Gefahr für Gesundheitsämter: Luca-App ermöglicht Code Injection
Eine dem Anbieter bereits bekannte Sicherheitslücke der Luca-App kann ausgenutzt werden, um Schadcode einzuschleusen – und so Gesundheitsämter lahmzulegen.
(Bild: Camilo Concha/Shutterstock.com)
Eigentlich soll die Luca-App Gesundheitsämter bei der Kontaktnachverfolgung unterstützen. Stattdessen könnte sie aber auch eine Gefahr sein: Der Sicherheitsexperte Marcus Mengs hat gezeigt, dass sich über eine bekannte Schwachstelle nicht nur Daten abgreifen lassen, sondern auch ein Verschlüsselungstrojaner ins System eines Gesundheitsamts eingeschleust werden könnte.
Mengs führt das Angriffsszenario einem Video vor. Dabei nutzt er ein Excel-Formular und die Exportfunktion der in der Luca-App eingetragenen Daten, der genaue Hergang wird allerdings aus Schutzgründen nicht gezeigt. heise Security bewertet das Szenario als nachvollziehbar und hält die Bedrohung für real.
Es ist ein Angriffsvektor, wie man ihn etwa von Emotet-Infektionen kennt: Ein Sachbearbeiter klickt in einem für ihn völlig alltäglichen Arbeitsvorgangs eine Warnung des eingesetzten MS-Office-Programms weg und in der Folge wird sein Rechner mit Schadsoftware infiziert. Die kann dann dort Daten klauen und weitere Systeme infizieren. Tausende von Unternehmen, Organisationen und Behörden können ein Lied davon singen, was das bedeutet.
Luca: Schuld haben die anderen
Die aktuelle Pressemitteilung der Luca-Macher Culture4Life GmbH bestätigt das Problem, bemüht sich aber nach Kräften, die Schuld auf alle anderen am Vorgang Beteiligten zu schieben. So seien insbesondere Microsoft Excel, dessen Konfiguration und beteiligte Mitarbeiter des Gesundheitsamts verantwortlich: "Makros in Excel, welche bei falscher Konfiguration von Excel ausgeführt werden konnten, sofern Nutzer:innen die Sicherheitshinweise missachten."
Ein Eingeständnis, dass man selbst einen Fehler gemacht haben könnte, findet sich in der Mitteilung nicht. Stattdessen versucht man die Bedeutung des Problems herunterzuspielen: "Es ist unwahrscheinlich, dass ein entsprechender Vorgang im Gesundheitsamt bei einem Excel-Import ausgelöst wird, da die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports im behördlichen Umfeld im Regelfall deaktiviert ist."
Demnach hätte es im behördlichen Umfeld gar keine Emotet-Vorfälle geben können. Die Vorfälle in Neustadt am Rübenberge und am Berliner Kammergericht beweisen, dass das bestenfalls zu optimistisch gedacht ist.
Zur Bewertung lässt sich sagen, dass die Hersteller der Luca-App eine wichtige Sicherheitsmaßnahme sträflich vernachlässigt haben. Das Filtern von Daten, die ein Angreifer in Systeme einschleusen könnte, ist eine der wichtigsten Maßnahmen zum Schutz gegen Cyber-Angriffe. Dabei wurden die Herausgeber der App bereits Anfang Mai auf dieses Problem hingewiesen. Da haben sie ein solches Szenario allerdings kategorisch ausgeschlossen: "Eine code injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich", zitiert etwa Zeit Online Patrick Henning.
Bisherige Fehlschläge und Bedauern
Ähnlich klang es vor einigen Wochen, als mehrere Sicherheitsforscher eine gemeinsame Stellungnahme veröffentlichten, in der sie die Risiken der Luca-App als "völlig unverhältnismäßig" bezeichneten. Auch da äußerten die Luca-Macher ihr Bedauern, erst aus der Presse von der Stellungnahme erfahren zu haben. Man wolle sich mit den Vorwürfen auseinandersetzen, hieß es. Erste Erklärungsversuche betrafen jedoch nicht die Kritikpunkte. So verwies man etwa auf die Wichtigkeit der Nachverfolgung, die von den Sicherheitsforschern jedoch gar nicht in Abrede gestellt wurde. Ganz im Gegenteil schrieben diese, dass eine Nachverfolgung enorm wichtig sei – nur sich die Luca-App dazu nicht eigne.
In ihrer aktuellen Mitteilung schreiben Culture4Life, dass das Luca-System selbst davor geschützt sei, dass durch missbräuchliche Daten Schaden angerichtet wird. Das hilft potenziell betroffenen Gesundheitsämtern aber nicht. Sie betonen auch, dass Sormas, also das System, das inzwischen von den meisten Gesundheitsämtern eingesetzt wird, einen Sicherheitsfilter besäße, der Code Injection verhindern würde. Abschließend schreiben die Luca-Macher dennoch: "Durch weitere Maßnahmen, die heute im Luca-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch in Zusammenhang mit Makros in Excel verhindert."
(emw)
