Luca-App: Sicherheitslücke ermöglicht Angriffe auf Gesundheitsämter
Viele Sicherheitslücken in der Luca-App sind bereits bekannt, die App zur Kontaktnachverfolgung steht dafür seit geraumer Zeit in der Kritik. Sicherheitsforscher präsentieren nun einen Weg, um den Schadcode über eine bereits bekannte Lücke in die Systeme von Gesundheitsämtern einzuschleusen – diese könnten so lahmgelegt werden.
Bekannt ist die Sicherheitslücke seit geraumer Zeit, bereits Anfang Mai berichtete Zeit Online ausführlich über die Probleme der Luca-App. Angreifer können den Schadcode über eine CSV-Injection einschleusen. Der Grund sind die Sonderzeichen, die App-Nutzer als Teil des Namens und der Adresse verwenden können, um sich zu registrieren. Mittels manipulierter Kontaktdaten landet also Schadcode in der CSV-Datei, die bei der Kontaktnachverfolgung von Covid19-Infizierten an die Gesundheitsämter übermittelt wird.
Mitarbeiter im Gesundheitsamt müssen die übermittelte CSV-Datei in Excel öffnen, um an sämtliche Daten zu gelangen. Und auf diesen Weg gelangt der Schadcode dann ins System. Die Folgen können weitreichend sein, die Spannweite reicht vom Abgreifen der Daten bis hin zu einer Ramsonware-Attacke. Das einzige Hindernis für einen erfolgreichen Angriff: Mitarbeiter im Gesundheitsamt müssen den Sicherheitsdialog in Excel wegklicken. Eine Hürde, die im Alltag allzu leicht fällt.
Wie der Angriff genau abläuft, demonstriert der Sicherheitsforscher Marcus Mengs in einem Video. Der Hack läuft dabei über eine von ihm eingerichtete Software, die auf dem öffentlich einsehbaren Quellcode basiert.
Problem bekannt, Luca-Entwickler reden es klein
Besonders pikant an dem Problem: Besprochen wurde das bereits vor drei Wochen. Damals erklärte Patrick Hennig, CEO vom Luca-Entwickler Nexenio, die Sonderzeichen in Namen und Adressen wären kein Einfallstor für eine CSV-Injection. Man würde sicherstellen, dass kein Schaden entstehen könne. Die Vorkehrungen reichen laut Mengs aber nicht aus. „Das zeigt, dass sie das Problem nicht verstanden haben“, so der Sicherheitsforscher gegenüber Zeit Online. Ähnlich äußert sich Linus Neumann, Sprecher vom Chaos Computer Club (CCC). Demnach haben die Entwickler „das Risiko – wie immer – kleingeredet, statt es ernst zu nehmen." Die Schwachstelle sei in wenigen Minuten zu beheben gewesen.
Der Entwickler der Luca-App erklärte gegenüber Zeit Online, die Lücke wäre wenige Stunden nach Veröffentlichung des Videos geschlossen worden. Bei der Vorsorge vor CSV-Injection habe man sich bereits an Empfehlungen einer Sicherheits-NGO gehalten, erklärte CEO Patrick Henning auf Anfrage von Zeit Online. Nun wurden die Sicherheitsvorkehrungen nochmals verschärft. Hinzu komme, dass Excel eine Warnung ausgebe. Im „behördlichen Umfeld“ sei das bereits ausreichend, da Excel so konfiguriert sei, dass es keinen Code ausführen könne.
Für Sicherheitsforscher ist diese Aussage nicht ausreichend. Ein Angriff, so wie er über die Luca-App möglich war, wäre auf Masse ausgelegt. Und ein Treffer würde bereits ausreichen und könnte – angesichts der zunehmenden Vernetzung der Gesundheitsämter – gravierende Folgen haben. Die Sicherheit der Gesundheitsämter dürfe nicht von einer Excel-Warnung abhängen, kritisiert daher auch CCC-Sprecher Neumann.
Massive Kritik an Luca-App
Der aktuelle Vorfall reiht sich an die Geschichte der letzten Wochen und Monate ein. So warnten 77 Sicherheitsforscher zusammen mit weiteren Unterzeichnern in einem offenen Brief vor den „unverhältnismäßig hohen Risiken“ der Luca-App.
Aufgrund der „eklatanten Mängel“ forderte der Chaos Computer Club außerdem schon im April, die staatliche Unterstützung der App zu stoppen. „Der CCC fordert ein umgehendes Moratorium, eine Überprüfung der Vergabepraktiken durch den Bundesrechnungshof und ein sofortiges Ende des App-Zwangs“, hieß es bereits in der Stellungnahme vom April.
Die Bundesländer zahlten nach Informationen von Netzpolitik.org Millionen-Beträge, um die Luca-App zu nutzen. Insgesamt sollen die App-Entwickler mehr als 20 Millionen Euro erhalten haben.