Luca-App weiter als großes Sicherheitsrisiko in der Kritik
Die kommerzielle Luca-App im Kampf gegen die COVID-19-Pandemie und der sichereren Kontaktverfolgung galt lange Zeit als Aushängeschild was eigentlich eine Corona-Warn-App der Regierung leisten sollte. Doch nach ersten Warnungen im April über Korruption, unsichere Verschlüsselung und Urheberrechtsverletzungen der Betreiber der Anwendung, hat nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) öffentlich Bedenken geäußert.
Luca-App kann die IT der Gesundheitsämter lahm legen
Vergangene Woche stellte der IT-Sicherheitsexperte Marcus Mengs ein Video online, welches auf eindrucksweise demonstrierte, wie rein theoretisch die von vielen Bundesländern finanziell unterstützte Luca-App dazu genutzt werden kann, um die Nutzerdaten Dritter zu lesen, auszuwerten oder sogar ganze Gesundheitsämter technisch außer Kraft zu setzen. Dazu verwendete er die bekannte „Code-Injection“-Methode. Vereinfacht ausgedrückt hat Mengs sich als regulärer Luca-App-Nutzer ein Konto angelegt und anstelle der Postleitzahl seine Adresse eingegeben. Derartige Manipulation kann dazu verwendet werden, um schadhaften Programmcode einzugeben, welcher bei einem Export an die Gesundheitsämter auch als solcher in Microsoft Excel interpretiert und ausgeführt wird.
BSI bestätigt die „Code-Injection“-Bedrohung
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt diese Sicherheitslücke. Am Freitag heißt es auf Twitter, dass der BSI „das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel einschätzt“. Die Nexenio GmbH – als einer der Teilhaber der Luca-App – reagierten auf den Vorwurf mit Zurückweisung. In der veröffentlichten Stellungnahme hieß es, „dass dies ein Microsoft Excel bekanntes Problem sei“.
Die App hatte aber dennoch ein kurzfristiges Update auf die Version 1.7.4 (Android) erhalten, welches nun das Eingeben von Makros (eine Kette von Befehlen) und bestimmte Sonderzeichen verbietet. Zufrieden ist der Sicherheitsexperte nach wie vor nicht, wie er unmittelbar über Twitter bekannt gibt.
„Gestern wurde in Eile versucht eine seit 3 Wochen bekannte Schwachstelle zu patchen, mit der App Nutzer Gesundheitsämter angreifen können. Jetzt kann man die Software in den Gesundheitsämtern über Nutzerdaten ganz abstürzen lassen.“
Die Geister die ich rief
Die Luca-App ist eine kommerzielle Anwendung welche von der Band Fanta 4 als Fantastic Capital Beteiligungsgesellschaft UG, gemeinsam mit der Culture4life GmbH, der Nexenio GmbH (einer Ausgründung des Hasso-Plattner-Instituts) und der Marcus Trojan UG gegründet wurde. Rapper Smudo hat in der Vergangenheit viel Öffentlichkeitsarbeit geleistet und konnte viele Bürgermeister und Bundesländer von der App zur Kontaktdatenübermittlung überzeugen. In viele Geschäfte kommt man ohne die Verwendung der Luca-App nicht hinein. Hier muss nun unter Umständen auch auf Regierungsebene eingeschritten werden.