Hacker können Gesundheitsämter über Luca angreifen – Seite 1

Durch eine gravierende Sicherheitslücke in der Luca-App könnten Verschlüsselungstrojaner in Gesundheitsämter geschleust werden. Das zeigt der Sicherheitsforscher Marcus Mengs in einem am Mittwoch veröffentlichten Video. Die Lücke ist eine von mehreren Schwachstellen in der Check-in-App, die Sicherheitsforscherinnen in den vergangenen Monaten demonstriert haben – und sicherlich eine der schwerwiegendsten. Potenziell könnten dadurch persönliche Daten ausspioniert oder ganze Gesundheitsämter lahmgelegt werden.

 "Aktivieren Sie diese Inhalte nur, wenn Sie der Quelle der Datei vertrauen" – das könnte das Letzte sein, was ein Gesundheitsamtsmitarbeiter sieht, bevor all seine Dateien verschlüsselt werden. Diese Warnung gibt Excel im Video aus, offenbar weil eine automatische Prüfung in der Microsoft-Software Auffälligkeiten erkennt. "Luca hat ja immer gesagt, sie seien eine Quelle, der man vertrauen kann", sagt Mengs.

Auch deshalb hält Mengs es für realistisch, dass ein Mitarbeiter im Gesundheitsamt, noch dazu in der Eile der Kontaktnachverfolgung, die Inhalte einer CSV-Datei trotz Warnung in eine Excel-Tabelle übernimmt. "Und noch bevor deren Inhalt angezeigt wird, ist sein Computer verschlüsselt", sagt Mengs. So kann es geschehen, wenn ein böswilliger Angreifer die Sicherheitslücke ausnutzt, die zum Zeitpunkt der Veröffentlichung des Videos nach wie vor bestand. "Man kann damit einen kompletten Rechner übernehmen", sagt Mengs. Zudem könne sich die Schadsoftware innerhalb eines Gesundheitsamts weiter verbreiten, beispielsweise auf angebundene Systeme. Wenn die Software Sormas X in den kommenden Wochen implementiert wird, sind die Ämter zudem untereinander vernetzt – dann wäre es grundsätzlich auch möglich, dass sich eine Schadsoftware von einem zum anderen verbreitet.

Die App Luca soll Gesundheitsämtern dabei helfen, Kontakte von mit dem Coronavirus infizierten Menschen nachzuverfolgen. Im Video zeigt Mengs den Prozess, der abläuft, nachdem ein Gesundheitsamt von einer infizierten Nutzerin in einer Bar erfahren hat. Er demonstriert das in einer von ihm eingerichteten Installation der Software auf Basis des öffentlich einsehbaren Quellcodes – also nicht im laufenden Betrieb. Als Mitarbeiter eines fiktiven Gesundheitsamts ruft er über Luca die Daten der ebenfalls fiktiven Besucher ab, die zur gleichen Zeit wie die infizierte Person vor Ort waren. Um die kompletten Kontaktdaten sehen zu können, exportiert er den Datensatz aus Luca und öffnet die Datei in Excel. Im Beispiel befindet sich unter den eingecheckten Nutzern der Bar auch der Check-in eines Angreifers, in dessen Nutzerdaten Schadcode enthalten ist. Sobald der in Excel importiert wurde, richten die Computerviren ihr Unheil an: Sie stehlen Daten und verschlüsseln den Computer. "Man sieht hier die Datenautobahn für den Hacker", sagt Mengs.

Warnung schon vor Wochen

Eine solche Attacke wird "CSV-Injection" genannt. Eine CSV-Datei ist gewissermaßen die Rohform einer Tabelle. Alle Werte sind darin – durch Kommata separiert – in Textform gespeichert. Werden diese Informationen nun in eine Software eingelesen, zum Beispiel Microsoft Excel, kann beispielsweise jede Zelle, deren Wert mit einem "=" beginnt, als Formel interpretiert werden. In die CSV-Datei kommen diese Zeichen, wenn sie Teil des Namens oder der Adresse einer eingecheckten Person sind. Es ist offenbar noch immer möglich, sich in der Luca-App mit beliebigen Sonderzeichen im Namen und Adressdaten zu registrieren.

