Die Katze im Sack gekauft

Das Startup Nexenio hat das System seit September 2020 aus eigenem Antrieb heraus entwickelt. Mitte bis Ende Februar wurde damit begonnen, das System an die Gesundheitsämter zu verteilen.

Stellenmarkt
  1. SAP-Inhouse Senior Consultants (m/w/d) mit dem Schwerpunkt Betriebswirtschaft
    Landschaftsverband Rheinland, Köln
  2. IT-Strategiemanager*in (m/w/d)
    Stadtwerke München GmbH, München
Detailsuche

Bekannt wurde Luca erst, als der Musiker Smudo Werbung dafür machte und im März ein Bundesland nach dem anderen entschied, das System einzusetzen und Lizenzen zu kaufen. Und das, ohne zuvor den Code auf Sicherheitsprobleme geprüft zu haben.

In diesem Fall zeigen sich mehrere Probleme der föderalen Struktur. Denn die Länder verfügen zwar ebenso wie der Bund über eigene Datenschutzbehörden, jedoch nicht über vergleichbare Behörden wie das BSI. Daher ließen die Länder das Luca-System zwar von ihren Datenschützern prüfen. Ein fundiertes Audit des Codes gab es jedoch nicht.

Eine Anfrage von Golem.de, warum bei der Luca-App zwar der Datenschutz, aber nicht die IT-Sicherheit geprüft wurde, hat die Berliner Senatsverwaltung für Gesundheit bislang nicht beantwortet.

BSI lässt nur Apps testen

Golem Akademie
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    26.07.2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    03.06.2022, virtuell
Weitere IT-Trainings

Dem BSI wiederum sind die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu überprüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die App-Versionen von externen Anbietern testen.

"Das App-Testing-Portal ist ein Angebot des BSI an die Bundesverwaltung, um den Einsatz von Apps auf Dienst-IT im VS-Umfeld überprüfen zu lassen. Diese Tests haben eine begrenzte Prüftiefe und beziehen sich explizit ausschließlich nur auf die mobile Anwendung", teilte die Behörde auf Anfrage von Golem.de mit.

Nun hat Nexenio-Chef Pascal Hennig selbst im Gespräch mit Golem.de gesagt: "90 Prozent der Entwicklung ist für das System dahinter aufgewendet worden, die App ist 'dummes Frontend'". Daher war die Prüfung der Apps von Anfang an wenig aussagekräftig. Auch behauptete Hennig noch Anfang Mai 2021: "Bis heute gab es keine einzige Sicherheitslücke. Alles, was als vermeintliche Sicherheitslücke tituliert war, sind bewusste Entscheidungen zugunsten der Datensparsamkeit gewesen."

Unzureichend gelöste Sicherheitsprobleme

Diese Aussage trifft spätestens seit Ende Mai nicht mehr zu. Denn da veröffentlichte Mengs ein Video, in dem er eine Code-Injection per Excel-Dateien demonstrierte. Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.

Besonders peinlich für Luca: Die Gefahr durch Code-Injections war längst bekannt. Hennig bezeichnete diese Möglichkeit im Gespräch mit Golem.de dennoch als unzutreffend. Die erforderlichen Sonderzeichen würden beim Entschlüsseln der Daten für die Gesundheitsämter und beim Import in deren Sormas-System herausgefiltert. "Ein Angriff ist nicht möglich", sagte er.

BSI weist Luca zurecht

In einer Stellungnahme erklärten die Luca-Entwickler gar, dass die Möglichkeit einer Ausführung von Schadcode im behördlichen Umfeld nicht gegeben sei, da dort üblicherweise Office-Makros deaktiviert würden. Dabei beweist der Emotet-Befall mehrerer Behörden das Gegenteil, denn auch diese Schadsoftware setzte auf Makros. Letztlich sah sich das BSI genötigt, auf Twitter klarzustellen, dass Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden einer Makro-Ausführung, "keine ausreichende Sicherheitsmaßnahme" darstelle.

Selbst die von Luca anschließend eingespielten Patches haben nach Ansicht von Mengs die Probleme nicht wirklich behoben. Sein Resümee: "Man hat weder 'CSV Injection' als Problem durchdrungen, noch ist man sich über den Datenfluss im eigenen Software-Projekt im Klaren."

Ist das ganze System also wirklich "irreparabel kaputt", wie es der Chaos Computer Club behauptet hat? Oder sind die Programmierer von Nexenio einfach nur unfähig, sicheren Code zu schreiben? Und wann wäre der Punkt erreicht, an dem die Behörden die Nutzung von Luca aus Sicherheitsgründen stoppen müssten?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Luca-App: Wo ist das BSI, wenn man es mal braucht?Keine Code-Überprüfung durch das BSI 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


023,-+ 15. Feb 2022

hat man in so einem Fall ein "Rücktrittsrecht", sprich: Geld zurück? Zum Zeitpunkt des...

My1 17. Jan 2022

naja ein halbes Jahr später wurden Luca daten einfach mal missbraucht, ups

hormei 03. Jul 2021

Was spricht gegen die Verwendung von Schmudo2Go? wolf128058.gitlab.io schmudo2go

mackes 28. Jun 2021

In der Realität sind Papierlisten aber zumindest in der Gastronomie eher die Regel. Die...



Aktuell auf der Startseite von Golem.de
Kitty Lixo
Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten

Laut einer Sexdarstellerin muss man nur die richtigen Leute bei Facebook sehr intim kennen, um seinen Instagram-Account immer wieder zurückzubekommen.

Kitty Lixo: Nach Sex mit Mitarbeitern Instagram-Account zurückerhalten
Artikel
  1. Ebay-Kleinanzeigen: Im Chat mit den Phishing-Betrügern
    Ebay-Kleinanzeigen
    Im Chat mit den Phishing-Betrügern

    Wenn man bestimmte Anzeigen in Kleinanzeigenportalen aufgibt, hat man sofort einen Betrüger an der Backe. Die Polizei kann kaum etwas dagegen tun.
    Ein Bericht von Friedhelm Greis

  2. Musikstreaming: Audi bringt Apple Music ins Auto
    Musikstreaming
    Audi bringt Apple Music ins Auto

    Audi integriert den Streamingdienst Apple Music in das Infotainmentsystem seiner Fahrzeuge. Ein Smartphone-Kopplung ist nicht notwendig.

  3. Autos: Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein
    Autos
    Mercedes' Luxuskurs könnte das Aus für A- und B-Klasse sein

    Mercedes definiert sich neu als Luxuskonzern. Das könnte auch das Ende für die Einsteiger-Modelle bedeuten, weil mit diesen kaum Geld zu verdienen ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 87€ Rabatt auf SSDs • PNY RTX 3080 12GB günstig wie nie: 974€ • Razer Basilisk V3 Gaming-Maus 44,99€ • PS5-Controller + Samsung SSD 1TB 176,58€ • MindStar (u. a. MSI RTX 3090 24GB Suprim X 1.790€) • Gigabyte Waterforce Mainboard günstig wie nie: 464,29€ [Werbung]
    •  /