte dafür sorgen, dass persönliche Daten von Nutzerinnen und Nutzern ausgelesen oder im schlimmsten Fall sogar die gesamte IT-Infrastruktur der Gesundheitsämter lahmgelegt werden könnte.

Der IT-Sicherheitsexperte Marcus Mengs demonstriert in einem am Mittwoch auf Youtube veröffentlichten Video, wie ein Angriff auf ein mit der Luca-App verbundenes Gesundheitsamt aussehen könnte. Mithilfe der Methode der Codeinjection gelangt Mengs zunächst an die persönlichen Daten von Luca-Nutzerinnen und -Nutzern.

Luca-App Einfallstor für Trojaner?

Bei der Codeinjection, die in dem Video nicht im Detail zu sehen ist, fügt Mengs als Nutzer der App bestimmte Sonder­zeichen in die Eingabefelder für seine persönlichen Daten hinzu, etwa in das Feld seiner Straße. Die Luca-App übermittelt die Kontaktdaten als CSV-Datei ans Gesundheitsamt. Öffnet ein Behördenmitarbeiter oder eine Mitarbeiterin des Amts die Datei mit Microsoft Excel, liest Excel die Sonderzeichen automatisch als Formel, die möglicherweise weitere Befehle enthält.

Anschließend zeigt Sicherheitsforscher Mengs, wie sich mit manipulierten Kontaktdaten Schadsoftware in die Rechner des Gesundheitsamtes einschleusen lässt. Zum Beispiel Ransomware, welche die Daten auf einem angegriffenen Computer verschlüsselt. Die einzige Hürde, die eine solche Trojanerattacke auf das Luca-System offenbar überwinden muss, ist ein Warndialog, der in Excel aufploppt, wenn ein Gesundheitsamtsmitarbeiter oder eine Mitarbeiterin des Amts die Daten im CSV-Format aus der App importieren will.

Schadsoftware könnte sich auf andere Behörden ausbreiten

Die Warnung „Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle der Datei vertrauen“ weist darauf hin, dass das Microsoft-Programm Unstimmigkeiten in den Daten erkennt. Es sei jedoch durchaus realistisch, dass ein Behörden­mitarbeiter oder eine Mitarbeiterin die Daten trotz des Warnhinweises importiert. Mengs bezeichnet die Sicherheitslücken der App als „gravierend“, die Auswirkungen einer solchen Attacke seien „verheerend“.

Mehr zum Thema

 

Hohes Missbrauchspotenzial, kaum Nutzen: Zahlreiche Sicherheitsforscher kritisieren Luca-App

 

Corona-Warn-App des Bundes wird um Check-in-Funktion und Impfzertifikat erweitert

 

Luca-App trotz anhaltender Kritik auf dem Vormarsch – Entwickler wehren sich gegen Boykottaufruf

Die Schadsoftware, egal, ob Verschlüsselungstrojaner oder ein anderes Virus, könne sich innerhalb eines Gesundheitsamts verbreiten und auch auf andere angebundene Systeme ausweiten. Sobald die Software Sormas X in den kommenden Wochen implementiert ist, mit der die Ämter untereinander vernetzt werden sollen, wäre nicht mehr ausgeschlossen, dass sich Schadsoftware unter den Gesundheitsämtern verbreitet.

Sicherheitslücke mittlerweile geschlossen

Die Sicherheitslücke durch Codeinjection ist nicht unbekannt, zahlreiche IT-Experten und -Expertinnen hatten bereits vor der flächen­decken­den Einführung der Nachverfolgungs-App vor Mängeln beim Datenschutz und der Sicherheit gewarnt. Noch Anfang Mai hatte Patrick Hennig, CEO des Entwicklerunternehmens Nexenio, gesagt, eine Codeinjection-Attacke auf die App sei nicht möglich. Am Mittwoch erklärte Nexenio gegenüber „Zeit Online“, die Sicherheitslücke kurz nach Veröffentlichung von Mengs Video geschlossen zu haben.

Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), sagte gegenüber dem „Spiegel“: „Die Schwachstellen sind eklatant und die Reaktionen der Betreiber jedes Mal katastrophal. Für die Bundesländer ist es jetzt an der Zeit, diesem Drama ein Ende zu bereiten.“ Der CCC fordert schon länger, den Einsatz der App zu stoppen. Mitglieder des CCC hatten bereits Anfang April in einem offenen Brief an das Sozialministerium Baden-Württemberg vor der Einführung der App gewarnt.