Für Verbraucher
Für Unternehmen
Mi, 26.05.2021 - 15:00

SiBa-News

Sicherheitslücke in der Luca-App ermöglicht den Angriff auf Gesundheitsämter

Der IT-Sicherheitsexperte Marcus Mengs hat heute in einem Video vorgeführt, wie Kriminelle über eine Schwachstelle in der Luca-App Gesundheitsämter angreifen können. Zahlreiche Pressemeldungen berichten aktuell von dem Video.

Über diese Sicherheitslücke ist es möglich, zunächst persönliche Daten wie Namen, Telefonnummern, Anschriften und E-Mail-Adressen abzugreifen. Daraufhin können Betrüger im Zusammenspiel der Luca-App mit einer Excel-Liste Schadsoftware in Gesundheitsämter einschleusen. Die Methode ist als „CSV Injection“ oder als „Code Injection“ bekannt. Die Schadsoftware verschlüsselt die Daten der Behörde und kann zur Entschlüsselung eine Lösegeld fordern oder sie unbrauchbar machen. Expert:innen sprechen bei solch einer Schadsoftware von Ransomware.

Luca-Chef Patrick Hennig meinte Anfang Mai gegenüber der Presse, eine solche „Code Injection“ sei nicht möglich, nachdem zahlreiche Sicherheitsexperten entsprechende Warnungen über die Möglichkeit aussprachen. Luca-App-Sprecher Markus Bublitz hat sich nun nach dem Videobeweis geäußert und eine Stellungnahme veröffentlicht. Es läge inzwischen ein Update vor, das die Sicherheitslücke schließe.

SiBa rät, das Update zu installieren, um das Risiko eines Angriffs zu minimieren.

Weitere Sicherheitshinweise

Wachsam bleiben: Urlaubssaison ist auch Betrugssaison!
Der Urlaub ist geplant und die Freude kann beginnen. Doch Vorsicht: Die Urlaubssaison ist auch für Cyberkriminelle eine beliebte Zeit, um zuzuschlagen. Sie erstellen beispielsweise bösartige Domains, die sich als bekannte Reisemarken ausgeben, um Benutzerdaten zu stehlen. Laut Check Point Research (CPR) befinden sich unter 25.668 neu registrierten Domains im Bereich Urlaub und Ferien 33... Mehr...
Patchday: Schadcode über WLAN einfangen?
Zum aktuellen Patchday (Softwareaktualisierungstag) im Juni hat Microsoft eine Sicherheitsanfälligkeit im Wi-Fi-Treiber von Windows behoben, mit deren Hilfe es Angreifern theoretisch möglich war, Schadcode auf betroffenen Systemen auszuführen, indem sie speziell gestaltete Netzwerkpakete über WLAN an das Zielsystem senden. Für den Angriff musste der Hacker lediglich in der Reichweite des WLANs... Mehr...
Vorsicht vor inoffiziellen Windows-Sicherheitsupdates: Betrügerische E-Mails im Umlauf
Derzeit sind betrügerische E-Mails im Umlauf, die ein vermeintlich kostenloses Windows-Sicherheitsupdate anbieten. Diese E-Mails warnen vor Cyberangriffen und suggerieren, dass der Schutz Ihres PCs nur durch das angebotene „inoffizielle Windows-Sicherheitsupdate 2024“ gewährleistet werden kann. Dabei wird versucht, die Empfänger:innen durch Angstszenarien zur Installation des Updates zu bewegen... Mehr...
Deutschland sicher im Netz
Jetzt engagieren und Menschen aufklären
Jetzt bei DsiN mitmachen