Luca-App: Sicherheitslücke ermöglicht Malware-Angriffe auf Gesundheitsämter

(0 Bewertungen, 0 von 5)

Worum geht's?

Das Demo-Video eines IT-Sicherheitsexperten hat erneut Zweifel an der Zuverlässigkeit der Luca-App aufgeworfen. Aus dem Clip geht hervor, dass sich über manipulierte QR-Codes Trojaner auf die Server der Gesundheitsämter laden lassen. Hacker könnten auf diesem Weg Daten auslesen oder sogar die Systeme der Behörden lahmlegen.

Problem bekannt

Schon vor drei Wochen seien die Betreiber der App auf das Risiko hingewiesen worden, erklärt Cybersecurity-Experte Marcus Mengs gegenüber der Wochenzeitung „Die Zeit“. Geändert habe sich seitdem offenbar nichts. Nach wie vor könnten Luca-Nutzer bei der Registrierung beliebige Sonderzeichen für Name und Adresse verwenden – und geübte Hacker auf diese Weise Schadprogramme transportieren. Wird eine so manipulierte Datei zur Kontaktnachverfolgung entschlüsselt und geöffnet, ist die Malware schon fast im System. In Mengs‘ Video erscheint zunächst noch eine Warnung von Microsoft vor möglicherweise gefährlichen Inhalten: Man solle nur Daten aus vertrauenswürdigen Quellen verwenden. Dazu dürften Behörden-Mitarbeiter die Luca-App zweifellos zählen. Mit dem Klick auf „Aktivieren“ ist es allerdings bereits zu spät. Die Malware beginnt, sensible Daten auszulesen oder das System unbrauchbar zu machen.

 

Betreiber sehen keinen Fehler

Als die Sicherheitslücke vor drei Wochen erstmals aufgezeigt wurde, schloss man bei Luca noch jedes Risiko aus. Es sei schlicht nicht möglich, über die eigenen Daten infizierten Code einzuschleusen. Diese Behauptung ist nun widerlegt. In einer Stellungnahme der Luca-Betreiber heißt es daraufhin, man habe nach Veröffentlichung des Videos weitere Sicherungsmaßnahmen ergriffen. Die eigentliche Schwachstelle liege allerdings bei dem Microsoft-Programm Excel, das die Ausführung von Schadcode ermögliche. Das Luca-System selbst sei sicher und lasse keinen Missbrauch zu. Weiter hieß es, das geschilderte Problem entstehe nur dann, wenn Mitarbeiter von Gesundheitsämtern die Warnmeldung ignorierten. Dem Unternehmen lägen keine Hinweise darauf vor, dass dies in der Praxis tatsächlich geschehen und ein Gesundheitsamt mit Malware infiziert worden sei.

 

Fazit

Seit Wochen zeigen Datenschützer immer wieder neue Probleme der Luca-App auf. Bereits Ende April hatten fast 300 IT-Experten gefordert, eine dezentrale Anwendung wie die Corona-Warn-App zu bevorzugen. Dennoch wird Luca in vielen Bundesländern zur Kontaktverfolgung eingesetzt.

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details