All das ist auch deshalb bemerkenswert, weil Patrick Hennig, der CEO von Nexenio, der Firma, die Luca entwickelt hatte, vor einigen Wochen auf Nachfrage sagte, eine solche Attacke sei nicht möglich. ZEIT ONLINE hatte Anfang Mai über die Sorge von Gesundheitsämtern vor CSV-Injections berichtet. Sie seien ohnehin ständig digitalen Angriffen ausgesetzt, sagte der Dezernent für Soziales und Gesundheit der Städteregion Aachen, Michael Ziemons, damals. Nach den vielen bereits veröffentlichten Sicherheitsproblemen hatte er die Zusammenarbeit mit Nexenio beendet. Schließlich könne potenziell jede Schwachstelle im Luca-System direkt auch eine Schwachstelle im System des Gesundheitsamts werden. "Und es klingt nicht so, als könnte man denen vertrauen", sagte Ziemons.  Auch andere Interviewpartner – unter anderem auch Marcus Mengs – hatten bereits damals vor der Gefahr von CSV-Injections gewarnt.

Hennig sagte damals, das Luca-System treffe ausreichende Vorkehrungen, um solche Angriffe zu verhindern. Im offengelegten Luca-Quellcode lässt sich nachvollziehen, welche Änderungen wann gemacht werden. Eine Funktion des Programms, die Sonderzeichen in Namen betrifft, wurde an dem Tag hinzugefügt, an dem ZEIT ONLINE eine entsprechende Anfrage an Nexenio geschickt hatte, was die Frage aufwirft, ob die Anfrage die Luca-Macher erst auf die Idee brachte, das Problem anzugehen. Die getroffenen Vorkehrungen sind allerdings lückenhaft. "Das zeigt, dass sie das Problem nicht verstanden haben", sagt Mengs. Spätestens bei Sicherheitstests hätte auffallen müssen, dass die Lücke nach wie vor besteht. Dass offenbar weder entsprechende Tests stattfinden noch das Problem verstanden werde, ärgert Mengs, der schon mehrere andere Probleme im Code der Fachanwendung gefunden hatte. "Das alles zeigt, dass Nexenio seiner Verantwortung nicht gewachsen ist."

Auf Nachfrage von ZEIT ONLINE erklärte Nexenio am Mittwoch, die Lücke wenige Stunden nach Veröffentlichung des Videos geschlossen zu haben. Man habe sich in Sachen CSV-Injection an die Empfehlungen von OWASP, einer IT-Sicherheits-NGO, gehalten. "Wir haben trotzdem zur Sicherheit beim Exportieren die Filterung (…) noch erweitert, um auch zusätzliche Sonderzeichen zu entfernen, damit auch in Excel Schadcode keine ungewollten Probleme verursachen kann. Damit ist der Angriff auch jetzt schon nicht mehr möglich", so Patrick Hennig schriftlich. Er verweist außerdem darauf, dass Excel eine Warnung ausgibt und "im behördlichen Umfeld" üblicherweise so konfiguriert werde, dass es keine Codes ausführe.

Ransomware ungefähr das Letzte, was man inmitten einer Pandemie in Gesundheitsämtern braucht – denn damit würden sie handlungsunfähig. Die Angriffsmethode, Daten zu verschlüsseln und nur gegen hohe Lösegeldforderungen wieder freizugeben, nimmt zu, weil sie lukrativ ist für die Täter. Abwegig ist dieses Szenario nicht: Krankenhäuser berichten von massiven Angriffsversuchen gerade in der Pandemie – schließlich ist auch klar, dass sich hier Geld machen lässt. Jeder Tag, den ein Krankenhaus oder ein Gesundheitsamt arbeitsunfähig ist, verursacht hohe Schäden, von daher dürfte die Bereitschaft hoch sein, viel Lösegeld zu bezahlen.

