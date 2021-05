So einfach soll es gehen: Check-in per QR-Code in der Luca-App. Bild: AFP

Die App „Luca“ gilt für viele Betreiber von Restaurants, Hotels oder Organisatoren von Konzerten als zentral, um einen Neustart nach Corona zu ermöglichen. Wer an einen Ort geht, an dem viele Menschen zusammenkommen, scannt einen dortigen QR-Code mit der App auf seinem Handy und kann sich so das nervige Zettel-Ausfüllen zur Kontaktnachverfolgung sparen – so die einfache Idee. Doch jüngst sorgt Luca vor allem durch Sicherheitsmängel für Schlagzeilen.

Den vorerst letzten Streich lieferte Mitte der Woche der Sicherheitsfachmann Markus Meng. Er zeigte, dass die App von Hackern ausgenutzt werden kann, um die an das System angeschlossenen Gesundheitsämter anzugreifen. 313 von rund 400 Gesundheitsämtern in Deutschland nutzen die App, um im Falle eines Corona-Ausbruchs, etwa in einem Restaurant, schnell auf die Kontaktdaten der Menschen zuzugreifen, die dort zu jenem Zeitpunkt anwesend waren.

Excel-Export als Schwachstelle

Der Export der Kontaktdaten erfolgt mittels Microsoft-Excel-Tabellen – und genau da liegt die Schwachstelle. Denn durch eine bekannte Sicherheitslücke in Excel können Hacker, wie Meng in einem Video zeigte, beliebige Befehle auf den Computern des Gesundheitsamts ausführen. Das Verfahren nennt sich „Code Injection“, der Angriff läuft dabei über Sonderzeichen, die in den Namen einer in der Luca-App registrierten Person eingefügt werden. Angreifer können so Daten stehlen oder auch Erpressungs-Software auf den Computer laden, welche die Rechner lahmlegt. Solche „Ransomware“-Angriffe haben etwa im Gefolge der Schadsoftware Emotet bis Anfang diesen Jahres gravierende Schäden angerichtet.

Potentielle Opfer der Lücke sind folglich die Gesundheitsämter, nicht die Nutzer der App. Für letztere besteht keine Gefahr, angegriffen zu werden. Sie können nur gegebenenfalls mittelbar zu Opfern werden, wenn es Hackern gelingt, die Daten zu stehlen, die in die Luca-App eingegeben wurden – also in der Regel Name, Telefonnummer und E-Mail-Adresse.

Gefahr nur, wenn man Warnmeldungen ignoriert

Auch Gesundheitsämter sind nur anfällig, wenn ihre IT-Systeme sogenannte Makros – in Office-Anwendungen eingebundene Mini-Programme – zulassen. Zudem erscheinen auf dem Bildschirm eines Mitarbeiters dort mehrere Warnmeldungen, die er aktiv bestätigen muss, bevor ein Hacker mit dem Angriff erfolgreich sein kann. Das führt zu der Frage zurück, ob Mitarbeiter in deutschen Behörden solche Warnmeldungen ernst nehmen oder sie nur wegklicken und ignorieren. Leider zeigen die Erfahrungen mit Emotet, dass eher letzteres der Fall ist – denn die Schadsoftware traf gerade Stadtverwaltungen überdurchschnittlich häufig.

Markus Bublitz, Sprecher des Unternehmens Nexenio, das die Luca-App vertreibt, verwies gegenüber der F.A.Z. darauf, dass bei den meisten im Luca-System eingeführten Gesundheitsämtern Makros auf Systemebene deaktiviert seien. Somit kommen die Sachbearbeiter also gar nicht bis zu den Warnmeldungen, die sie dann möglicherweise ignorieren. Dennoch habe man unmittelbar nach Bekanntwerden der Lücke am Mittwoch Maßnahmen ergriffen, um sie zu schließen. Seitdem lässt die App nur noch lateinische Buchstaben in den Namen der registrierten Personen zu.

Kein Missbrauch bislang bekannt

Es sei nicht bekannt, dass die Schwachstelle bei einem Gesundheitsamt ausgenutzt wurde, sagte Bublitz weiter. Die Landeshauptstadt Stuttgart als Trägerin des dortigen Gesundheitsamts bestätigte auf Anfrage der F.A.Z., dass die Sicherheitslücke auf dem Luca-Server geschlossen worden sei und auch nachträglich nicht mehr ausgenutzt werden könne. Das habe die Fachabteilung der Stadtverwaltung geprüft. Weiter hieß es, der potentielle Schaden durch die Lücke sei zwar groß gewesen, die Wahrscheinlichkeit eines erfolgreichen Angriffs aber vergleichsweise gering. Denn: „Die Angriffsart ist weder neu noch Luca-spezifisch“, teilte die Landeshauptstadt mit.

Folglich sollte die Luca-App sowohl von Nutzern als auch von Gesundheitsämtern wieder gefahrlos nutzbar sein. Bublitz, der Sprecher des Herstellers, sagt trotzdem: „Wir wollen das nicht herunterspielen. Das Vertrauen der Menschen in Deutschland ist uns wichtig und wir versuchen, alles dafür zu tun.“