News

BSI kritisiert Luca-App wegen „offenkundiger“ Schwachstelle

Luca, die digitale Kontaktverfolgungs-App, steht immer wieder in der Kritik. (Screenshot: Luca/t3n)
Lesezeit: 2 Min.
Artikel merken

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemängelt den Umgang der Luca-App-Betreiber mit immer wieder auftretenden Schwachstellen ihrer Anwendung.

Das BSI schätze das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein, ließ die Behörde via Twitter verlauten. In einem kurzen Thread wollte das BSI den vielen Anfragen begegnen, denen es nach eigenem Bekunden in letzter Zeit ausgesetzt ist.

Code-Injection per Office-Makro sorgt für Aufregung

Jüngster Auslöser der Kritik ist ein Video des Sicherheitsexperten Marcus Mengs. Der hatte auf Youtube gezeigt, wie er unter Verwendung bestimmter Sonderzeichen in den Datenfeldern der Luca-App theoretisch ganze Gesundheitsämter lahmlegen könnte. Dazu hätten die Sonderzeichen in ein Microsoft-Office-Produkt im Gesundheitsamt eingelesen werden müssen. Dieses wiederum hätte die Sonderzeichen als Programmcode interpretieren können. Angriffe dieser Art werden als Code-Injection bezeichnet. Die Realitätsnähe dieser Konstellation im konkreten Fall beiseite – grundsätzlich ginge das.

Das dürfte wohl auch die Einschränkung „abhängig von der konkreten Einsatzumgebung“ bedeuten. Nach Informationen des BSI haben die Macher der Luca-App das Problem bestätigt und potenziellen Missbrauch dadurch unterbunden, dass in den Namens- und Kontaktfeldern nur noch Buchstaben und Zahlen zulässig sind – eine sehr einfache Methode, die von Beginn an sinnvoll gewesen wäre.

BSI sieht Betreiber in der Verantwortung

Eine aktive Ausnutzung der Schwachstelle sei bislang nicht bekannt, twittert die Behörde. Generell vertrete das BSI indes die Auffassung, dass die Betreiber einer App für die Integrität der übermittelten Daten verantwortlich sind. Das bedeutet, dass die Betreiber potenziell gefährliche Feldinhalte programmlogisch hätten unterbinden müssen.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Schutzmaßnahmen Dritter hingegen stellen aus Sicht des BSI keine ausreichende Sicherheitsmaßnahme dar. Damit spielt die Behörde darauf an, dass Nutzer von Microsoft Office die Ausführung von Programmcode in der Software unterbinden können, indem sie die Berechtigung abschalten, Makros – also aufgezeichnete oder codierte Befehlsfolgen – auszuführen. Das BSI sei vielmehr der Ansicht, dass offenkundige Schwachstellen durch App-Betreiber unverzüglich und konsequent behoben werden sollten.

BSI stellt Prüfauftrag klar

Offenbar sah sich das BSI selbst einiger Kritik ausgesetzt, weil mancher annahm, dass die Möglichkeit der Code-Injection im Rahmen der Prüfung der App durch das BSI hätte auffallen müssen. Dem sei nicht so, so die Behörde.

Zunächst habe man ohnehin nur die mobile Luca-App für iOS und Android durch einen IT-Sicherheitsdienstleister nach einem Standardverfahren prüfen lassen. Derlei Tests hätten nur eine begrenzte Prüftiefe. Das Angriffs-Szenario einer Code-Injection über das Luca-System sei zu keinem Zeitpunkt Gegenstand der Prüfung gewesen. Auch habe weder der Betreiber noch sonst ein Verfahrensbeteiligter einen weitergehenden Prüfauftrag erteilt.

Das hätte etwa die Bundesverwaltung sein können. Immerhin ist das App-Testing-Portal, über das der Test der mobilen Luca-App lief, ein Angebot an die Bundesverwaltung, die Sicherheit des Einsatzes von Apps auf dienstlichen Smartphones oder anderen IT-Geräten überprüfen zu lassen.

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder