Berlin. Erneut ist bei der “Luca“-App eine Sicherheitslücke bekannt geworden. Dabei hatte sie “Luca“-CEO Henning noch vor Wochen dementiert.

Erneut sind bei der Kontaktverfolgungs-App "Luca" Sicherheitslücken bekannt geworden. Der IT-Sicherheitsexperte Marcus Mengs konnte in einem am Mittwoch veröffentlichten Video detailliert aufzeigen, wie Hacker mittels der App auf relativ einfache Weise Cyberattacken auf Gesundheitsämter starten können. "Das System hat so gravierende Lücken, dass sie einfach gezeigt werden müssen", leitet Mengs seine Demonstration ein.

Er zeigt darin, wie ein Angreifer über das Erstellen eines eigenen "Luca"-Profils Schadcode in das System von Gesundheitsämtern schmuggeln kann. Dafür muss der Angreifer lediglich in seinem hinterlegten Namen oder Adresse Sonderzeichen wie ein "=" verbauen. In vielen Apps ist die Verwendung solcher Sonderzeichen für den Profilnamen daher nicht erlaubt. Denn Programme wie Excel erkennen den Namen oder die Adresse sonst als Formel und führen diese aus.

Sobald ein Mitarbeiter im Gesundheitsamt detaillierte Informationen über das Profil des Angreifers abrufen will, wird dessen Datensatz aus der "Luca"-App tatsächlich in eine Excel-Tabelle exportiert. Hat der Angreifer in seinem Datensatz Schadcode versteckt, wird der Mitarbeiter des Gesundheitsamts nun zwar gewarnt. In der Warnmeldung ist jedoch erst einmal nur von einem "potentiellen Sicherheitsrisiko" die Rede. Zudem warnt nicht "Luca" selbst, sondern Excel aufgrund der Sicherheitsüberprüfung von Microsoft.

Trotz Hinweis Anfang April: "Luca"-Chef verneinte Sicherheitslücke

Klickt nun der Mitarbeiter des Gesundheitsamt, womöglich in Eile, die Warnmeldung weg, ist es auch schon zu spät. Einmal in Excel importiert, können über den Schadcode nun Daten gestohlen, Rechner gesperrt oder ganze Gesundheitsämter lahm gelegt werden.

Besonders pikant ist die Sicherheitslücke, weil Mengs zusammen mit dem IT-Sicherheitsexperten Manuel Atug bereits Anfang Mai in der "Zeit" auf sie hinwies. "Luca"-Chef Patrick Henning hat gegenüber der Zeitung jedoch dementiert. "Eine Code Injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich", sagte Henning. Zumindest bis zum Erscheinen des Videos von Mengs war sie das aber wohl doch.

Empfohlener externer Inhalt
An dieser Stelle befindet sich ein externer Inhalt von Youtube, der von unserer Redaktion empfohlen wird. Er ergänzt den Artikel und kann mit einem Klick angezeigt und wieder ausgeblendet werden.
Externer Inhalt
Ich bin damit einverstanden, dass mir dieser externe Inhalt angezeigt wird. Es können dabei personenbezogene Daten an den Anbieter des Inhalts und Drittdienste übermittelt werden. Mehr dazu in unserer Datenschutzerklärung

"Luca": Vorwürfe über mangelnde Sicherheit häufen sich

Der Hinweis des It-Sicherheitsexperten Mengs ist nicht der erste Vorwurf gegenüber "Luca". Nachdem der Satiriker Jan Böhmermann Anfang April die Schwachstellen der App zeigte, hatte auch eine Kunstaktion die Diskussionen um die Sicherheit der "Luca"-App neu entfachet.

Dafür hat das Kunstkollektiv Peng die "Luca"-App, an der auch der Rapper Smudo beteiligt ist, gehackt. Auf einer eigenen Website stellt das Kollektiv die App "Luci" vor, mit der man sich Peng zufolge beliebig oft und anonymisiert an Orten einchecken kann, die die "Luca"-App zur Kontaktverfolgung nutzen.

"Luca"-App: Jeder kann sich überall anonym einloggen

Dazu öffnen Interessierte auf der "Luci"-Website einen QR-Code, mit dem sie sich an einem bei "Luca" registrierten Ort ihrer Wahl einchecken können. "Das geht, weil die 'Luca'-App nicht sicher gebaut wurde", schreibt Peng dazu auf der Aktionswebsite.

Das Kollektiv wirft der "Luca"-App vor, "die Gesundheitsämter mit Datenschrott" zu "fluten", wie es auf der Website heißt. Außerdem prangert das Peng Kollektiv den Datenschutz der Kontaktverfolgungsapp an. "Luca" könne nicht kontrollieren, wer sich zu welcher Uhrzeit an welchem Ort anmelde.

Peng Kollektiv empfiehlt Corona-Warn-App des Bundes

Peng wolle die "Luca"-App allerdings nicht selbst mit massenhaften Check-Ins überfluten. "Wir haben testweise alle Ministerpräsident*innen in ganz viele Restaurants angemeldet, aber den Betreiber*innen von 'Luca' werden wir gerne unsere Check-ins zur Vefügung stellen wenn sie danach fragen, damit sie diese wieder rausfiltern können", schreibt Peng zu der Aktion. Dafür müssten sich die "Luca"-Betreiber allerdings beim Kollektiv melden.

Anstelle von "Luca" empfiehlt das Peng Kollektiv die Corona-Warn-App des Bundes, die von SAP und der Telekom entwickelt wurde. Zwar seien das auch "scheiss Unternehmen, die teils ganz offen mit Geheimdiensten zusammenarbeiten", schreibt Peng auf der "Luci"-Website. "Aber die App an sich ist ganz okay".

(mit jas)