Luca-App: Sicherheitslücke ermöglicht Malware-Angriffe auf Gesundheitsämter

Problem bekannt

Schon vor drei Wochen seien die Betreiber der App auf das Risiko hingewiesen worden, erklärt Cybersecurity-Experte Marcus Mengs gegenüber der Wochenzeitung „Die Zeit“. Geändert habe sich seitdem offenbar nichts. Nach wie vor könnten Luca-Nutzer bei der Registrierung beliebige Sonderzeichen für Name und Adresse verwenden – und geübte Hacker auf diese Weise Schadprogramme transportieren. Wird eine so manipulierte Datei zur Kontaktnachverfolgung entschlüsselt und geöffnet, ist die Malware schon fast im System. In Mengs‘ Video erscheint zunächst noch eine Warnung von Microsoft vor möglicherweise gefährlichen Inhalten: Man solle nur Daten aus vertrauenswürdigen Quellen verwenden. Dazu dürften Behörden-Mitarbeiter die Luca-App zweifellos zählen. Mit dem Klick auf „Aktivieren“ ist es allerdings bereits zu spät. Die Malware beginnt, sensible Daten auszulesen oder das System unbrauchbar zu machen.

Betreiber sehen keinen Fehler

Als die Sicherheitslücke vor drei Wochen erstmals aufgezeigt wurde, schloss man bei Luca noch jedes Risiko aus. Es sei schlicht nicht möglich, über die eigenen Daten infizierten Code einzuschleusen. Diese Behauptung ist nun widerlegt. In einer Stellungnahme der Luca-Betreiber heißt es daraufhin, man habe nach Veröffentlichung des Videos weitere Sicherungsmaßnahmen ergriffen. Die eigentliche Schwachstelle liege allerdings bei dem Microsoft-Programm Excel, das die Ausführung von Schadcode ermögliche. Das Luca-System selbst sei sicher und lasse keinen Missbrauch zu. Weiter hieß es, das geschilderte Problem entstehe nur dann, wenn Mitarbeiter von Gesundheitsämtern die Warnmeldung ignorierten. Dem Unternehmen lägen keine Hinweise darauf vor, dass dies in der Praxis tatsächlich geschehen und ein Gesundheitsamt mit Malware infiziert worden sei.

Fazit

Seit Wochen zeigen Datenschützer immer wieder neue Probleme der Luca-App auf. Bereits Ende April hatten fast 300 IT-Experten gefordert, eine dezentrale Anwendung wie die Corona-Warn-App zu bevorzugen. Dennoch wird Luca in vielen Bundesländern zur Kontaktverfolgung eingesetzt.

eRecht24 Praxis Guide

Rechtssichere Webseiten:
Alles, was Sie wissen müssen

In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.

Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.

Jetzt Guide sichern

Vielen Dank!

Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.

Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.

Jetzt Webseite Absichern