Top-News
Eine Gruppe von jungen Menschen mit ihren Smartphones. (Symbolbild)
Freitag, 28.05.2021 11:24 von | Aufrufe: 279

Bundesamt kritisiert Luca-App: 'Angriffs-Szenario plausibel'

Eine Gruppe von jungen Menschen mit ihren Smartphones. (Symbolbild) © PeopleImages / E+ / Getty Images http://www.gettyimages.de/

BERLIN (dpa-AFX) - Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine inzwischen geschlossene Sicherheitslücke in der Luca-App bemängelt. Zuvor hatte der IT-Sicherheitsexperte Marcus Mengs in einem Youtube-Video vorgeführt, wie er theoretisch ein an die Luca-App angebundenes Gesundheitsamt lahmlegen könnte. Mengs hatte dazu als Luca-Nutzer bestimmte Sonderzeichen in die Eingabefelder für seine eigenen Daten eingegeben, beispielsweise ins Feld für die Postleitzahl seiner Anschrift. Diese Sonderzeichen hätten von dem Microsoft-Office-System im Gesundheitsamt als Programmcode interpretiert werden können. Diese Angriffsmethode wird als "Code-Injection" bezeichnet.

Das BSI teilte am Freitag über Twitter mit: "Wir schätzen das Angriffs-Szenario einer Code-Injection über das Luca-System abhängig von der konkreten Einsatzumgebung als plausibel ein." Die Macher der Luca-App hatte nach dem ersten Bekanntwerden der Lücke die Eingabe von Sonderzeichen in die Namens- und Kontaktfelder unterbunden und erlauben nur noch die Eingabe von Buchstaben und Zahlen. Laut BSI ist kein Fall bekannt, bei dem die Schwachstelle ausgenutzt wurde. Gleichzeitig machte das BSI klar, dass Luca sich um das Problem kümmern muss, nicht die Gesundheitsämter. "Wir sind der Auffassung, dass die Betreiber einer App für die Integrität übermittelter Daten verantwortlich sind."

In dem Angriffsszenario von Mengs ging es um die Kontaktdaten im Luca-System, die als sogenannte CSV-Dateien für Microsoft (Microsoft Aktie) Excel übertragen werden. Statt herkömmlichen Namen hätte ein ausführbarer Schadcode in bestimmten Datenfeldern gestanden.

In sensiblen Umgebungen wie Behörden empfehlen Sicherheitsexperten eigentlich, die Programme von Microsoft Office so zu konfigurieren, dass in Dokumenten von außen keine Programmcodes ausgeführt werden dürfen. Dem BSI reicht dies aber nicht aus: "Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden von Makro-Ausführung, stellen aus unserer Sicht keine ausreichende Sicherheitsmaßnahme dar. Wir sind der Ansicht, dass offenkundige Schwachstellen durch App-Betreiber unverzüglich und konsequent behoben werden sollte."

Die Luca-App, für die unter anderem der Hip-Hop-Sänger Smudo von den "Fantastischen Vier" geworben hatte, kommt in vielen Bundesländern bereits zum Einsatz. Die App ist aber bei Wissenschaftlern und Datenschützern umstritten./chd/DP/stw


ARIVA.DE Börsen-Geflüster

Kurse

Microsoft Corp.
381,40
+0,45%
Microsoft Corp. Realtime-Chart
Werbung

Mehr Nachrichten zur Microsoft Corp. Aktie kostenlos abonnieren

E-Mail-Adresse
Benachrichtigungen von ARIVA.DE
(Mit der Bestellung akzeptierst du die Datenschutzhinweise)

Hinweis: ARIVA.DE veröffentlicht in dieser Rubrik Analysen, Kolumnen und Nachrichten aus verschiedenen Quellen. Die ARIVA.DE AG ist nicht verantwortlich für Inhalte, die erkennbar von Dritten in den „News“-Bereich dieser Webseite eingestellt worden sind, und macht sich diese nicht zu Eigen. Diese Inhalte sind insbesondere durch eine entsprechende „von“-Kennzeichnung unterhalb der Artikelüberschrift und/oder durch den Link „Um den vollständigen Artikel zu lesen, klicken Sie bitte hier.“ erkennbar; verantwortlich für diese Inhalte ist allein der genannte Dritte.


Andere Nutzer interessierten sich auch für folgende News

PR Newswire Thumbnail
02:00 - PR Newswire
Rogue Baron Plc - Acquisition of premium vodka brand
PR Newswire Thumbnail
02:00 - PR Newswire
FirstGroup Plc - Transaction in Own Shares
dpa-AFX Thumbnail
28.04.24 - dpa-AFX
US-Justiz stellt Diesel-Ermittlungen gegen Mercedes-Benz ein