Konkurrenz ist "mindestens genauso schlecht" – Experte hackt Luca-App und legt Gesundheitsamt lahm

Die Fehlerserie bei der Luca-App, einer Software zur Kontaktnachverfolgung, geht weiter. Am Mittwoch führte der IT-Sicherheitsexperte Marcus Mengs in einem auf Youtube veröffentlichten Video vor, wie leicht er über die Luca-App ein gesamtes Gesundheitsamt lahmlegen konnte. In einem auf der Plattform Netzpolitik.org veröffentlichten Beitrag wird von einer "schwerwiegenden Sicherheitslücke in der Luca-App" gesprochen.

Bei seinem Vorgehen brauchte Mengs keine großen Hacker-Künste. Er rief die Daten ab, die von anderen Nutzern per QR-Code an dem jeweiligen öffentlichen Ort über die Luca-App an das Gesundheitsamt geschickt wurden – darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen. Das ist an sich schon ein enormes Datenloch.

Kritik an der Luca-App: Chaos Computer Club kritisiert Verfahren und Finanzierung aus Steuermitteln

Aber damit nicht genug schleuste der IT-Fachmann über ein "Code Injection"-Verfahren einen Programmiercode an einer Stelle ein, wo eigentlich kein Code ausführbar sein sollte, wenn die Software so angelegt wäre um entsprechende Zeichen wie "=" oder "( )" zu blocken. Das war sie bis dahin aber nicht. Kernelement dieses Verfahrens waren Makros, die von dem Microsoft-Programm Excel verwendet werden. Über die Upload-Funktion wird eine Excel-Datei an das Gesundheitsamt transportiert, samt aller Sonderzeichen, die von Excel als auszuführender Befehl interpretiert werden. Damit gelang es Mengs letztlich, mit wenigen Klicks das Gesundheitsamt matt zu stellen – über einen Verschlüsselungstrojaner mit einer Erpresser-Schadsoftware.

Mengs erklärte gegenüber dem Magazin Spiegel:

"Grundsätzlich kann ein Angreifer einen beliebigen Code ausführen – mit den Rechten des am PC angemeldeten Nutzers."

Die Verantwortlichen der Luca-App leugneten die Sicherheitslücke

Diese potentielle Angriffsmöglichkeit ist nicht neu, bereits am 4. Mai wies ein Zeit-Artikel auf diese Bedrohung hin. Damals dementierte der Vorstand des Unternehmens Nexenio, welche die Luca-App produziert, eine solche Gefährdung. Der Nexenio-Geschäftsführer, Patrick Henning, sagte damals ausdrücklich gegenüber der Zeit:

"Eine code injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich."

Trotz des Dementis wurden laut Netzpolitik.org in der Folgezeit Änderungen am Code der Software vorgenommen – ausreichend waren diese aber nicht, wie der aktuelle Hack zeigt.

Wer ist genesen, wer nicht? Deutsche Behörden sorgen für Chaos

Auf eine Anfrage von Netzpolitik.org am Mittwoch reagierte der Luca-App-Sprecher Markus Bublitz mit der Aussage, man habe "erst heute" von der Sicherheitslücke erfahren, und "wir schauen uns das gerade an". In einer längeren Stellungnahme bestätigten die Betreiber der Luca-App schließlich die Existenz der Sicherheitslücke, wollen von einer Verantwortung aber nichts wissen – diese sehen sie eher bei Microsoft Excel oder bei unvorsichtigen Gesundheitsamt-Mitarbeitern, die "aktiv die Sicherheitswarnungen des Systems missachtet haben". Zudem wollen die Verantwortlichen der Luca-App bislang von keinen "dementsprechenden Sicherheitsvorfall" wissen, der sich in der Realität ereignet habe. Die Sicherheitslücke soll nun behoben sein.

Der Chaos Computer Club (CCC) warnte bereits im April vor den Mängeln und Sicherheitslöcken der Luca-App und forderte "das sofortige Ende der staatlichen Alimentierung" für diese Software. Wenig überrascht äußerte sich daher der CCC-Sprecher, Linus Neumann, gegenüber Netzpolitik.org  über das nun offengelegte Sicherheitsproblem:

"Wie immer wurde das Risiko herunter gespielt und die Schwachstelle sogar geleugnet. Die Schwachstellen sind eklatant, der Umgang damit katastrophal. Dieses Unternehmen hat kein Vertrauen verdient."

Meinung

TV-Kritik für Anne Will: Die App muss weg, es lebe die App

Die Luca-App, ein Millionengrab?

Mit viel PR war die Luca-App einst beworben worden. Maßgeblich daran beteiligt war der deutsche Rapper Smudo von der Band Die Fantastischen Vier. Die App sollte als bundesweit verfügbares Programm zur Kontaktnachverfolgung genutzt werden und damit einen umfassenden Beitrag im Rahmen der Corona-Einschränkungen leisten. Sie wurde von den Gesundheitsämtern in nahezu allen Bundesländern eingeführt. Diese zahlen dafür eine Jahreslizenz-Gebühr von fast 22 Millionen Euro – allein Bayern hat dabei einen Anteil von 5,5 Millionen Euro.

Nach Informationen der Welt benutzen mittlerweile mindestens 282 von insgesamt 375 deutschen Gesundheitsämtern die Luca-App. Damit wollten sie der Kritik entkommen, die Digitalisierung verschlafen zu haben und noch Faxgerät und "Zettelwirtschaft" zu betreiben. Die Lizenz für das Produkt Luca-App wurde dabei laut CCC unter fragwürdigen Umständen vergeben. Die Kritik wird von den aktuellen Sicherheitsproblemen verstärkt. CCC-Sprecher Neumann machte in einer Erklärung deutlich, dass es mehr als dreißig andere Konkurrenz-Produkte gibt, welche die Luca-App ersetzen könnten:

"Der Luca-App mangelt es nicht an Konkurrenzprodukten, die mindestens genauso schlecht sind."

Der IT-Sicherheitsexperte Mengs warnt, Sicherheitslücken bei der Luca-App könnten nicht nur die Software selbst lahmlegen, sondern sich auf auch andere Systeme in den Gesundheitsämtern verbreiten. Mengs spricht zum Beispiel von der Software Sormas, über die sich die Gesundheitsämter miteinander vernetzen. Eine Schadsoftware könnte damit auch von Gesundheitsamt zu Gesundheitsamt weitertransportiert werden.

Die Hersteller der Luca-App beruhigen zwar laut Welt, dass entsprechende Sicherheitslücken behoben seien. Eine Sprecherin der Luca-App schloss ein derartiges Verbreitungs-Szenario ausdrücklich aus. Die App verfüge "über einen Datenfilter, der genau dieses Szenario verhindert". Nähere Details lieferte sie jedoch nicht. Derzeit ist die Software Sormas bei 332 der insgesamt 375 Gesundheitsämtern installiert.

Mehr zum Thema - Wegen Angst vor Datenleck – Niederländische Regierung pausiert Corona-Warn-App