App zur Kontaktnachverfolgung Bundesamt kritisiert Luca-Entwickler

Ein IT-Experte hat gezeigt, wie Gesundheitsämter über das Luca-System lahmgelegt werden können – doch die App-Entwickler weisen die Verantwortung von sich. Von prominenter Stelle gibt es nun Widerspruch.
Die Luca-App kommt in vielen Bundesländern zum Einsatz

Die Luca-App kommt in vielen Bundesländern zum Einsatz

Foto: Hauke-Christian Dittrich / dpa

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kritisiert die Betreiber der Luca-App für deren Reaktion auf eine Sicherheitslücke. Nachdem der IT-Sicherheitsexperte Marcus Mengs am Dienstag in einem Video  demonstriert hatte, wie sich eine seit mehreren Wochen zumindest theoretisch bekannte Schwachstelle in dem System ausnutzen lässt, um Nutzerdaten abzugreifen und sogar die IT ganzer Gesundheitsämter lahmzulegen, versuchten die Luca-Entwickler, die Schuld von sich zu weisen. Damit ist das BSI nicht einverstanden, wie eine am Freitag auch auf Twitter veröffentlichte Antwort der Behörde  auf eine Anfrage des SPIEGEL klarmacht.

Hintergrund ist eine von Mengs aufgezeigte Möglichkeit zur »code injection« über Luca: Mengs hatte als Luca-Nutzer bestimmte Sonderzeichen in die Eingabefelder für seine eigenen Daten eingegeben, beispielsweise ins Feld für die Postleitzahl seiner Anschrift. Würden solche Einträge von Luca an ein Gesundheitsamt exportiert und dort mit Microsoft Excel geöffnet, würde das Programm sie als Code interpretieren und ausführen.

NeXenio, die Firma hinter Luca, hatte die Schwachstelle »ein in Excel bekanntes Problem« genannt. »Diese Schwachstelle in Excel kann es theoretisch ermöglichen, schadhaften Code in Excel auszuführen«, hieß es im Statement der Firma weiter. Es sei daher »sehr wichtig«, Warnhinweise in Excel »sorgsam zu lesen und nicht direkt wegzuklicken. Darüber hinaus ist es ratsam zu überprüfen, inwiefern die Empfehlungen des BSI im jeweiligen Gesundheitsamt bereits umgesetzt werden.«

BSI hält Angriffsszenario für plausibel

Luca selbst habe am Dienstag ein Update bekommen, heißt es, um neben den schon zuvor enthaltenen Filtern, die eine »code injection« hätten verhindern sollten, einen erweiterten Schutz zu bieten. Seither sind nur noch bestimmte Sonderzeichen erlaubt. Laut Mengs  und anderen  wurden damit aber neue Probleme geschaffen.

Das Bundesamt schrieb nun: »Das BSI ist ausdrücklich der Auffassung, dass die Betreiber einer App für die Integrität der jeweils übermittelten Daten verantwortlich sind. Schutzmaßnahmen Dritter, etwa das zusätzliche Unterbinden der Ausführung von Makros, stellen aus Sicht des BSI keine ausreichende Sicherheitsmaßnahme dar.« Das von Mengs beschriebene Angriffsszenario sei »abhängig von der konkreten Einsatzumgebung« plausibel.

Indirekter ist der Hinweis, dass »offenkundige Schwachstellen durch die Betreiber einer digitalen Anwendung unverzüglich und konsequent behoben werden sollten«: NeXenio wusste schon seit Wochen, dass die Schwachstelle zumindest theoretisch existiert, wie aus einem Artikel von »Zeit Online«  hervorgeht. Das BSI fügte hinzu: »IT-Sicherheit schafft Vertrauen und Akzeptanz auf Seiten der Anwenderinnen und Anwender«.

Das Amt hatte die Luca-App zuvor durch einen IT-Sicherheitsdienstleister prüfen lassen, stellte nun aber klar: »Diese Tests haben eine begrenzte Prüftiefe und beziehen sich explizit ausschließlich nur auf die mobile Anwendung. Das oben beschriebene Szenario war daher nicht Gegenstand der durchgeführten Prüfung.«

pbe
Mehr lesen über