Hacker können Gesundheitsämter über die Luca-App angreifen

Autor: Tom Wannenmacher

Artikelbild: Shutterstock / Von Camilo Concha
Artikelbild: Shutterstock / Von Camilo Concha

Die Luca-App soll eigentlich helfen, Menschen mit einer Coronavirus-Infektionen zurückzuverfolgen. Nun hat jedoch ein Sicherheitsforscher eine kritische Lücke aufgezeigt, mit der potentielle Angreifer an Nutzerdaten kommen und das Gesundheitsamt infizieren können.

Durch eine Sicherheitslücke in der Luca-App könnten Verschlüsselungstrojaner in Gesundheitsämter geschleust werden. Dies zeigt der Sicherheitsforscher Marcus Mengs in einem am 26. Mai 2021 veröffentlichten Video auf.

Wie ist dies möglich?

Möglich sei so eine Attacke durch eine sogenannte CSV-Injection. CSV steht für „Comma-separated values“, also Werte, die durch ein Komma getrennt werden. Solche Dateien kann man u.a. mit Microsoft Excel erstellt, um die Tabellen abzuspeichern. Die Excel-Tabellen werden dann als Textformat abgespeichert. Setzt man hier nun bestimmte Sonderzeichen ein, dann kann Excel diesen Inhalt als „Formel“ verstehen. Auf diese Art- und Weise können Hacker einen Schadcode einfügen und vom System ausführen lassen.

Hinweis: Sicherheitsforscher Marcus Mengs zeigt in seinem Video, wie Angreifer vorgehen müssen und was passiert, wenn sie einen schädlichen Code in das System des Gesundheitssystem laden wollen. Der Sicherheitsforscher hat für seine Video-Präsentation mithilfe des offen einsehbaren Codes der Luca-App die Software auf seinem eigenen Rechner eingerichtet. Es handelt sich dabei um eine Präsentation und es findet keine wirkliche Attacke auf ein Gesundheitsamt statt.

In diesem Beispiel konnte der Sicherheitsforscher mit seiner gestellten Attacke persönliche Nutzerdaten abgreifen. Darunter fallen z.B der Name und die Telefonnummer. In einem anderen Fall konnte er eine Verschlüsselungstrojaner in das System injizieren. Der Trojaner verschlüsselt am Ende wichtige Daten und der Hacker könnte nun das Amt erpressen und am Ende ein Lösegeld verlangen, um die Daten wieder freizugeben bzw. zu entschlüsseln.

„Luca“ sieht keine Schuld bei sich selbst!

Nexenio, das Unternehmen hinter der Luca-App, hat bereits reagiert und eine Stellungnahme veröffentlicht. Nexenio schreibt in dieser unter anderem, dass das Unternehmen „durch Medienanfragen und per Twitter“ von den „möglichen Missbrauchen im Zusammenhang mit der Verwendung von Luca und Microsoft Excel“ erfahren habe. Nexenio weist die Schuld von sich und verweist auf Sicherheitsempfehlungen des BSI zur Konfiguration mit Excel und auf die Warn-Hinweise, die Excel in solchen Fällen anzeigen kann.

offizielle Stellungnahme / Luca / Nexenio

Hinweis auf einen potentiellen Missbrauch des luca-Systems im Zusammenhang Microsoft Excel Code Injection

Durch eine Medienanfrage und per Twitter haben wir heute von einem möglichen Missbrauch im Zusammenhang mit der Verwendung von luca und Microsoft Excel erfahren, der ab jetzt auch systemseitig verhindert wird.

Dies gilt im Übrigen auch für Excel Dateien, die per E-Mail empfangen werden. Daher gibt es vom BSI Empfehlungen zur Konfiguration von Excel. Im behördlichen Umfeld werden solche Makros im Regelfall deaktiviert. Wir weisen diesbezüglich auf die BSI Empfehlungen hin.

