BSI stellt Schwachstellen in Luca-App fest

Die Luca-App hat sich zur lückenlosen Kontaktrückverfolgung während der Pandemie bewährt. Sie steht im direkten Austausch mit vielen Gesundheitsämtern. Vorteilhaft ist, dass mithilfe eines QR-Codes Smartphone-Nutzer sich in vielen Geschäften und auch bei Veranstaltern ohne Papierkram schnell und sicher registrieren können. Jedoch hat in letzter Zeit das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, wiederholt auftretende Schwachstellen der App mitgeteilt.

Inhaltsverzeichnis

    1. Für Aufregung sorgt die Code-Injection per Office-Makro
    2. Das BSI sieht den Betreiber in der Verantwortung
    3. Das BSI stellt einen klaren Prüfauftrag

1. Für Aufregung sorgt die Code-Injection per Office-Makro

Das BSI schließt ein Angriffs-Szenario per Code-Injection über die Luca-App nicht aus und macht diese aber von der Einsatzumgebung abhängig. Dies ließ die Behörde via Twitter verlauten. Zuletzt löste ein Video des Sicherheitsexperten Marcus Menge Kritik aus. Er hatte auf Youtube aufgezeigt, wie er mithilfe verschiedener Sonderzeichen in den Datenfeldern der Luca-App damit ganze Gesundheitsämter lahmlegen konnte. Hierzu hätten die Sonderzeichen in ein Microsoft-Office-Produkt beim Gesundheitsamt eingelesen werden müssen. Das hätte dazu geführt, dass die Sonderzeichen auch als Programmcode interpretiert werden könnten. Diese Art wird auch als Code-Injection bezeichnet. Grundsätzlich ist dies möglich.

Diese Einschränkungen, die von der konkreten Einsatzumgebung abhängig sind, wurden nach Information des BSI auch von den Entwicklern der Luca-App bestätigt. Ein potenzieller Missbrauch soll dadurch unterbunden werden, dass in den Namens- und Kontaktfeldern nur noch Buchstaben zulässig sind. Diese relativ einfache Methode hätte von Beginn an funktionieren sollen. Zudem darf nicht unerwähnt bleiben, dass diese Software kostenlos angeboten wird.

2. Das BSI sieht den Betreiber in der Verantwortung

Glücklicherweise sei eine aktive Ausnutzung dieser Schwachstelle bisher nicht bekannt geworden. Immerhin vertritt das BSI die Auffassung, dass die Betreiber einer App auch für die übermittelten Daten verantwortlich seien. Die Betreiber hätten daher schon im Vorfeld diese potenziell gefährlichen Feldinhalte programmlogisch unterbinden müssen.

Mögliche Schutzmaßnahmen Dritter stellen nach Ansicht des BSI keine ausreichenden Sicherheitsmaßnahmen dar. Die Behörde teilt hierzu mit, dass die Nutzer von Microsoft-Office-Programmen die mögliche Ausführung von Programmcode in der Software unterbinden müssen. Somit lassen sich Berechtigungen zum Aufzeichnen und Ausführen von Makros abschalten. Daher ist das BSI der Ansicht, dass die Betreiber diese offenkundigen Schwachstellen unverzüglich beheben müssen.

Eine Personenortung ist mit der Luca-App nicht möglich.

3. Das BSI stellt einen klaren Prüfauftrag

Auch das BSI sah sich selbst einiger Kritik ausgesetzt. Immerhin hätte dort im Rahmen der Prüfung der App eine mögliche Code-Injection auffallen müssen. Dies ist aber nicht geschehen. Begründet wurde dies damit, dass die mobile Luca-App für iOS und Android durch einen IT-Sicherheitsdienstleister nach einem Standardverfahren geprüft wurde. Diese Tests haben nur eine begrenzte Prüftiefe. Zu keinem Zeitpunkt der Prüfung war eine Angriffs-Szenario durch eine Code-Injection Gegenstand gewesen.

Dies hätte lediglich die Bundesverwaltung vornehmen können. So ist das App-Testing-Portal, über welches auch der Test der mobilen Luca-App läuft, ein besonderes Angebot der Bundesverwaltung gewesen. Diese hätte die Sicherheit des Einsatzes von Apps auf dienstlichen Smartphones und auch auf anderen IT-Geräten besser überprüfen müssen.