Problem bekannt
Schon vor drei Wochen seien die Betreiber der App auf das Risiko hingewiesen worden, erklärt Cybersecurity-Experte Marcus Mengs gegenüber der Wochenzeitung „Die Zeit“. Geändert habe sich seitdem offenbar nichts. Nach wie vor könnten Luca-Nutzer bei der Registrierung beliebige Sonderzeichen für Name und Adresse verwenden – und geübte Hacker auf diese Weise Schadprogramme transportieren. Wird eine so manipulierte Datei zur Kontaktnachverfolgung entschlüsselt und geöffnet, ist die Malware schon fast im System. In Mengs‘ Video erscheint zunächst noch eine Warnung von Microsoft vor möglicherweise gefährlichen Inhalten: Man solle nur Daten aus vertrauenswürdigen Quellen verwenden. Dazu dürften Behörden-Mitarbeiter die Luca-App zweifellos zählen. Mit dem Klick auf „Aktivieren“ ist es allerdings bereits zu spät. Die Malware beginnt, sensible Daten auszulesen oder das System unbrauchbar zu machen.
Betreiber sehen keinen Fehler
Als die Sicherheitslücke vor drei Wochen erstmals aufgezeigt wurde, schloss man bei Luca noch jedes Risiko aus. Es sei schlicht nicht möglich, über die eigenen Daten infizierten Code einzuschleusen. Diese Behauptung ist nun widerlegt. In einer Stellungnahme der Luca-Betreiber heißt es daraufhin, man habe nach Veröffentlichung des Videos weitere Sicherungsmaßnahmen ergriffen. Die eigentliche Schwachstelle liege allerdings bei dem Microsoft-Programm Excel, das die Ausführung von Schadcode ermögliche. Das Luca-System selbst sei sicher und lasse keinen Missbrauch zu. Weiter hieß es, das geschilderte Problem entstehe nur dann, wenn Mitarbeiter von Gesundheitsämtern die Warnmeldung ignorierten. Dem Unternehmen lägen keine Hinweise darauf vor, dass dies in der Praxis tatsächlich geschehen und ein Gesundheitsamt mit Malware infiziert worden sei.
Fazit
Seit Wochen zeigen Datenschützer immer wieder neue Probleme der Luca-App auf. Bereits Ende April hatten fast 300 IT-Experten gefordert, eine dezentrale Anwendung wie die Corona-Warn-App zu bevorzugen. Dennoch wird Luca in vielen Bundesländern zur Kontaktverfolgung eingesetzt.
Alles, was Sie wissen müssen