Wäh­rend die Macher der Luca-App wei­ter­hin ver­su­chen, die Sicher­heits­be­den­ken zahl­rei­cher Ent­wick­ler abzu­wie­geln, zeigt ein Secu­ri­ty-Exper­te ein­drück­lich, wie leicht sich dar­über sogar Mal­wa­re in Gesund­heits­äm­ter ein­schleu­sen lässt.

Schon seit Wochen tobt in Deutsch­land ein hef­ti­ger Streit um die Luca-App zur Kon­takt­ver­fol­gung. Wäh­rend sie in der Bevöl­ke­rung, wohl nicht zuletzt durch den rüh­ri­gen Mar­ke­ting-Ein­satz schwä­bi­scher Pop-Pro­mi­nenz, vor­wie­gend als hip­pe Hoff­nung auf mehr Frei­hei­ten gese­hen wird, sehen ande­re in ihr ein regel­rech­tes Teufels(werk)zeug. Neben grund­sätz­li­chen Fra­gen über die Not­wen­dig­keit und den Daten­schutz ent­spre­chen­der Lösun­gen im All­ge­mei­nen geht es dabei vor allem ganz kon­kret um die man­gel­haf­te Sicher­heit von Luca. Immer wie­der zei­gen Soft­ware- und Secu­ri­ty-Exper­ten anhand von Schwach­stel­len auf, dass die Lösung tech­nisch offen­sicht­lich nicht ganz aus­ge­reift ist. Bis­lang konn­ten die Macher die­se jedoch in der öffent­li­chen Wahr­neh­mung recht locker als ver­meint­li­che Klei­nig­kei­ten vom Tisch wischen. In aktu­el­len Umfra­gen schen­ken die Deut­schen der Luca-App sogar mehr Ver­trau­en, als der offi­zi­el­len Corona-Warn-App.

Dass es sich bei den Schwach­stel­len aber kei­nes­wegs nur um unbe­deu­ten­de Kin­der­krank­hei­ten han­delt, macht jetzt der Secu­ri­ty-Exper­te Mar­cus Mengs anhand einer kürz­lich ent­deck­ten Lücke  mehr als deut­lich. Die­se betrifft die bei der Namens­ein­ga­be erlaub­ten Zei­chen. Nach­dem Luca-Chef Patrick Hen­nig gegen­über der Zeit behaup­tet hat­te, eine Code-Injek­ti­on sei dar­über nicht mög­lich, schau­te sich Mengs die Sache noch ein­mal genau­er an und bewies jetzt weni­ge Tage spä­ter prompt das genaue Gegen­teil. Er zeigt dabei nicht nur, dass sich über die Aus­nut­zung der Schwach­stel­le sehr wohl Code ein­schleu­sen ins Luca-Backend lässt, son­dern auch, was damit alles mög­lich wird. Da Hacker über die­se Hin­ter­tür sogar Zugang zu ange­schlos­se­nen Gesund­heits­äm­tern bekom­men könn­ten, ist das Gefah­ren­po­ten­zi­al enorm.

Mit einem simu­lier­ten Gesund­heits­amts­sy­stem demon­striert Mengs in sei­ner Demo etwa, dass sich auf die­sem Weg sen­si­ble Daten aus den Netz­wer­ken der Behör­den absau­gen las­sen. In die ande­re Rich­tung könn­ten Hacker damit auch Mal­wa­re ein­schleu­sen. In sei­nen Ver­su­chen tauch­te dabei ledig­lich eine klei­ne Warn­mel­dung von Office bei den zu infi­zie­ren­den Cli­ents auf, die vie­le Behör­den­mit­ar­bei­ter wohl ein­fach wegklicken wür­den. Ist die­se Hür­de genom­men, könn­ten die Angrei­fer bei­spiels­wei­se wei­te­re Schäd­lin­ge nach­la­den um damit im inter­nen Netz auf Raub­zug zu gehen, oder die Ämter gar mit einer Ran­som­wa­re-Attacke lahmlegen.

Damit ist es für Bür­ger wie Poli­tik und Ver­wal­tung glei­cher­ma­ßen spä­te­stens jetzt an der Zeit, die App-Stra­te­gie noch ein­mal genau zu über­den­ken. Dabei ste­hen sie vor einem para­do­xen Pro­blem. Wäh­rend die offi­zi­el­le Warn-App eher durch zu hohe Sicher­heits­an­sprü­che und eine tra­di­tio­nel­le Skep­sis gegen­über Behör­den aus­ge­bremst wird, set­zen die gegen­über Bür­ger und auch vie­le Unter­neh­mer lie­ber auf die offen­sicht­lich deut­lich ris­kan­te Alter­na­ti­ve. Dass die­se zudem zusätz­li­che Steu­er­gel­der kostet, ohne dafür einen ech­ten Mehr­wert zu bie­ten, wie Exper­ten schon län­ger kri­ti­sie­ren, wird damit fast schon zur Randnotiz.