Plus
Rheinland-Pfalz

Wieder Probleme mit dem Datenschutz: Ist die Luca-App sicher?

Von Johannes Mario Löhr
Der Datenschutzbeauftragte von Rheinland-Pfalz sagt, dass die Luca-App mit Risiken behaftet, aber datenschutzkonform zu betreiben sei.
Der Datenschutzbeauftragte von Rheinland-Pfalz sagt, dass die Luca-App mit Risiken behaftet, aber datenschutzkonform zu betreiben sei. Foto: picture alliance/dpa

Sicherheitsforscher Marcus Mengs hat am 26. Mai auf seinem Twitter-Account (@mame82) ein bemerkenswertes YouTube-Video gepostet. Dort zeigt er, dass Hacker mittels der Luca-App in die Systeme von Gesundheitsämtern eindringen, Daten ausspionieren und sogar das komplette Amt lahmlegen könnten.

Lesezeit: 3 Minuten
Die „Zeit“ berichtete, dass durch das von Mengs aufgezeigte Schlupfloch in der Luca-App Verschlüsselungstrojaner in die Systeme der Gesundheitsämter geschleust werden könnten. Die App kommt vielerorts schon zum Einsatz – seit Freitag auch im Kreis Neuwied. Ist die Luca-App sicher genug? Unsere Zeitung hat beim Landesdatenschutzbeauftragten, beim Gesundheitsministerium und beim ...
Möchten Sie diesen Artikel lesen?
Wählen Sie hier Ihren Zugang
  • 4 Wochen für nur 99 Cent testen
  • ab dem zweiten Monat 9,99 €
  • Zugriff auf alle Artikel
  • Newsletter, Podcasts und Videos
  • keine Mindestlaufzeit
  • monatlich kündbar
E-Paper und
  • 4 Wochen gratis testen
  • ab dem zweiten Monat 37,- €
  • Zugriff auf das E-Paper
  • Zugriff auf tausende Artikel
  • Newsletter, Podcasts und Videos
  • keine Mindestlaufzeit
  • monatlich kündbar
Bereits Abonnent?

Fragen? Wir helfen gerne weiter:
Telefonisch unter 0261/9836-2000 oder per E-Mail an: aboservice@rhein-zeitung.net

Oder finden Sie hier das passende Abo.

Anzeige

Bundesamt kritisiert Luca-App: „Angriffsszenario plausibel“

Berlin. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine inzwischen geschlossene Sicherheitslücke in der Luca-App bemängelt. Zuvor hatte der IT-Sicherheitsexperte Marcus Mengs in einem YouTube-Video vorgeführt, wie er theoretisch ein an die Luca-App angebundenes Gesundheitsamt lahmlegen könnte. Mengs hatte dazu als Luca-Nutzer bestimmte Sonderzeichen in die Eingabefelder für seine eigenen Daten eingegeben, beispielsweise ins Feld für die Postleitzahl seiner Anschrift. Diese Sonderzeichen hätten von dem Microsoft-Office-System im Gesundheitsamt als Programmcode interpretiert werden können. Diese Angriffsmethode wird als Code-Injection bezeichnet.

Das BSI teilte über Twitter mit: „Wir schätzen das Angriffsszenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein.“

Die Macher der Luca-App hatten nach dem ersten Bekanntwerden der Lücke die Eingabe von Sonderzeichen in die Namens- und Kontaktfelder unterbunden und erlauben nur noch Buchstaben und Zahlen. Laut BSI ist kein Fall bekannt, bei dem die Schwachstelle ausgenutzt wurde. Gleichzeitig machte das BSI klar, dass Luca sich um das Problem kümmern muss, nicht die Gesundheitsämter. „Wir sind der Auffassung, dass die Betreiber einer App für die Integrität übermittelter Daten verantwortlich sind.“

In dem Angriffsszenario von Mengs ging es um die Kontaktdaten im Luca-System, die als sogenannte CSV-Dateien für Microsoft Excel übertragen werden. Statt herkömmlichen Namen hätte ein ausführbarer Schadcode in bestimmten Datenfeldern gestanden.

In sensiblen Umgebungen wie Behörden empfehlen Sicherheitsexperten eigentlich, die Programme von Microsoft Office so zu konfigurieren, dass in Dokumenten von außen keine Programmcodes ausgeführt werden dürfen. Dem BSI reicht dies aber nicht aus: „Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden von Makroausführung, stellen aus unserer Sicht keine ausreichende Sicherheitsmaßnahme dar. Wir sind der Ansicht, dass offenkundige Schwachstellen durch App-Betreiber unverzüglich und konsequent behoben werden sollten.“

Die Luca-App, für die unter anderem der Hip-Hop-Sänger Smudo von den Fantastischen Vier geworben hatte, kommt in vielen Bundesländern bereits zum Einsatz. Die App ist aber bei Wissenschaftlern und Datenschützern umstritten. dpa

Meistgelesene Artikel