Das BSI schätze das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein, ließ die Behörde via Twitter verlauten. In einem kurzen Thread wollte das BSI den vielen Anfragen begegnen, denen es nach eigenem Bekunden in letzter Zeit ausgesetzt ist.

Jüngster Auslöser der Kritik ist ein Video des Sicherheitsexperten Marcus Mengs. Der hatte auf Youtube gezeigt, wie er unter Verwendung bestimmter Sonderzeichen in den Datenfeldern der Luca-App theoretisch ganze Gesundheitsämter lahmlegen könnte. Dazu hätten die Sonderzeichen in ein Microsoft-Office-Produkt im Gesundheitsamt eingelesen werden müssen. Dieses wiederum hätte die Sonderzeichen als Programmcode interpretieren können. Angriffe dieser Art werden als Code-Injection bezeichnet. Die Realitätsnähe dieser Konstellation im konkreten Fall beiseite – grundsätzlich ginge das.

Das dürfte wohl auch die Einschränkung „abhängig von der konkreten Einsatzumgebung“ bedeuten. Nach Informationen des BSI haben die Macher der Luca-App das Problem bestätigt und potenziellen Missbrauch dadurch unterbunden, dass in den Namens- und Kontaktfeldern nur noch Buchstaben und Zahlen zulässig sind – eine sehr einfache Methode, die von Beginn an sinnvoll gewesen wäre.

Eine aktive Ausnutzung der Schwachstelle sei bislang nicht bekannt, twittert die Behörde. Generell vertrete das BSI indes die Auffassung, dass die Betreiber einer App für die Integrität der übermittelten Daten verantwortlich sind. Das bedeutet, dass die Betreiber potenziell gefährliche Feldinhalte programmlogisch hätten unterbinden müssen.

Schutzmaßnahmen Dritter hingegen stellen aus Sicht des BSI keine ausreichende Sicherheitsmaßnahme dar. Damit spielt die Behörde darauf an, dass Nutzer von Microsoft Office die Ausführung von Programmcode in der Software unterbinden können, indem sie die Berechtigung abschalten, Makros – also aufgezeichnete oder codierte Befehlsfolgen – auszuführen. Das BSI sei vielmehr der Ansicht, dass offenkundige Schwachstellen durch App-Betreiber unverzüglich und konsequent behoben werden sollten.

Offenbar sah sich das BSI selbst einiger Kritik ausgesetzt, weil mancher annahm, dass die Möglichkeit der Code-Injection im Rahmen der Prüfung der App durch das BSI hätte auffallen müssen. Dem sei nicht so, so die Behörde.

Zunächst habe man ohnehin nur die mobile Luca-App für iOS und Android durch einen IT-Sicherheitsdienstleister nach einem Standardverfahren prüfen lassen. Derlei Tests hätten nur eine begrenzte Prüftiefe. Das Angriffs-Szenario einer Code-Injection über das Luca-System sei zu keinem Zeitpunkt Gegenstand der Prüfung gewesen. Auch habe weder der Betreiber noch sonst ein Verfahrensbeteiligter einen weitergehenden Prüfauftrag erteilt.

Das hätte etwa die Bundesverwaltung sein können. Immerhin ist das App-Testing-Portal, über das der Test der mobilen Luca-App lief, ein Angebot an die Bundesverwaltung, die Sicherheit des Einsatzes von Apps auf dienstlichen Smartphones oder anderen IT-Geräten überprüfen zu lassen.