NewsPolitikSicherheitslücke bei Luca-App nachgewiesen
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Sicherheitslücke bei Luca-App nachgewiesen

Mittwoch, 26. Mai 2021

/picture alliance, Paul Zinken

Berlin – Durch eine vorhandene Sicherheitslücke in der Luca-App könnte offenbar eine Schadsoftware in die IT-Systeme von Gesundheitsämtern geschleust werden. Laut IT-Sicherheitsforscher Marcus Mengs, der heute ein entsprechendes Video veröffentlichte, ist es möglich, Gesundheitsämter über die Luca-App mittels manipulierter Kontakdaten anzugreifen. Potenziell könnten dadurch persönliche Daten ausspio­niert oder ganze Gesundheitsämter lahmgelegt werden.

Das Unternehmen hinter der Luca-App, die Nexenio GmbH, erklärte heute auf Nachfrage von Zeit online, man habe die aufgezeigte Sicherheitslücke wenige Stunden nach Veröffentlichung des Videos geschlos­sen. Bezüglich des von Mengs gewählten Ansatzes eines Angriffs habe man sich an die entsprechenden Em­pfehlungen des Open Web Application Security Projects (OWASP), einer IT-Sicherheits-NGO, gehalten. Aufgrund der nun erfolgten Nachbesserungen sei ein solcher Angriff nun nicht mehr möglich.

Die Luca-App soll die Gesundheitsämtern dabei unterstützen, erfolgte Kontakte von mit dem Coronavirus infizierten Menschen nachzuverfolgen. Beim dazu notwendigen Datenabruf der Mitarbeiter des öffentli­chen Gesundheitsdienstes (ÖGD) kann beziehungsweise konnte es unter bestimmten Bedingungen gelin­gen, per Import in das Programm Excel verborgene Schadsoftware auf die IT-Systeme des ÖGD zu plat­zieren.

Mengs nutzte dafür fiktive eingecheckte Nutzer einer Bar, in deren Check-in-Daten Schadcode enthalten war. Sobald diese Daten in Excel importiert wurden, könnten laut Mengs Rechner der Gesundheitsämter übernommen und Daten ausgespäht oder verschlüsselt werden. Möglich war dies, weil sich der IT-Si­cherheitsexperte in der Luca-App mit beliebigen Sonderzeichen im Namen und Adressdaten registrieren konnte – welche bei der Übertragung in Excel als Formel beziehungsweise Code interpretiert werden können.

Eine Sprecherin des Bundesgesundheitsministeriums (BMG) verwies heute auf Nachfrage zu möglichen Konsequenzen, die Luca-App wurde von vielen politisch Verantwortlichen als gelungene Ergänzung zur offiziellen Corona-Warn-App betrachtet, an die Bundesländer.

Nach Angaben der Betreiber der Luca-App haben sich mittlerweile Schleswig-Holstein, Mecklenburg-Vorpommern, Berlin, Hamburg, Bremen, Niedersachsen, Sachsen-Anhalt, das Saarland, Rheinland-Pfalz, Hessen, Brandenburg, Baden-Württemberg und Bayern für den Einsatz der App entschieden.

„Langsam fragt man sich, was noch passieren muss, bis Länder und Landkreise die Kooperation mit der Luca-App beenden“, erklärte Anke Domscheit-Berg, netzpolitische Sprecherin der Fraktion Die Linke. Mehr als 20 Millionen Euro Steuergeld seien bereits für ein Jahr Nutzungsrecht geflossen, aber dieses Geld solle man nun abschreiben, Fehler eingestehen und die Verträge kündigen.

Vor allem gelte es, die Infektionsschutzverordnungen der Länder so zu ändern, dass die Check-In-Funk­tion der Corona-Warn-App um optionale Papierkontaktlisten ergänzt ausreicht, um als gastgebende Lo­cation den gesetzlichen Anforderungen gerecht zu werden, so Domscheit-Berg. © aha/aerzteblatt.de

Themen:

Kommentare

Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.
LNS
VG WortLNS

Fachgebiet

Stellenangebote

    Weitere...

    Aktuelle Kommentare

    Archiv

    NEWSLETTER