Die Katze im Sack gekauft

Das Startup Nexenio hat das System seit September 2020 aus eigenem Antrieb heraus entwickelt. Mitte bis Ende Februar wurde damit begonnen, das System an die Gesundheitsämter zu verteilen.

Bekannt wurde Luca erst, als der Musiker Smudo Werbung dafür machte und im März ein Bundesland nach dem anderen entschied, das System einzusetzen und Lizenzen zu kaufen. Und das, ohne zuvor den Code auf Sicherheitsprobleme geprüft zu haben.

In diesem Fall zeigen sich mehrere Probleme der föderalen Struktur. Denn die Länder verfügen zwar ebenso wie der Bund über eigene Datenschutzbehörden, jedoch nicht über vergleichbare Behörden wie das BSI. Daher ließen die Länder das Luca-System zwar von ihren Datenschützern prüfen. Ein fundiertes Audit des Codes gab es jedoch nicht.

Eine Anfrage von Golem.de, warum bei der Luca-App zwar der Datenschutz, aber nicht die IT-Sicherheit geprüft wurde, hat die Berliner Senatsverwaltung für Gesundheit bislang nicht beantwortet.

BSI lässt nur Apps testen

Dem BSI wiederum sind die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu überprüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die App-Versionen von externen Anbietern testen.

"Das App-Testing-Portal ist ein Angebot des BSI an die Bundesverwaltung, um den Einsatz von Apps auf Dienst-IT im VS-Umfeld überprüfen zu lassen. Diese Tests haben eine begrenzte Prüftiefe und beziehen sich explizit ausschließlich nur auf die mobile Anwendung", teilte die Behörde auf Anfrage von Golem.de mit.

Nun hat Nexenio-Chef Pascal Hennig selbst im Gespräch mit Golem.de gesagt: "90 Prozent der Entwicklung ist für das System dahinter aufgewendet worden, die App ist 'dummes Frontend'". Daher war die Prüfung der Apps von Anfang an wenig aussagekräftig. Auch behauptete Hennig noch Anfang Mai 2021: "Bis heute gab es keine einzige Sicherheitslücke. Alles, was als vermeintliche Sicherheitslücke tituliert war, sind bewusste Entscheidungen zugunsten der Datensparsamkeit gewesen."

Unzureichend gelöste Sicherheitsprobleme

Diese Aussage trifft spätestens seit Ende Mai nicht mehr zu. Denn da veröffentlichte Mengs ein Video, in dem er eine Code-Injection per Excel-Dateien demonstrierte. Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.

Besonders peinlich für Luca: Die Gefahr durch Code-Injections war längst bekannt. Hennig bezeichnete diese Möglichkeit im Gespräch mit Golem.de dennoch als unzutreffend. Die erforderlichen Sonderzeichen würden beim Entschlüsseln der Daten für die Gesundheitsämter und beim Import in deren Sormas-System herausgefiltert. "Ein Angriff ist nicht möglich", sagte er.

BSI weist Luca zurecht

In einer Stellungnahme erklärten die Luca-Entwickler gar, dass die Möglichkeit einer Ausführung von Schadcode im behördlichen Umfeld nicht gegeben sei, da dort üblicherweise Office-Makros deaktiviert würden. Dabei beweist der Emotet-Befall mehrerer Behörden das Gegenteil, denn auch diese Schadsoftware setzte auf Makros. Letztlich sah sich das BSI genötigt, auf Twitter klarzustellen, dass Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden einer Makro-Ausführung, "keine ausreichende Sicherheitsmaßnahme" darstelle.

Selbst die von Luca anschließend eingespielten Patches haben nach Ansicht von Mengs die Probleme nicht wirklich behoben. Sein Resümee: "Man hat weder 'CSV Injection' als Problem durchdrungen, noch ist man sich über den Datenfluss im eigenen Software-Projekt im Klaren."

Ist das ganze System also wirklich "irreparabel kaputt", wie es der Chaos Computer Club behauptet hat? Oder sind die Programmierer von Nexenio einfach nur unfähig, sicheren Code zu schreiben? Und wann wäre der Punkt erreicht, an dem die Behörden die Nutzung von Luca aus Sicherheitsgründen stoppen müssten?