Für Verbraucher
Für Unternehmen
Mi, 26.05.2021 - 15:00

SiBa-News

Sicherheitslücke in der Luca-App ermöglicht den Angriff auf Gesundheitsämter

Der IT-Sicherheitsexperte Marcus Mengs hat heute in einem Video vorgeführt, wie Kriminelle über eine Schwachstelle in der Luca-App Gesundheitsämter angreifen können. Zahlreiche Pressemeldungen berichten aktuell von dem Video.

Über diese Sicherheitslücke ist es möglich, zunächst persönliche Daten wie Namen, Telefonnummern, Anschriften und E-Mail-Adressen abzugreifen. Daraufhin können Betrüger im Zusammenspiel der Luca-App mit einer Excel-Liste Schadsoftware in Gesundheitsämter einschleusen. Die Methode ist als „CSV Injection“ oder als „Code Injection“ bekannt. Die Schadsoftware verschlüsselt die Daten der Behörde und kann zur Entschlüsselung eine Lösegeld fordern oder sie unbrauchbar machen. Expert:innen sprechen bei solch einer Schadsoftware von Ransomware.

Luca-Chef Patrick Hennig meinte Anfang Mai gegenüber der Presse, eine solche „Code Injection“ sei nicht möglich, nachdem zahlreiche Sicherheitsexperten entsprechende Warnungen über die Möglichkeit aussprachen. Luca-App-Sprecher Markus Bublitz hat sich nun nach dem Videobeweis geäußert und eine Stellungnahme veröffentlicht. Es läge inzwischen ein Update vor, das die Sicherheitslücke schließe.

SiBa rät, das Update zu installieren, um das Risiko eines Angriffs zu minimieren.

Weitere Sicherheitshinweise

Update-Mittwoch: LibreOffice und OpenOffice, Apache Webserver, Microsoft-Produkte
SiBa informiert Sie jeden Mittwoch über Sicherheitsupdates. Diese schließen Sicherheitslücken in Anwendungen und Betriebssystemen, sodass kriminelle Hacker über sie keine persönlichen oder vertraulichen Daten mehr abgreifen und keine Systeme mehr mit Schadsoftware angreifen können. Oder sie bieten neue Features für den Schutz von privaten Daten. SiBa rät, den Mittwoch zu nutzen, um die zur... Mehr...
Gefälschte SMS mit angeblich verpassten Anrufen
Nicht nur mit gefälschten E-Mails versuchen Betrüger, Empfänger auf unseriöse und betrügerische Webseiten zu lenken, um persönliche Daten abzugreifen: Auch mit SMS über angeblich verpasste Anrufe oder nicht zugestellte Pakete versuchen Kriminelle, Menschen in die Irre zu führen. Dieses Vorgehen wird als „Smishing“ bezeichnet, eine Abwandlung vom „Phishing“ bei E-Mails. Derzeit erhalten wieder... Mehr...
Update-Mittwoch: SiBa-Update, Android, Firefox und Chrome
Aufgrund eines Softwarefehlers funktionierte die SiBa-App auf manchen Android-Geräten die letzten Tage nicht mehr richtig: Beim Öffnen der App wurde statt der SiBa-Meldungen nur ein grauer Bildschirm angezeigt. Das gestern im Play Store veröffentlichte Update behebt das Problem. Vielen Dank an alle Nutzer:innen, die uns auf das Problem aufmerksam gemacht haben! Aus diesem Grund kommt der... Mehr...
Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen