Die Nachrichtenlage um die ohnehin schon schon beachtlichen Sicherheitslücken der „Luca-App“ hat gestern eine dramatische Dynamik erhalten. Ein per Video dokumentierter Proof-of-Concept-Angriff des Sicherheitsforschers Marcus Mengs zeigt, dass mit vergleichsweise einfachen Mitteln systemrelevante Angriffe auf das Luca-System möglich sind, die ganz unmittelbar auch die IT-Sicherheit der angeschlossenen Gesundheitsämter gefährdet. Durch den (so vom Konzept vorgesehenen) Download von Nutzerdaten im Gesundheitsamt ist es möglich, Schadcode einzuschleusen der auf den Rechnern des Gesundheitsamtes ausgeführt wird. Das entspricht einer klassischen Atacke mit Ransomware und kann zu katastrophalen Folgen führen.
Im oben verlinkten Video ist zu sehen, wie der Angreifer, der über einen ganz normalen Nutzeraccount im Luca-System verfügt, zunächst ohne weitere Kontrolle seine Nutzerdaten innerhalb der Luca-App ändern kann. Dies ermöglicht ihm auch, solchen Schadcode in das System zu laden, der später durch das Gesundheitsamt heruntergeladen wird, wenn es zu einem Tracing eines Verdachtsfalles kommt.
Auf Seiten des Gesundheitsamtes ist es – da sich die Luca-App in keinerlei Systemumgebung von Behörden schlüssig einfügt – für die Kontaktverfolgung notwendig, die Tracingdaten in Form einer „.csv“-Datei herunterzuladen und in gängiger Software zu öffnen. Dabei dürfte es dann zu praktisch 100 Prozent um das Microsoft-Programm „Excel“ handeln, das eine lange Historie von Schwachstellen hinsichtlich der Ausführung von Programmcode hat (z.B. durch die Ausführung von Makros).
Ein auf diese Weise heruntergeladenes .csv-File kann Excel also motivieren, Programmcode auszuführen („Code Injection“). Im Video ist zu sehen, wie die Software darauf mit einer kaum auffälligen Warnmeldung reagiert, die der Nutzer „wegklicken“ muss und dies mit großer Wahrscheinlichkeit auch tun wird. Der Warnhinweise ist wenig informativ und insbesondere für normale Anwender hinsichtlich der möglichen Auswirkungen nicht verständlich. Zudem wird dem Anwender im Gesundheitsamt durch den Einsatz des Luca-Systems und den hierfür regulär notwendigen Download ja gerade suggeriert, er verhalte sich beim Öffnen des Datenfiles korrekt. Die Arbeitsbelastung in den Ämtern dürfte darüber hinaus ihr Übriges tun.
In Sicherheitsschulungen und Lehrgängen wird viel darüber gesprochen, welche erheblichen Risiken Nutzer durch das Herunterladen und Ausführen unbekannter Software eingehen. Klassische Ransomware-Angriffe funktionieren genau so: Sie verleiten den Nutzer dazu, Warnmeldungen der eingesetzten Betriebssysteme oder Software zu ignorieren um so das (vermeintlich) gewünschte Ergebnis zu erhalten. Genau dadurch wird dann aber die Ausführung des eigentlichen Schadcodes erlaubt, der anschließend die Kontrolle über das System (und ggfls. alle anderen Systeme, die an dieses angeschlossen sind) übernimmt.
Das Video demonstriert, dass eine solche Attacke sodann den Rechner des Anwenders im Gesundheitsamt übernehmen kann. Wie dramatisch die Folgen sein können, haben in den letzten Monaten und Jahren nicht nur der Bundestag, sondern auch öffentliche Einrichtungen wie das Berliner Kammergericht erlebt, die sich davon bis heute nicht vollständig erholt haben. Eine Software mit so offensichtlichen Schwachstellen dürfte daher eigentlich in öffentlichen Behörden gar nicht zum Einsatz kommen, was allerdings viele Bundesländer vor dem Einkauf der teuren Lizenzen nicht geprüft zu haben scheinen (obwohl Datenschützer bereits sehr früh vor solchen Risiken gewarnt haben).
(Nachtrag: Auch Heise Online berichtet jetzt über die weit offenstehende Sicherheitslücke: Gefahr für Gesundheitsämter: Luca-App ermöglicht Code-Injection)