Nie mehr wichtige Faktenchecks verpassen!
Melden Sie sich für unseren WhatsApp-Channel, die Smartphone-App (für iOS und Android) oder unseren Newsletter an und erhalten Sie alle Faktenchecks und Updates sofort. Einfach anmelden, immer einen Schritt voraus!


Die Luca-App soll eigentlich helfen, Menschen mit einer Coronavirus-Infektionen zurückzuverfolgen. Nun hat jedoch ein Sicherheitsforscher eine kritische Lücke aufgezeigt, mit der potentielle Angreifer an Nutzerdaten kommen und das Gesundheitsamt infizieren können.

Durch eine Sicherheitslücke in der Luca-App könnten Verschlüsselungstrojaner in Gesundheitsämter geschleust werden. Dies zeigt der Sicherheitsforscher Marcus Mengs in einem am 26. Mai 2021 veröffentlichten Video auf.

Wie ist dies möglich?

Möglich sei so eine Attacke durch eine sogenannte CSV-Injection. CSV steht für „Comma-separated values“, also Werte, die durch ein Komma getrennt werden. Solche Dateien kann man u.a. mit Microsoft Excel erstellt, um die Tabellen abzuspeichern. Die Excel-Tabellen werden dann als Textformat abgespeichert. Setzt man hier nun bestimmte Sonderzeichen ein, dann kann Excel diesen Inhalt als „Formel“ verstehen. Auf diese Art- und Weise können Hacker einen Schadcode einfügen und vom System ausführen lassen.

Hinweis: Sicherheitsforscher Marcus Mengs zeigt in seinem Video, wie Angreifer vorgehen müssen und was passiert, wenn sie einen schädlichen Code in das System des Gesundheitssystem laden wollen. Der Sicherheitsforscher hat für seine Video-Präsentation mithilfe des offen einsehbaren Codes der Luca-App die Software auf seinem eigenen Rechner eingerichtet. Es handelt sich dabei um eine Präsentation und es findet keine wirkliche Attacke auf ein Gesundheitsamt statt.

In diesem Beispiel konnte der Sicherheitsforscher mit seiner gestellten Attacke persönliche Nutzerdaten abgreifen. Darunter fallen z.B der Name und die Telefonnummer. In einem anderen Fall konnte er eine Verschlüsselungstrojaner in das System injizieren. Der Trojaner verschlüsselt am Ende wichtige Daten und der Hacker könnte nun das Amt erpressen und am Ende ein Lösegeld verlangen, um die Daten wieder freizugeben bzw. zu entschlüsseln.

„Luca“ sieht keine Schuld bei sich selbst!

Nexenio, das Unternehmen hinter der Luca-App, hat bereits reagiert und eine Stellungnahme veröffentlicht. Nexenio schreibt in dieser unter anderem, dass das Unternehmen „durch Medienanfragen und per Twitter“ von den „möglichen Missbrauchen im Zusammenhang mit der Verwendung von Luca und Microsoft Excel“ erfahren habe. Nexenio weist die Schuld von sich und verweist auf Sicherheitsempfehlungen des BSI zur Konfiguration mit Excel und auf die Warn-Hinweise, die Excel in solchen Fällen anzeigen kann.

offizielle Stellungnahme / Luca / Nexenio

Hinweis auf einen potentiellen Missbrauch des luca-Systems im Zusammenhang Microsoft Excel Code Injection

Durch eine Medienanfrage und per Twitter haben wir heute von einem möglichen Missbrauch im Zusammenhang mit der Verwendung von luca und Microsoft Excel erfahren, der ab jetzt auch systemseitig verhindert wird.

Dies gilt im Übrigen auch für Excel Dateien, die per E-Mail empfangen werden. Daher gibt es vom BSI Empfehlungen zur Konfiguration von Excel. Im behördlichen Umfeld werden solche Makros im Regelfall deaktiviert. Wir weisen diesbezüglich auf die BSI Empfehlungen hin.

Laut den auf Twitter erhobenen Vorwürfen wäre es unter Umständen möglich gewesen, durch das luca-System schadhaften Code an die Gesundheitsämter zu übertragen. Hintergrund ist eine sogenannte CSV Injection, ein in Excel bekanntes Problem, weshalb Excel auch generell Dateien auf solchen Schadcode bei Öffnung prüft und die Nutzer:innen darauf hinweist. Diese Schwachstelle in Excel kann es theoretisch ermöglichen, schadhaften Code in Excel auszuführen. Mithilfe von bestimmten Formeln können Angreifer:innen beispielsweise Daten auslesen oder andere schädliche Aktionen ausführen.

Um den potentiellen Missbrauch durch die Übertragung der luca-Daten an Excel über die dort implementierten Sicherheitsmaßnahmen hinaus zu verhindern, werden im luca-System verschiedene Filter angewendet, welche im Vorfeld die CSV/Excel Dateien nach Zeichen und Formeln scannen.

