BSI kritisiert Luca-App wegen „offenkundiger“ Schwachstelle

»Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bemän­gelt den Umgang der Luca-App-Betreiber mit immer wie­der auf­tre­ten­den Schwachstellen ihrer Anwendung.

Das BSI schät­ze das Angriffs-Szenario einer Code-Injection über das Luca-System abhän­gig von der kon­kre­ten Einsatzumgebung als plau­si­bel ein, ließ die Behörde via Twitter ver­lau­ten. In einem kur­zen Thread woll­te das BSI den vie­len Anfragen begeg­nen, denen es nach eige­nem Bekunden in letz­ter Zeit aus­ge­setzt ist…

BSI sieht Betreiber in der Verantwortung

Eine akti­ve Ausnutzung der Schwachstelle sei bis­lang nicht bekannt, twit­tert die Behörde. Generell ver­tre­te das BSI indes die Auffassung, dass die Betreiber einer App für die Integrität der über­mit­tel­ten Daten ver­ant­wort­lich sind. Das bedeu­tet, dass die Betreiber poten­zi­ell gefähr­li­che Feldinhalte pro­gramm­lo­gisch hät­ten unter­bin­den müssen.

Schutzmaßnahmen Dritter hin­ge­gen stel­len aus Sicht des BSI kei­ne aus­rei­chen­de Sicherheitsmaßnahme dar. Damit spielt die Behörde dar­auf an, dass Nutzer von Microsoft Office die Ausführung von Programmcode in der Software unter­bin­den kön­nen, indem sie die Berechtigung abschal­ten, Makros – also auf­ge­zeich­ne­te oder codier­te Befehlsfolgen – aus­zu­füh­ren. Das BSI sei viel­mehr der Ansicht, dass offen­kun­di­ge Schwachstellen durch App-Betreiber unver­züg­lich und kon­se­quent beho­ben wer­den sollten.

BSI stellt Prüfauftrag klar

Offenbar sah sich das BSI selbst eini­ger Kritik aus­ge­setzt, weil man­cher annahm, dass die Möglichkeit der Code-Injection im Rahmen der Prüfung der App durch das BSI hät­te auf­fal­len müs­sen. Dem sei nicht so, so die Behörde.

Zunächst habe man ohne­hin nur die mobi­le Luca-App für iOS und Android durch einen IT-Sicherheitsdienstleister nach einem Standardverfahren prü­fen las­sen. Derlei Tests hät­ten nur eine begrenz­te Prüftiefe. Das Angriffs-Szenario einer Code-Injection über das Luca-System sei zu kei­nem Zeitpunkt Gegenstand der Prüfung gewe­sen. Auch habe weder der Betreiber noch sonst ein Verfahrensbeteiligter einen wei­ter­ge­hen­den Prüfauftrag erteilt.

Das hät­te etwa die Bundesverwaltung sein kön­nen. Immerhin ist das App-Testing-Portal, über das der Test der mobi­len Luca-App lief, ein Angebot an die Bundesverwaltung, die Sicherheit des Einsatzes von Apps auf dienst­li­chen Smartphones oder ande­ren IT-Geräten über­prü­fen zu las­sen.«
t3n.de (28.5.)

Author: aa