Hallo | Hello

Du kannst meinen Blog unterstützen. Gerne nehme ich Geldgeschenke per Paypal entgegen.
Oder Du suchst Dir für einen kleinen Betrag etwas in meinem Spendenshop aus.

Danke.
2021, Blog

Luca-App: Angriffsszenario 1

Die Schlagzeilen zur Luca-App waren nicht besonders gut. Fachleute aus der IT-Branche zeigen eher ein müdes Lächeln zur abgelieferten Arbeit. Politiker hingegen sind hell begeistert und bauen mit der App ganze Verordnungen. Wenn man politisch aktiv ist, weiß man, dass das alles reiner Aktionismus ist. Testen und einchecken mit einer App helfen nicht gegen einen Virus. Dagegen helfen nur Lockdown für alle, auch Konzerne, die wir nicht zum täglichen Leben benötigen, als Wellenbrecher, Hygieneregeln und Impfstoff.
Die Luca-App ist keine Hilfe. Aufgrund der schlechten Arbeit bietet sie sogar noch mehr Gefahren als momentan sichtbar sind. Um das zu verstehen, arbeite ich drei Szenarien auf, um zu zeigen welche Gefahren in der App lauern, wenn politischer Aktionismus aufgrund politischen Versagens auf billige StartUps trifft.

Die App hat bereits so schlecht gestartet, dass ich aus Erfahrung davon ausgehe, dass es noch schlimmer wird. Manipulationsmöglichkeiten, Datenlecks und fehlerhafte Nutzung werden den erhofften Nutzen der App ausradieren.

Szenario 1: Luca-App zur Sabotage der Gesundheitsämter nutzen

In den vergangenen Wochen wurden verschiedene Schwachstellen in der Luca-App bekannt. Der Komiker Jan Böhmermann checkte sich mit vielen Freiwilligen in den Osnabrücker Zoo während der Nacht ein. Eine Sichtbare Schwachstelle im System. Der QR-Code zum Einloggen muss nur öffentlich bekannt werden. Das ist aufgrund der Vernetzung auch nicht schwierig.

Einerseits lustig, anderseits zum Kopfschütteln.

Die meisten Leute werden sagen: „Na ist doch nicht schlimm, die waren doch gar nicht da und es war in der Nacht als der Zoo geschlossen war.

Richtig. Eigentlich nicht schlimm.

Aber nun stellt Euch vor es gibt ein offizielles Event. Das Event fast 200 Teilnehmer unter Coronaregeln. Der QR-Code wird von einem Teilnehmer in sozialen Netzwerken geteilt. Plötzlich melden sich jedoch 4.000 bis 5.000 Leute an.
Das mag im ersten Moment genauso harmlos sein, wie bei der Aktion von Herrn Böhmermann. Das Event findet jetzt normal statt und ist nach wenigen Stunden beendet.
Zwei Tage später wird ein Teilnehmer positiv getestet der wirklich anwesend war und meldet es dem Gesundheitsamt. Das Gesundheitsamt checkt nun die Daten der Luca-App und stellt fest, dass dort 5.200 Leute anwesend waren.

Was passiert nun?

Richtig. Das Gesundheitsamt könnte entscheiden:

  1. Pech. Da haben sich zu viele Leute einen Scherz erlaubt. Wir geben auf. Wäre angesichts eines Infektionsrisikos eine Katastrophe.
  2. Der Event-Betreiber hat offiziell nur 200 Teilnehmer aufnehmen dürfen. Bußgeld? Die Luca-App hat doch alles registriert? Oder?
  3. Das Gesundheitsamt versucht alle 5.200 Teilnehmer telefonisch zu erreichen. Der Aufwand ist nicht nur gigantisch, er würde auch die Arbeit des Gesundheitsamtes sabotieren.

Stellt Euch eine Gruppe vor, die sich in Telegram sowieso schon abspricht, kein Interesse an den Regeln hat und sich nun freiwillig registriert, vielleicht über alte Telefone, die sowieso nicht mehr genutzt werden, nur mit der Absicht das System zu stören. Es würde funktionieren. Und wenn jeder der 5.200 Anrufer darauf besteht dort anwesend gewesen zu sein, könnte der Betreiber Probleme bekommen. Gleichzeitig ist es möglich, dass die 5.000 Ghost-Teilnehmer sich anschließend hinstellen und die Wahrheit sagen: „Ich war gar nicht dabei. Wie bitte konnte sich jemand mit meinem QR-Code anmelden?“ Das aufzuarbeiten, ist völlig unmöglich.

Stellt Euch eine Modellkommune vor. In einer Altstadt haben 20 Geschäfte und Restaurants im Außenbereich offen. Eine solche Gruppe versendet den QR-Code über ihre Telegramkanäle. Dann beginnt der Angriff per Ghost-Teilnehmer. Stellt Euch vor, die Gruppe testet sich selbst und einer ist positiv. Viele Unschuldige und die Gruppe müssen wieder abtelefoniert werden. Die Folgen für die geöffneten Geschäfte nicht einberechnet.

Die Luca-App war vielleicht eine gute Absicht, aber sie basiert auf keinen funktionierenden Prozessen.

 

This message goes only to me! Encrypted with PGP. | Diese Nachricht geht nur zu mir. Verschlüsselt mit PGP.