Der IT-Sicherheitsexperte Marcus Mengs hat in einem am Mittwoch veröffentlichten Video  vorgeführt, wie er ein an die Luca-App angebundenes Gesundheitsamt lahmlegen könnte. Es handelt sich um einen Angriff, von dem Luca-Chef Patrick Hennig noch Anfang Mai  gesagt hatte, dass er nicht möglich sei. Für Gesundheitsämter, die Lucas Nutzerdaten zu Check-ins bei Veranstaltungen oder in der Gastronomie zur Kontaktnachverfolgung von Corona-Infizierten verwenden, wird das System dadurch unter Umständen zur Gefahr.

Im Video ist zu sehen, wie Mengs zunächst die Daten anderer Luca-Nutzerinnen und -Nutzer abgreift, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen. In einem weiteren Angriff schleust er einen Verschlüsselungstrojaner ins System des Gesundheitsamts ein – eine Erpresser-Schadsoftware, die Dateien und Laufwerke verschlüsselt und damit unbrauchbar macht.

Beide Angriffe funktionieren mit sogenannten code injections. Die sind im Video nicht zu sehen, wahrscheinlich, um Angreifern keine Tipps zu geben, laufen aber im Prinzip wie folgt ab: Mengs fügt als Luca-Nutzer bestimmte Sonderzeichen in die Eingabefelder für seine eigenen Daten ein, beispielsweise ins Feld für die Postleitzahl seiner Anschrift. Luca exportiert die Daten als CSV-Datei ans Gesundheitsamt. Wird die Datei dort mit Microsoft Excel geöffnet, interpretiert Excel die Sonderzeichen automatisch als Formel, und die Formel kann auszuführende Befehle enthalten.

Klingt nach einem Fehler von Microsoft, ist aber einer von Luca

Die Folge: »Grundsätzlich kann ein Angreifer beliebigen Code ausführen – mit den Rechten des am PC angemeldeten Nutzers«, wie Mengs dem SPIEGEL erklärte. Sprich: Täter könnten auf alles zugreifen, auf das auch die Person im Gesundheitsamt zugreifen kann. Was sich nach einem Fehler von Microsoft anhört, ist tatsächlich einer von Luca. Denn in Excel gibt es legitime und längst etablierte Einsatzszenarien für die Funktion, deshalb müsste Luca sicherstellen, dass die App saubere, also ungefährliche Daten liefert.

Dass die an sich altbekannte potenzielle Sicherheitslücke von Luca nicht von vornherein ausgeschlossen wird, ist seit dem 4. Mai öffentlich bekannt. Zu diesem Zeitpunkt gab es noch keine Demonstration der Lücke, sondern nur eine theoretische Beschreibung. Auf Anfrage von »Zeit Online« sagte Patrick Henning damals, Sonderzeichen seien erlaubt, da sie in Namen vorkämen. Aber: »Eine code injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich.« Denn sollte im Namen Schadcode enthalten sein, werde dieser von einer Software-Bibliothek namens React, die Luca nutzt, entsprechend behandelt, und es werde »sichergestellt, dass hier kein Schaden entsteht«. Hinzu kämen »sicherlich« noch Schutzvorkehrungen in der Fachanwendung Sormas, die von den Gesundheitsämtern verwendet wird.

Ob eine rigorose Datenbereinigung aber wirklich immer und in allen Ämtern, die Luca nutzen, stattfindet, ist fraglich. Mengs ist sich jedenfalls sicher, dass seine Angriffe so wie von ihm vorgeführt funktionieren, sofern ein Gesundheitsamt die von Luca exportierten CSV-Dateien mit den darin enthaltenen manipulierten Einträgen zunächst in Excel öffnet.

Auf eine aktuelle Frage zur Aussage von Luca-Chef Henning, dass ein Angriff über Code Injection nicht möglich sei, hat NeXenio, die Firma hinter Luca, nicht direkt geantwortet. NeXenio stellt es in einem Statement am Mittwoch aber so dar, als habe man »heute« und »durch eine Medienanfrage und per Twitter« von der Angriffsmöglichkeit erfahren, nicht schon vor mehreren Wochen.

Ein Selbstläufer wären die Angriffe allerdings nicht. Vor dem Datenabgriff würde Excel einen Warnhinweis einblenden, der vor einem potenziellen Sicherheitsrisiko warnt und lautet: »Diese Arbeitsmappe enthält WEBDIENST-Funktionen, die Inhalte aus dem Internet empfangen. Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle dieser Datei vertrauen.« Klickt die Mitarbeiterin oder der Mitarbeiter im Gesundheitsamt auf »Aktivieren«, landen alle Nutzerdaten zu einer Luca-Location beim Angreifer. Diese Daten enthalten unter anderem die Namen, Adressen und Besuchszeiten aller Personen, die sich mit Luca in der Location – zum Beispiel einem Restaurant oder bei einer Veranstaltung – eingecheckt haben. Dass Mitarbeiterinnen oder Mitarbeiter eines Gesundheitsamts einen Angriff trotz Warnhinweis versehentlich zulassen, kann angesichts der Arbeitsbelastung in den Ämtern und der eher schwammigen Warnmeldung durchaus vorkommen, muss es aber nicht.

Die Installation einer Ransomware löst in Mengs Beispielangriff sogar drei Warnmeldungen hintereinander aus. Erst wenn jemand die passenden Buttons klickt, ist der Angriff erfolgreich.

Linus Neumann, einer der Sprecher des Chaos Computer Clubs (CCC), konnte die Angriffsmethoden prüfen und nachvollziehen. Er sagt: »Die Schwachstellen sind eklatant und die Reaktionen der Betreiber jedes Mal katastrophal. Für die Bundesländer ist es jetzt an der Zeit, diesem Drama ein Ende zu bereiten.« Der CCC spricht sich schon seit Längerem dafür aus, den Einsatz von Luca zu stoppen. Als Grund nennt der Club eine »nicht abreißende Serie von Sicherheitsproblemen«.

Luca-Entwickler halten Schäden für unwahrscheinlich

NeXenio bezeichnet das von Mengs beschriebene Problem nicht als Sicherheitslücke, sondern spricht von einem »potenziellen Missbrauch« des Luca-Systems. Eine Schwachstelle gebe es allenfalls in Excel, heißt es in einem Statement des Unternehmens. Es sei zudem »sehr wichtig«, Warnhinweise in Excel »sorgsam zu lesen und nicht direkt wegzuklicken. Darüber hinaus ist es ratsam zu überprüfen, inwiefern die Empfehlungen des BSI im jeweiligen Gesundheitsamt bereits umgesetzt werden«.

Luca selbst habe bereits Filter implementiert gehabt, »welche im Vorfeld die CSV/Excel Dateien nach Zeichen und Formeln scannen«. Und weiter: »Heute Vormittag haben wir diesen Filter noch zusätzlich um eine sogenannte Allow List an Zeichen erweitert, damit böswillige Angreifer:innen diese Excel Lücke nicht mehr ausnutzen können.«