Keine freundliche Warnung mehr

Ein tatsächlicher Angriffsversuch auf Gesundheitsämter könnte in der Realität in vielerlei Sackgassen laufen: Neben dem Export von CSV-Dateien bietet Luca auch den Export für die Fachanwendung Sormas oder den direkten Excel-Export an. Das Problem besteht für den CSV-Export und den Sormas-Export. "Im Web-Frontend sieht der Mitarbeiter nicht alle Daten", erklärt Mengs, "er muss sie herunterladen." Zudem sieht die Mitarbeiterin mindestens eine Warnung von Excel, die sie wegklicken muss. Das tut vielleicht nicht jede. "Aber ich bin mir sicher, dass es einige tun würden", sagt Mengs, gerade bei der Kontaktnachverfolgung, wo es schnell gehen muss. "Für den sogenannten 'Initial Compromise', also für den Beginn eines komplexen Angriffes, genügt allerdings genau ein Mitarbeiter, der diesen Fehler macht."

Ein solcher Angriff funktioniere über die Masse, sagt Mengs: Ein Angreifer könne jeden Tag Tausende Nutzerinnen anlegen. Wie einfach das möglich ist, demonstrierte kürzlich auch die Künstlergruppe Peng!. In jedem dieser Nutzerprofile könnte Schadcode hinterlegt werden und es könnte in jede Location eingecheckt werden, von der ein QR-Code zu finden ist, erklärt Mengs. "Die Wahrscheinlichkeit, ein Gesundheitsamt mit solchen Angriffen zu treffen, erhöht sich damit dramatisch."

Dass das Angriffsszenario realistisch ist, bestätigt auch Linus Neumann, Sprecher des Chaos Computer Clubs, der die Schwachstelle geprüft und bewertet hat. "Ein Angreifer kann darüber beliebigen Code ausführen lassen", sagt er. Es sei möglich, durch die Schwachstelle Patientendaten herunterzuladen, beliebige Daten zu löschen oder Schadsoftware wie Ransomware nachzuladen.  

Warnungen wie die von Excel würden selten ernst genommen, weil sie auch bei legitimer Nutzung häufig auftreten. "Die Menschen sind dazu erzogen worden, solche Warnungen wegzuklicken", sagt er. "Die Sicherheit der Gesundheitsämter bei der Verarbeitung von Luca-Daten darf nicht davon abhängen, dass Excel eine Warnung ausgibt. Luca muss sichere Daten liefern."

Besonders problematisch sei, dass bereits vor dem Problem gewarnt wurde, Nexenio darauf aber nicht adäquat reagiert habe. "Luca hat das Risiko – wie immer – kleingeredet, statt es ernst zu nehmen." Die Schwachstelle sei in wenigen Minuten zu beheben, "was es umso schlimmer macht, dass Nexenio den Fehler überhaupt gemacht und dann auch noch herumdiskutiert hat, statt sauber zu arbeiten".

Ähnlich argumentiert auch Marcus Mengs in seinem Video. Üblicherweise informieren Sicherheitsexpertinnen den Hersteller einer Software, bevor sie eine Lücke veröffentlichen, sodass die Schwachstelle geschlossen werden kann. Das sei hier nicht nötig – die Lücke sei ja längst bekannt.  Die IT-Security-Community habe inzwischen eine ganze Reihe an Sicherheitslücken gemeldet, sagt Neumann, "und Nexenio hat diese jedes einzelne Mal geleugnet. Wer sich so unaufrichtig verhält, bekommt irgendwann keinen freundlichen Hinweis mehr".

Hinweis: Dieser Artikel wurde am 26.05.2021 um die Antworten des Unternehmens Nexenio auf unsere Nachfragen ergänzt.