Die Katze im Sack gekauft

Das Startup Nexenio hat das System seit September 2020 aus eigenem Antrieb heraus entwickelt. Mitte bis Ende Februar wurde damit begonnen, das System an die Gesundheitsämter zu verteilen.

Stellenmarkt
  1. JAVA Entwickler (m/w/d)
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München, Regensburg, Villingen-Schwenningen
  2. Automation Engineer - Robotic Process Automation (w/m/d)
    dm-drogerie markt GmbH + Co. KG, Karlsruhe
Detailsuche

Bekannt wurde Luca erst, als der Musiker Smudo Werbung dafür machte und im März ein Bundesland nach dem anderen entschied, das System einzusetzen und Lizenzen zu kaufen. Und das, ohne zuvor den Code auf Sicherheitsprobleme geprüft zu haben.

In diesem Fall zeigen sich mehrere Probleme der föderalen Struktur. Denn die Länder verfügen zwar ebenso wie der Bund über eigene Datenschutzbehörden, jedoch nicht über vergleichbare Behörden wie das BSI. Daher ließen die Länder das Luca-System zwar von ihren Datenschützern prüfen. Ein fundiertes Audit des Codes gab es jedoch nicht.

Eine Anfrage von Golem.de, warum bei der Luca-App zwar der Datenschutz, aber nicht die IT-Sicherheit geprüft wurde, hat die Berliner Senatsverwaltung für Gesundheit bislang nicht beantwortet.

BSI lässt nur Apps testen

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Dem BSI wiederum sind die Hände gebunden, wenn es darum geht, IT-Systeme privater Anbieter zu überprüfen. Lediglich im Zusammenhang mit seinem App-Testing-Portal ließ die Behörde die App-Versionen von externen Anbietern testen.

"Das App-Testing-Portal ist ein Angebot des BSI an die Bundesverwaltung, um den Einsatz von Apps auf Dienst-IT im VS-Umfeld überprüfen zu lassen. Diese Tests haben eine begrenzte Prüftiefe und beziehen sich explizit ausschließlich nur auf die mobile Anwendung", teilte die Behörde auf Anfrage von Golem.de mit.

Nun hat Nexenio-Chef Pascal Hennig selbst im Gespräch mit Golem.de gesagt: "90 Prozent der Entwicklung ist für das System dahinter aufgewendet worden, die App ist 'dummes Frontend'". Daher war die Prüfung der Apps von Anfang an wenig aussagekräftig. Auch behauptete Hennig noch Anfang Mai 2021: "Bis heute gab es keine einzige Sicherheitslücke. Alles, was als vermeintliche Sicherheitslücke tituliert war, sind bewusste Entscheidungen zugunsten der Datensparsamkeit gewesen."

Unzureichend gelöste Sicherheitsprobleme

Diese Aussage trifft spätestens seit Ende Mai nicht mehr zu. Denn da veröffentlichte Mengs ein Video, in dem er eine Code-Injection per Excel-Dateien demonstrierte. Dies hätte beim Öffnen von Teilnehmerlisten in den Gesundheitsämtern zu Sicherheitsproblemen führen können.

Besonders peinlich für Luca: Die Gefahr durch Code-Injections war längst bekannt. Hennig bezeichnete diese Möglichkeit im Gespräch mit Golem.de dennoch als unzutreffend. Die erforderlichen Sonderzeichen würden beim Entschlüsseln der Daten für die Gesundheitsämter und beim Import in deren Sormas-System herausgefiltert. "Ein Angriff ist nicht möglich", sagte er.

BSI weist Luca zurecht

In einer Stellungnahme erklärten die Luca-Entwickler gar, dass die Möglichkeit einer Ausführung von Schadcode im behördlichen Umfeld nicht gegeben sei, da dort üblicherweise Office-Makros deaktiviert würden. Dabei beweist der Emotet-Befall mehrerer Behörden das Gegenteil, denn auch diese Schadsoftware setzte auf Makros. Letztlich sah sich das BSI genötigt, auf Twitter klarzustellen, dass Schutzmaßnahmen Dritter, etwa zusätzliches Unterbinden einer Makro-Ausführung, "keine ausreichende Sicherheitsmaßnahme" darstelle.

Selbst die von Luca anschließend eingespielten Patches haben nach Ansicht von Mengs die Probleme nicht wirklich behoben. Sein Resümee: "Man hat weder 'CSV Injection' als Problem durchdrungen, noch ist man sich über den Datenfluss im eigenen Software-Projekt im Klaren."

Ist das ganze System also wirklich "irreparabel kaputt", wie es der Chaos Computer Club behauptet hat? Oder sind die Programmierer von Nexenio einfach nur unfähig, sicheren Code zu schreiben? Und wann wäre der Punkt erreicht, an dem die Behörden die Nutzung von Luca aus Sicherheitsgründen stoppen müssten?

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Luca-App: Wo ist das BSI, wenn man es mal braucht?Keine Code-Überprüfung durch das BSI 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Software
Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise

Teslas Autos haben viel Elektronik an Bord, doch die Chipkrise scheint dem Unternehmen nichts anzuhaben. Elon Musk verrät, wie das geschafft wurde.

Software: Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise
Artikel
  1. Sexismus: Mitarbeiter von Blizzard wenden sich gegen Management
    Sexismus
    Mitarbeiter von Blizzard wenden sich gegen Management

    Der Konflikt bei Activision Blizzard eskaliert, die Arbeit an World of Warcraft soll weitgehend eingestellt sein.

  2. Surface: Microsoft patentiert ungewöhnliches Scharnier für Notebooks
    Surface
    Microsoft patentiert ungewöhnliches Scharnier für Notebooks

    Baut Microsoft ein neues Surface-Gerät? Patentgrafiken zeigen zumindest ein bisher unbekanntes Gerät mit einem ungewöhnlichen Scharnier.

  3. Unwetter: Wie viel Hochwasser verträgt ein Elektroauto?
    Unwetter
    Wie viel Hochwasser verträgt ein Elektroauto?

    Deutsche Hersteller machen sehr unterschiedliche Angaben über die Wassertauglichkeit von Elektroautos. Und können Teslas wirklich schwimmen?
    Ein Bericht von Friedhelm Greis

hormei 03. Jul 2021 / Themenstart

Was spricht gegen die Verwendung von Schmudo2Go? wolf128058.gitlab.io schmudo2go

ManuPhennic 28. Jun 2021 / Themenstart

In Deutschland hängt an jeder Wohnung der Name an der Klingel und hier regt man sich über...

mackes 28. Jun 2021 / Themenstart

In der Realität sind Papierlisten aber zumindest in der Gastronomie eher die Regel. Die...

mackes 28. Jun 2021 / Themenstart

Ja, das ist wirklich funny. Aber immerhin scheint Lernfähigkeit vorhanden zu sein, das...

DerCaveman 28. Jun 2021 / Themenstart

Da muss etwas bei den Politikern passieren, die müssen entsprechende Passagen in den...

Kommentieren



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial Ballistix 16GB Kit 3200MHz 66,66€ • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung 27" Curved FHD 240Hz 239,90€ • OnePlus Nord CE 5G 128GB 299,49€ • Microsoft Flight Simulator Xbox Series X 69,99€ • 3 für 2 Spiele bei MM [Werbung]
    •  /