Vorlage - VO/2021/10181  

Eine aktuelle Sicherheitslücke in der Luca-App scheint es Angreifern

zu ermöglichen mittels eines CSV Injection Hacks Schadsoftware in ein Gesundheitsamt einzuschleusen und auch Daten zu klauen. Darüber berichtet u.a. die Zeit (Link siehe Begründung). Die Hacker können den Account sogar kapern und dadurch den Zugriff für das Gesundheitsamt sperren. Ziel ist dann, ein Lösegeld für die Öffnung zu erpressen. 

Dazu bitte ich um Beantwortung folgender Fragen:

1)      Ist der Sachverhalt dem Bürgermeister bekannt?

2)      Welche Kanäle bestehen, um die kommunalen Nutzer der App über Problemstellungen auf dem laufenden zu halten?

3)      Wie bewertet der Bürgermeister aktuell die Vorteile der Luca-App in Abwägung mit den Risiken? Passiert die Abwägung nur einmal beim kommunalen Start, oder wird sie vom Bürgermeister fortlaufend jeweils im Licht der Erkenntnisse vorgenommen?

4)      Welche Vorkehrungen wurden ggf. im Gesundheitsamt getroffen, um die Zugriffe zu verhindern?

5)      Nimmt die Stadt Lübeck am IT Sicherheitsaudit ISO/IEC 27001 teil bzw. ist entsprechend zertifiziert?

6)      Wie ist die Rechtsgrundlage? Hat die Stadt einen Vertrag mit Luca? Wie hoch sind die Kosten und wie sind die Bedingungen?

Um mündliche Antwort wird gebeten.

https://www.zeit.de/digital/2021-05/luca-app-gesundheitsaemter-hackera

ngriff-risiko-kontaktverfolgung-coronavirus/komplettansicht

https://m.youtube.com/watch?v=xTljfac-0ag&feature=youtu.be