Gesundheitsämter ließen sich über Luca-App angreifen

Luca-App
Sicherheitslücken und fehlende Reaktion der Entwickler darauf, haben immer wieder das Vertrauen in die Luca-App erschüttert. (Quelle: IMAGO / Friedrich Stark)

Sicherheitsforscher haben eine weitere, schwerwiegende Sicherheitslücke in der Kontaktverfolgungs-App Luca ausfindig gemacht. Mithilfe der Schwachstelle hätten Angreifer eigene Programme in die IT-Infrastruktur der Gesundheitsämter einschleusen, dort sensible Daten abgreifen oder die Behörden sogar lahmlegen können. Es ist nicht das erste Mal, dass die Luca-App wegen Sicherheitsproblemen in der Kritik steht. Die vorhergehenden Angriffspunkte waren allerdings nicht so gravierend wie der jetzige.

Nachgewiesen hatte das Problem der Sicherheitsforscher Marcus Mengs. In einem am Mittwoch veröffentlichten Video demonstrierte er an einem Testsystem, wie Angreifer die Schwachstelle hätten ausnutzen können. Außerdem demonstrierte Mengs das Einschleusen eines Schadprogramms in das System eines simulierten Gesundheitsamtes. In seinem Beispiel war es ein Erpressungstrojaner, der bei einer echten Attacke die gesamte Behörde hätte lahmlegen können.

Angriff über eingeschleusten Schadcode

Die von dem Berliner Unternehmen Nexenio entwickelte App Luca dient der Kontaktnachverfolgung von Corona-Infizierten in der Gastronomie und bei Veranstaltungen.

Die von Mengs demonstrierte Attacke funktionierte mittels manipulierter Nutzerdaten, mit denen sich der Angreifer als Nutzer in der App anmeldet. Diese überträgt Luca ungeprüft an das Gesundheitsamt. Öffnet ein Behördenmitarbeiter dann die Daten mithilfe von Microsoft Excel, hätte der Angreifer fast beliebigen Code auf dem Rechner des Gesundheitsamtes ausführen können.

Excel warnt zwar mit Hinweisfenstern vor solchen Dateien – in Mengs Beispiel wurden sogar drei Warnmeldungen angezeigt. Doch Corona-Fälle müssen schnell bearbeitet werden, und Excel formuliert die Warnung unpräzise. Im hektischen Behördenalltag wäre die Gefahr groß, dass die Hinweise weggeklickt werden. Zudem würden Angreifer voraussichtlich Tausende manipulierter Nutzerdaten auf die Ämter einprasseln lassen.

Entwickler-Firma zeigt wenig Einsicht

Brisant ist, dass die Sicherheitslücke schon mindestens seit dem 4. Mai diskutiert wurde. Damals hatte IT-Sicherheitsexperte Manuel Atug genau dieses Angriffsszenario gegenüber Zeit Online in der Theorie beschrieben. Die Nachrichtenseite stellte daraufhin bei der Entwickler-Firma Nexenio eine Anfrage.

Luca-Chef Patrick Hennig behauptete damals gegenüber der Zeit, der beschriebene Angriff sei bei Luca nicht möglich. Dafür würden Sicherheitsprüfungen in der App und der Software der Gesundheitsämter sorgen. Das nun von Sicherheitsforscher Mengs veröffentlichte Video erbringt aber den Gegenbeweis.

Auf eine Anfrage der Nachrichtenseite netzpolitik.org zu dem Thema antwortete der Luca-App-Sprecher Markus Bublitz am Mittwoch so, als sei das Thema für die Betreiber neu: “Haben auch erst heute davon erfahren, wir schauen uns das gerade an.” Später bestätigten die Luca-Betreiber die Sicherheitslücke.

Ende von Luca gefordert.

Mehrere Bundesländer haben Luca-Lizenzen für insgesamt fast 22 Millionen Euro gekauft. Laut Nexenio sind von 400 Gesundheitsämtern in Deutschland derzeit knapp 300 an das System angeschlossen. Nur wenige Ämter, wie das in Aachen, haben die Software wegen der Sicherheitsprobleme wieder abgeschafft.

“Die Schwachstellen sind eklatant und die Reaktionen der Betreiber jedes Mal katastrophal. Für die Bundesländer ist es jetzt an der Zeit, diesem Drama ein Ende zu bereiten”, beurteilte Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), gegenüber Spiegel Online den Fall. Der CCC hatte die Luca-App bereits mehrfach wegen zahlreicher Sicherheitsprobleme kritisert. Zuletzt forderte der Verein deswegen, keine Steuergelder mehr für die App auszugeben und sprach von einer “nicht abreißenden Serie von Sicherheitsproblemen”. Die “unbeholfenen Reaktionen” des Herstellers zeugten von einem “grundlegenden Mangel an Kompetenz und Sorgfalt”. (hcz)