Das luca-System berücksichtigt die Empfehlungen von OWASP bezüglich CSV Injection, die hier aufgelistet sind. Entsprechende Zellen werden wie empfohlen “escaped”. Heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte “Allow List” an Zeichen erweitert, damit böswillige Angreifer:innen diese Excel Lücke nicht mehr ausnutzen können.

Wir haben uns das Szenario angeschaut.

Was ist passiert?
Ein simulierter Angreifer hat schadhaften Code in seinen Kontaktdaten angegeben. Diese werden verschlüsselt und daher nicht im luca-Backend überprüft. Beim Abruf der Daten im Infektionsfall wird dieser potentiell schadhafte Inhalt angezeigt.

Was bedeutet das für luca?
Das luca-System selbst ist davor geschützt, dass durch schadhafte oder missbräuchliche Daten ein Schaden entsteht.

Was bedeutet das für andere Systeme?
Eine Übertragung von schadhaftem Code in beispielsweise SORMAS ist ausgeschlossen, da SORMAS über einen Datenfilter verfügt, der genau dieses Szenario verhindert. Im gezeigten Fall ging es um Makros in Excel, welche bei falscher Konfiguration von Excel ausgeführt werden konnten, sofern Nutzer:innen die Sicherheitshinweise missachten.

Es ist unwahrscheinlich, dass ein entsprechender Vorgang im Gesundheitsamt bei einem Excel-Import ausgelöst wird, da die Möglichkeit der Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports im behördlichen Umfeld im Regelfall deaktiviert ist (BSI Empfehlung BSI-CS 136). Sollte dies wider Erwarten nicht der Fall sein, erhalten Nutzer:innen in jedem Fall eine Sicherheitswarnung, bevor ein schadhafter Code ausgeführt wird.

Was bedeutet das für die Arbeit in Gesundheitsämtern?
Generell ist es ratsam, Makros in Excel nur mit Bedacht zu aktivieren. Beim Öffnungsversuch entsprechender schadhafter Dateien erfolgt eine Warnung über ein Pop-up-Fenster, welches vor dem Öffnen der Dateien auf dem Bildschirm angezeigt wird. Es ist sehr wichtig, diese Hinweise sorgsam zu lesen und nicht direkt wegzuklicken. Darüber hinaus ist es ratsam zu überprüfen, inwiefern die Empfehlungen des BSI im jeweiligen Gesundheitsamt bereits umgesetzt werden (BSI Empfehlung BSI-CS 136).

Es ist unwahrscheinlich, dass Schaden durch einen derartigen Angriff entstanden ist, wenn Mitarbeiter:innen nicht aktiv die Sicherheitswarnungen des Systems missachtet haben. Uns ist kein dementsprechender Sicherheitsvorfall im Zusammenhang mit dem luca-System bekannt.

Durch weitere Maßnahmen, die heute im luca-System umgesetzt worden sind, wird in Zukunft ein solcher Missbrauch in Zusammenhang mit Makros in Excel verhindert.

Verweis: Stellungnahme Luca-App


Wenn dir dieser Beitrag gefallen hat und du die Bedeutung fundierter Informationen schätzt, werde Teil des exklusiven Mimikama Clubs! Unterstütze unsere Arbeit und hilf uns, Aufklärung zu fördern und Falschinformationen zu bekämpfen. Als Club-Mitglied erhältst du:

📬 Wöchentlichen Sonder-Newsletter: Erhalte exklusive Inhalte direkt in dein Postfach.
🎥 Exklusives Video* „Faktenchecker-Grundkurs“: Lerne von Andre Wolf, wie du Falschinformationen erkennst und bekämpfst.
📅 Frühzeitiger Zugriff auf tiefgehende Artikel und Faktenchecks: Sei immer einen Schritt voraus.
📄 Bonus-Artikel, nur für dich: Entdecke Inhalte, die du sonst nirgendwo findest.
📝 Teilnahme an Webinaren und Workshops: Sei live dabei oder sieh dir die Aufzeichnungen an.
✔️ Qualitativer Austausch: Diskutiere sicher in unserer Kommentarfunktion ohne Trolle und Bots.

Mach mit und werde Teil einer Community, die für Wahrheit und Klarheit steht. Gemeinsam können wir die Welt ein bisschen besser machen!

* In diesem besonderen Kurs vermittelt dir Andre Wolf, wie du Falschinformationen erkennst und effektiv bekämpfst. Nach Abschluss des Videos hast du die Möglichkeit, dich unserem Rechercheteam anzuschließen und aktiv an der Aufklärung mitzuwirken – eine Chance, die ausschließlich unseren Club-Mitgliedern vorbehalten ist!


Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)