Sicherheitslücke aufgezeigt Kriminelle können mit Luca-App Gesundheitsamt angreifen
Die Luca-App soll helfen, Infektionen zurückzuverfolgen. Nun hat ein Sicherheitsforscher eine kritische Lücke gezeigt, mit der Angreifer an Nutzerdaten kommen und das Gesundheitsamt infizieren können.
Durch eine Sicherheitslücke in der Luca-App können Angreifer persönliche Daten von Nutzern abgreifen oder sogar Trojaner in das Netzwerk von Gesundheitsämtern laden. Das zeigt der Sicherheitsforscher Marcus Mengs in einem YouTube-Video.
Möglich sei die Attacke durch eine sogenannte CSV-Injection. CSV steht für Comma-separated values – also Werte, die durch Kommata getrennt werden. CSV-Dateien werden beispielsweise mithilfe von Microsoft Excel erstellt, um Tabellen abzuspeichern. Die Tabellen werden als Textformat gesichert. Wenn man hier bestimmte Sonderzeichen einsetzt, kann Excel den Inhalt als Formel verstehen. Auf diese Weise können Angreifer Schadcode einfügen und vom System ausführen lassen.
Wie ein Angriff ablaufen kann
Sicherheitsforscher Mengs zeigt in seinem Video, wie Angreifer vorgehen müssen und was passiert, wenn sie einen schädlichen Code in das System des Gesundheitssystem laden wollen. Mengs hat für seine Präsentation mithilfe des offen einsehbaren Codes der Luca-App die Software auf seinem Rechner eingerichtet. Es findet nicht wirklich eine Attacke auf ein Gesundheitsamt statt.
Um das System zu infiltrieren, müssen Angreifer mit der Luca-App einchecken. Der Schadcode befindet sich in den Nutzerdaten, die User eingeben können. Wenn ein Mitarbeiter des Gesundheitsamts nun beispielsweise alle Daten von Nutzern abrufen will und sie dafür in Excel öffnet, wird der Schadcode ausgeführt. In Mengs Beispiel warnt Excel Anwender teilweise mehrmals davor, dass etwas nicht stimmen könnte. Doch vermutlich werden viele Mitarbeiter diese Meldung wegklicken, wie Mengs im Gespräch mit "Zeit Online" sagt.
In Mengs Beispiel konnte der Sicherheitsforscher mit seiner Attacke in einem Fall persönliche Nutzerdaten abgreifen wie Name oder Telefonnummer. In einem anderen Fall konnte er eine Ransomware in das System einschleusen. Eine Ransomware verschlüsselt wichtige Daten, Erpresser verlangen dann ein Lösegeld, um die Daten wieder freizugeben.
Lücke schon länger bekannt
Linus Neumann vom Chaos Computer Club (CCC) bestätigte auf Anfrage von "Zeit Online", dass das Angriffsszenario von Sicherheitsforscher Mengs realistisch sei. Für gewöhnlich informieren Experten zudem Anbieter, bevor sie Sicherheitslücken öffentlich machen. Sicherheitsforscher Manuel Atug vom CCC hatte im Gespräch mit "Zeit Online" aber bereits Anfang Mai davor gewarnt, dass eine CSV-Injection möglich sein könnte. Auch Sicherheitsforscher Mengs weist in seinem Video darauf hin, dass die Lücke bekannt sei. Der CCC spricht sich schon seit längerem gegen die Luca-App aus. Mehr dazu lesen Sie hier.
Auf Anfrage von "Zeit Online" verneinte Luca-CEO Patrick Hennig Anfang Mai noch, dass ein Angriff per Code-Injection möglich sein könnte. Stattdessen solle Schadcode durch bestimmte Maßnahmen vor einer Infektion entdeckt werden.
Sicherheitsexperte Mengs hatte aber bereits Anfang Mai im Gespräch mit "Zeit Online" bezweifelt, dass die Maßnahmen ausreichen würden. Auf Anfrage von t-online sagt Mengs: "Wie schon damals im Artikel von "Zeit Online" dargestellt, waren diese Maßnahmen nicht geeignet, um der Problemstellung zu begegnen, welche den Angriffen zugrunde liegt. Das heute veröffentlichte Video belegt dies lediglich anschaulich."
Luca sieht keine Schuld bei sich
Auf Anfrage von t-online schrieb ein Sprecher der Luca-App, das Unternehmen habe "heute morgen die Verwendung von Sonderzeichen komplett ausgeschlossen, so dass eine potentielle Lücke nicht mehr besteht."
Auf seiner Website hat Nexenio, das Unternehmen hinter der Luca-App, zudem eine ausführlichere Stellungnahme veröffentlicht. Hier schreibt Nexenio unter anderem, dass das Unternehmen "durch Medienanfragen und per Twitter" von den "möglichen Missbrauchen im Zusammenhang mit der Verwendung von Luca und Microsoft Excel" erfahren habe.
Nexenio scheint zudem die Schuld von sich zu weisen, verweist immer wieder auf Sicherheitsempfehlungen des BSI zur Konfiguration mit Excel und auf die Warn-Hinweise, die Excel in solchen Fällen anzeigen kann: "Es ist sehr wichtig, diese Hinweise sorgsam zu lesen und nicht direkt wegzuklicken", so die Stellungnahme. "Es ist unwahrscheinlich, dass Schaden durch einen derartigen Angriff entstanden ist, wenn Mitarbeiter:innen nicht aktiv die Sicherheitswarnungen des Systems missachtet haben. Uns ist kein dementsprechender Sicherheitsvorfall im Zusammenhang mit dem Luca-System bekannt."
- Zeit Online: "Hacker können Gesundheitsämter über Luca angreifen"
- Zeit Online: "Was bringt die Luca-App den Gesundheitsämtern wirklich?"
- CCC.de: "Luca-App: CCC fordert Bundesnotbremse"
- Empfehlungen der OWASP gegen CSV-Injection
- Stellungnahme zur Lücke
- Eigene Recherchen