Luca-App-Demo: So infiziert man ein Gesundheitsamt mit Ransomware
Das Luca-System, mit dem Gesundheitsämter die Kontakt-Verfolgung von Events und Lokalitäten gewährleisten können sollen, steht von Beginn an in der Kritik. Der Vorwurf: Den Machern ist es gelungen, durch geschicktes Marketing - unter anderem mit Unterstützung eines prominenten Musikers, der selbst Geld in die Entwicklerfirma investiert hat - Steuergelder in zweistelliger Millionenhöhe für eine unausgereifte Lösung abzugreifen.
Nach diversen anderen Problemen stießen Sicherheitsexperten kürzlich auch auf das Problem, dass die Luca-App diverse Sonderzeichen im Formular zur Eingabe von Kontaktdaten akzeptiert. Das birgt das Risiko, dass hier Code eingeschleust werden kann. Der Chef der Entwicklerfirma, Patrick Hennig, behauptete kürzlich noch, dass trotzdem kein Risiko bestünde. "Eine Code Injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich", sagte er gegenüber der Zeit.
Der Sicherheitsexperte Marcus Mengs zweifelte schon damals an dieser Aussage - und beschäftigte sich in den letzten Tagen wohl genauer mit dem Problem. Am Ende behielt er Recht. Er zeigte jetzt in einem Demo-Video, wie Angreifer sehr wohl Code in das Backend der Gesundheitsämter einschleusen können. Wie hier zu sehen ist, kann dies dann ausgenutzt werden, um Daten aus den Behörden zu entwenden - was angesichts der dort vorgehaltenen sensiblen Informationen verschiedenster Art bereits ein gravierendes Problem darstellt.
Der bisherige Eindruck bestätigt sich somit: Die Bundesländer haben hier viel Steuergeld für eine App ausgegeben, die nicht nur unnütz ist, weil die offizielle Corona-Warn-App mit einer vergleichbaren Funktion ausgestattet wurde. Man ist auch auf das übliche Startup-Marketing hereingefallen und setzt die wichtigsten Behörden einem enormen Sicherheitsrisiko aus.
Nach diversen anderen Problemen stießen Sicherheitsexperten kürzlich auch auf das Problem, dass die Luca-App diverse Sonderzeichen im Formular zur Eingabe von Kontaktdaten akzeptiert. Das birgt das Risiko, dass hier Code eingeschleust werden kann. Der Chef der Entwicklerfirma, Patrick Hennig, behauptete kürzlich noch, dass trotzdem kein Risiko bestünde. "Eine Code Injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich", sagte er gegenüber der Zeit.
Der Sicherheitsexperte Marcus Mengs zweifelte schon damals an dieser Aussage - und beschäftigte sich in den letzten Tagen wohl genauer mit dem Problem. Am Ende behielt er Recht. Er zeigte jetzt in einem Demo-Video, wie Angreifer sehr wohl Code in das Backend der Gesundheitsämter einschleusen können. Wie hier zu sehen ist, kann dies dann ausgenutzt werden, um Daten aus den Behörden zu entwenden - was angesichts der dort vorgehaltenen sensiblen Informationen verschiedenster Art bereits ein gravierendes Problem darstellt.
Ein millionenschweres Sicherheitsririko
Es geht aber noch schlimmer. Mengs zeigte ebenso, dass auf diesem Weg auch Malware eingeschleust werden kann. Testweise wurde über das Luca-Backend eine Ransomware auf dem simulierten Rechner eines Gesundheitsamts-Mitarbeiters aktiv. Damit dies funktioniert, muss der User zwar die Warnungen der Microsoft Office-Software wegklicken, was aber in den meisten Fällen kein Hindernis für einen erfolgreichen Angriff sein dürfte. Damit wäre dann ein Gesundheitsamt mitten in einer wichtigen Phase direkt lahmgelegt - denn der entsprechende Datenabruf erfolgt in der Regel dann, wenn wirklich ein Corona-Ausbruch analysiert werden muss.Der bisherige Eindruck bestätigt sich somit: Die Bundesländer haben hier viel Steuergeld für eine App ausgegeben, die nicht nur unnütz ist, weil die offizielle Corona-Warn-App mit einer vergleichbaren Funktion ausgestattet wurde. Man ist auch auf das übliche Startup-Marketing hereingefallen und setzt die wichtigsten Behörden einem enormen Sicherheitsrisiko aus.
Siehe auch:
Kommentar abgeben
Netiquette beachten!
Bilder zum Thema Coronavirus
Videos zum Thema Coronavirus
-
Lieferprobleme auch bei Foto-Produkten: Das sind die Hintergründe
-
Super Bowl 2021: Ford macht Mut im Kampf gegen Corona
-
Gut sicht- und hörbar: Razer präsentiert High-Tech-Gesichtsmaske
-
Clever gegen Corona: Stadion setzt Drohnen zum Desinfizieren ein
-
Corona-Warn-App: Rundgang durch die Tracing-App des Bundes
Neue Downloads zum Thema
Beiträge aus dem Forum
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 07:45 Uhr 
Gaming Tastatur Mechanisch,Tronsmart Elite RGB Beleuchtung Wireless Tastatur Qwerty mit Schaltern 68 ABS Taste Mechanisch Tastatur Bluetooth Tastatur Gaming Tastatur kabellos
Gaming Tastatur Mechanisch,Tronsmart Elite RGB Beleuchtung Wireless Tastatur Qwerty mit Schaltern 68 ABS Taste Mechanisch Tastatur Bluetooth Tastatur Gaming Tastatur kabellos Original Amazon-Preis
68,98 €
Im Preisvergleich ab
68,99 €
Blitzangebot-Preis
55,19 €
Ersparnis zu Amazon 20% oder 13,79 €
Im WinFuture Preisvergleich
TengYou-EU Neue Nachrichten
- Vorsicht Vertrag: Drückerkolonnen stehen jetzt mit Glasfaser vor der Tür
- AOC U28G2X: Neuer 28" Gaming-Monitor mit 4K-HDR, IPS & 144 Hz
- China hängt bei der Forschung an grünen Technologien bald alle ab
- YouTube: Filme in zehn Minuten nacherzählt - drei Personen verhaftet
- Sepsis erkennen: KI versagt aufgrund falschen Trainings jämmerlich
- Microsoft: Die große Windows 11-Enthüllung ab 17 Uhr im Livestream
- Lex Drachenlord: YouTuber bekommt von Gemeinde eigenes "Gesetz"
Videos
Neueste Downloads
Beliebt im Preisvergleich
- Sicherheit & Backup:
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
WinFuture Mobil
Auch Unterwegs bestens informiert!Nachrichten und Kommentare auf
dem Smartphone lesen.
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Affiliate-Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen