Bitte deaktivieren Sie Ihren Ad-Blocker

Für die Finanzierung unseres journalistischen Angebots sind wir auf die Anzeigen unserer Werbepartner angewiesen.

Klicken Sie oben rechts in Ihren Browser auf den Button Ihres Ad-Blockers und deaktivieren Sie die Werbeblockierung für FR.de. Danach lesen Sie FR.de gratis mit Werbung.

Lesen Sie wie gewohnt mit aktiviertem Ad-Blocker auf FR.de
  • Zum Start nur 0,99€ monatlich
  • Zugang zu allen Berichten und Artikeln
  • Ihr Beitrag für unabhängigen Journalismus
  • Jederzeit kündbar

Sie haben das Produkt bereits gekauft und sehen dieses Banner trotzdem? Bitte aktualisieren Sie die Seite oder loggen sich aus und wieder ein.

Corona-Pandemie

Lücke bei Luca-App – Sicherheitsexperte zeigt graviernden Fehler im Code

  • Sebastian Richter
    VonSebastian Richter
    schließen

Die Luca-App wird immer öfter bei der Kontaktverfolgung eingesetzt. Ein Sicherheitsexperte erklärt, wie leicht ein Fehler ausgenutzt werden kann.

Frankfurt – Eine Sicherheitslücke in der Luca-App könnte die Daten bei den Gesundheitsämtern in Gefahr bringen. Persönliche Daten könnten von Hackern ausspioniert werden, wie Sicherheitsforscher Marcus Mengs in einem Video demonstriert.

Durch die Sicherheitslücke der App zur Kontaktverfolgung könnten die Kontaktdaten der Nutzer durch Unberechtigte ausspioniert – und im schlimmsten Fall sogar ganze Gesundheitsämter lahmgelegt werden. Dazu müsste ein Trojaner in die Datenbank der Gesundheitsämter implementiert werden, nach dem Stand des von Mengs veröffentlichten Videos kein Problem.

Sicherheitslücke bei Luca-App – Video zeigt Angriffspunkte

Der Sicherheitsforscher demonstriert in dem Video, wie ein möglicher Angriff aussehen könnte. Ausschlaggebend ist dafür nur ein unvorsichtiger Klick einer der Mitarbeiter:in in den Gesundheitsämtern. Für seinen beispielhaften Angriff verwendet Mengs ein Excel-Formular und die Exportfunktion der Daten, die in die Luca-App eingetragen werden.

Die Luca-App soll über gravierende Sicherheitslücken verfügen. (Symbolbild)

Sein Beispiel ist einfach: Eine fiktive „Lisa Haupt“ besucht einen Nachtclub. Es kommt heraus, dass sie sich mit Corona infiziert hat, das Gesundheitsamt will also alle anderen Besucher:innen des Nachtclubs kontaktieren. Dafür muss eine Excel-Tabelle heruntergeladen werden, über die die Daten der betroffenen Gäste angezeigt werden können.

Manipulation der Luca-App über Code bei Kontaktdaten möglich

Grundsätzlich funktioniert das ohne Probleme, allerdings ist es anscheinend möglich, über die angegebenen Kontaktdaten den Code zu verändern. In diesem Fall gibt Excel eine Warnung aus – allerdings nur über ein Pop-up-Fenster, das schnell weggeklickt ist. „Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle der Datei vertrauen“, steht in der Meldung. Einen Klick später hätten Hacker schon den Zugriff auf alle Daten in der Tabelle, könnten sofort den Computer verschlüsseln. Mengs demonstriert das Vorgehen eindrücklich an dem öffentlich einsehbaren Quellcode.

Darüber hinaus sei es möglich, den ganzen Computer der Person von dem Bildschirm zu übernehmen, von dort aus ins System des Gesundheitsamts, um dann weiter auf alle verbundenen Gesundheitsämter zu gelangen. Kein Problem über das die Software Sormas verfügt, durch die zahlreiche Gesundheitsämter bereits miteinander verbunden sind.

Entwickler der Luca-App reagieren auf die Vorwürfe

Die Programmierer der Luca-App haben bereits auf das Problem reagiert, so wurde eine Funktion in den Code integriert, die Sonderzeichen im Namen betrifft. Allerdings reichen laut Mengs die Maßnahmen noch nicht, die Vorkehrungen sind weiterhin lückenhaft: Gegenüber Zeit Online sagte er: „Das zeigt, dass sie das Problem nicht verstanden haben“. Denn die Sicherheitslücke bestehe nach wie vor.

Nach einer Stellungnahme der Luca-Macher sei die App selbst davor geschützt, dass missbräuchliche Daten Schaden anrichten. Zudem soll die Sormas-Software über einen zusätzlichen Sicherheitsfilter verfügen, der eine Verbreitung von Schadsoftware verhindere. Insgesamt sei es „unwahrscheinlich, dass Schaden durch einen derartigen Angriff entstanden ist.“ Jedenfalls, wenn Mitarbeiter:innen nicht aktiv die Sicherheitswarnungen des Systems missachtet haben. (Sebastian Richter)

Rubriklistenbild: © Marcus Brandt

Das könnte Sie auch interessieren

Kommentare