Laut den auf Twitter erhobenen Vorwürfen wäre es unter Umständen möglich gewesen, durch das luca-System schadhaften Code an die Gesundheitsämter zu übertragen. Hintergrund ist eine sogenannte CSV Injection, ein in Excel bekanntes Problem, weshalb Excel auch generell Dateien auf solchen Schadcode bei Öffnung prüft und die Nutzer:innen darauf hinweist. Diese Schwachstelle in Excel kann es theoretisch ermöglichen, schadhaften Code in Excel auszuführen. Mithilfe von bestimmten Formeln können Angreifer:innen beispielsweise Daten auslesen oder andere schädliche Aktionen ausführen.

Um den potentiellen Missbrauch durch die Übertragung der luca-Daten an Excel über die dort implementierten Sicherheitsmaßnahmen hinaus zu verhindern, werden im luca-System verschiedene Filter angewendet, welche im Vorfeld die CSV/Excel Dateien nach Zeichen und Formeln scannen.

Das luca-System berücksichtigt die Empfehlungen von OWASP bezüglich CSV Injection, die hier aufgelistet sind. Entsprechende Zellen werden wie empfohlen “escaped”. Heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte “Allow List” an Zeichen erweitert, damit böswillige Angreifer:innen diese Excel Lücke nicht mehr ausnutzen können.

Wir haben uns das Szenario angeschaut.

Was ist passiert?
Ein simulierter Angreifer hat schadhaften Code in seinen Kontaktdaten angegeben. Diese werden verschlüsselt und daher nicht im luca-Backend überprüft. Beim Abruf der Daten im Infektionsfall wird dieser potentiell schadhafte Inhalt angezeigt.

Was bedeutet das für luca?
Das luca-System selbst ist davor geschützt, dass durch schadhafte oder missbräuchliche Daten ein Schaden entsteht.

Was bedeutet das für andere Systeme?
Eine Übertragung von schadhaftem Code in beispielsweise SORMAS ist ausgeschlossen, da SORMAS über einen Datenfilter verfügt, der genau dieses Szenario verhindert. Im gezeigten Fall ging es um Makros in Excel, welche bei falscher Konfiguration von Excel ausgeführt werden konnten, sofern Nutzer:innen die Sicherheitshinweise missachten.

Es ist unwahrscheinlich, dass ein entsprechender Vorgang im Gesundheitsamt bei einem Excel-Import ausgelöst wird, da die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports im behördlichen Umfeld im Regelfall deaktiviert ist (BSI Empfehlung BSI-CS 136). Sollte dies wider Erwarten nicht der Fall sein, erhalten Nutzer:innen in jedem Fall eine Sicherheitswarnung, bevor ein schadhafter Code ausgeführt wird.

Was bedeutet das für die Arbeit in Gesundheitsämtern?
Generell ist es ratsam, Makros in Excel nur mit Bedacht zu aktivieren. Beim Öffnungsversuch entsprechender schadhafter Dateien erfolgt eine Warnung über ein Pop-up-Fenster, welches vor dem Öffnen der Dateien auf dem Bildschirm angezeigt wird. Es ist sehr wichtig, diese Hinweise sorgsam zu lesen und nicht direkt wegzuklicken. Darüber hinaus ist es ratsam zu überprüfen, inwiefern die Empfehlungen des BSI im jeweiligen Gesundheitsamt bereits umgesetzt werden (BSI Empfehlung BSI-CS 136).

Es ist unwahrscheinlich, dass Schaden durch einen derartigen Angriff entstanden ist, wenn Mitarbeiter:innen nicht aktiv die Sicherheitswarnungen des Systems missachtet haben. Uns ist kein dementsprechender Sicherheitsvorfall im Zusammenhang mit dem luca-System bekannt.

Durch weitere Maßnahmen, die heute im luca-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch in Zusammenhang mit Makros in Excel verhindert.

Verweis: Stellungnahme Luca-App
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.