Excel-Sicherheitslücke Luca-App erneut im Fokus der Datenschützer

Autor: Ira Zahorsky

Erst Ende April war die Luca App wegen der Erfassung und Speicherung vieler persönlicher Daten in der Kritik. Nun wurde per Twitter eine Sicherheitslücke veröffentlicht, die Schadcode per CSV Injection an die Gesundheitsämter übertragen könnte.

Firma zum Thema

Die Macher der Luca App haben die Excel-Sicherheitslücke gestopft.
Die Macher der Luca App haben die Excel-Sicherheitslücke gestopft.
(Bild: culture4life)

Die so genannte CSV Injection ist ein in Microsoft Excel bekanntes Problem, wodurch theoretisch schadhafter Code ausgeführt werden kann. Im Fall von Luca hätte der Schadcode an die Gesundheitsämter übertragen werden können. Angreifer hätten Daten auslesen oder andere Aktionen ausführen können.

Beim Datenaustausch der Luca App mit den Gesundheitsämtern wurde eine Sicherheitslücke entdeckt.
Beim Datenaustausch der Luca App mit den Gesundheitsämtern wurde eine Sicherheitslücke entdeckt.
(culture4life)

Zur Sicherheit prüft Excel bei Öffnung von Dateien diese auf Schadcode und weist den Nutzer darauf hin. Auch im Luca-System werden Filter angewandt, die solche Dateien im Vorfeld scannen. Empfehlungen des Open Web Application Security Project (OWASP) bezüglich CSV Injection waren schon vorab berücksichtigt worden, so culture4life. Bereits gestern Vormittag wurde der Filter noch erweitert, damit die Lücke nicht mehr als Einfallstor genutzt werden kann.

Besteht Gefahr für die Gesundheitsämter?

In der Regel ist die Ausführung eines schadhaften Makros im Rahmen eines Excel-Imports im behördlichen Umfeld deaktiviert. Das BSI gibt Empfehlungen zur Konfiguration von Excel. Falls diese Einstellungen nicht vorgenommen wurden, erhält der Nutzer vor der Öffnung der Datei eine Warnung, die auf jeden Fall ernst zu nehmen ist. Culture4life ist bislang kein Sicherheitsvorfall in diesem Zusammenhang bekannt.

(ID:47434530)

Über den Autor

 Ira Zahorsky

Ira Zahorsky

Redakteurin und Online-CvD, IT-BUSINESS