myGully.com Boerse.SH - BOERSE.AM - BOERSE.IO - BOERSE.IM Boerse.BZ .TO Nachfolger
Ungelesen 04.08.21, 17:04   #1
Uwe Farz
working behind bars
 
Benutzerbild von Uwe Farz
 
Registriert seit: Apr 2013
Beiträge: 2.797
Bedankt: 12.048
Uwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt Punkte
Standard CDU: "facepalm" extrem

Zitat:
CDU Connect
Berliner LKA ermittelt gegen IT-Expertin, die Sicherheitslücken in Partei-App fand


Nachdem Lilith Wittmann eine gravierende Sicherheitslücke in einer CDU-App entdeckt hatte, ermittelt nun das LKA gegen sie. Die CDU hatte sie angezeigt, doch die Anzeige jetzt nach öffentlichem Druck zurückgezogen.
04.08.2021 um 10:48 Uhr - Markus Reuter - in Technologie - 6 Ergänzungen

Das Berliner Landeskriminalamt 724, zuständig für Cybercrime, ermittelt gegen Lilith Wittmann im Zusammenhang mit den von ihr gefundenen Sicherheitslücken in der App „CDU Connect“. Die IT-Sicherheitsforscherin hatte im Mai dieses Jahres die Wahlkampf-App der CDU untersucht und auf Anhieb gravierende Sicherheitslücken gefunden.

Durch die Sicherheitslücken waren laut Wittmann die persönlichen Daten von 18.500 Wahlkampfhelfer:innen samt Mailadressen und Photos, die persönlichen Daten von 1.350 CDU-Unterstützer:innen inklusive Adresse, Geburtsdatum und Interessen sowie hunderttausende Datensätze, die im Rahmen von Haustürgesprächen erhoben wurden, öffentlich im Netz zugänglich. Im Interview mit netzpolitik.org hat Wittmann damals den Hack und die Reaktionen der CDU erklärt.

Neben der CDU waren auch die CSU und die österreichische ÖVP von den Sicherheitslücken betroffen, weil sie die gleiche App in anderem Design nutzten. Entwickelt wurde sie von der PXN GmbH, einer Firma, die von CDU-Mitgliedern gegründet worden war. Alle drei Parteien schalteten als Reaktion die App damals ab. CSU und ÖVP jedoch erst, als die Öffentlichkeit erfuhr, dass auch ihre Apps betroffen waren.

Die CDU hatte Wittmann angezeigt

Bislang ist nicht bekannt, was Wittmann vorgeworfen wird. Das LKA wollte sich gegenüber netzpolitik.org aus Datenschutz- und Persönlichkeitsschutzgründen nicht äußern. Denkbar ist, dass gegen Wittmann wegen des sogenannten Hacker-Paragrafen ermittelt wird.

Bleibt die Frage, wer Lilith Wittmann angezeigt hat oder ob die Ermittlungen aus öffentlichem Interesse geschehen (siehe Update). Die Agentur PXN, die für die App verantwortlich ist, hat auf die Anfrage von netzpolitik.org gesagt, dass sie keine rechtlichen Schritte eingeleitet hat.

Wir haben die CDU-Bundesgeschäftsstelle gefragt, ob sie hinter einer möglichen Anzeige gegen die IT-Sicherheitsforscherin steckt. Doch die CDU hat bislang nicht auf unsere schon gestern gestellte schriftliche Anfrage geantwortet. Am Telefon wollte eine Pressesprecherin nichts zum Thema sagen, bestätigte nur, dass es „ganz viele“ Anfragen zum Thema gäbe.

Nach Informationen von netzpolitik.org hatte ein hochrangiger Vertreter der CDU allerdings schon früher gegenüber Lilith Wittmann angekündigt, Anzeige erstatten zu wollen.

Das ist vor dem Hintergrund erstaunlich, dass die 25-jährige Wittmann die gravierende Sicherheitslücke in einem Responsible-Disclosure-Verfahren an die Partei gemeldet hatte, so dass diese die Chance hatte, die Sicherheitslücke zu schließen oder andere Maßnahmen zu ergreifen, bevor sie öffentlich bekannt wird.

Update 14:45 Uhr:
Die CDU hat jetzt in einer Erklärung zugegeben, dass sie die Sicherheitsforscherin angezeigt hatte. Die Partei hat die Anzeige auf öffentlichen Druck beim LKA zurückgezogen und sich bei der Hackerin entschuldigt. In der Erklärung des Bundesgeschäftsführers Stefan Hennewig heißt es, dass sich die Anzeige nicht gegen das Responsible Disclosure Verfahren von Wittmann richte und dass die Nennung ihres Namen ein Fehler gewesen sei.

CCC wünscht CDU viel Glück bei zukünftigen Schwachstellen

Leider habe die CDU mit ihrem Vorgehen das implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt, schreibt der Chaos Computer Club in einer Pressemitteilung. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten”, so CCC-Sprecher Linus Neumann.

Leider erweise sich die CDU als äußerst undankbar für die ehrenamtliche Nachhilfe. „Shooting the Messenger“ werde die Strategie genannt, nicht das Problem zu lösen, sondern jene anzugreifen, die darauf hinweisen. “Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern. Insofern ist dieses destruktive Vorgehen nur konsequent”, so Neumann weiter.

Kritik auch von der GFF

Doch nicht nur der CCC ist sauer. Ulf Buermeyer von der Gesellschaft für Freiheitsrechte (GFF) kritisiert: „Der Fall Lilith Wittmann ist ein bitteres Beispiel für unser dysfunktionales IT-Strafrecht. Wenn man die IT-Sicherheit verbessern will, dann sollten diejenigen bestraft werden, die persönliche Daten tausender Menschen in Gefahr bringen – aber doch nicht die Menschen, die Sicherheitslücken finden und verantwortungsvoll offenlegen.“

Auch die betroffene Wittmann sieht die Gesetzgebung als das Problem: „CDU und SPD haben trotz vielfacher Hinweise in Bezug auf die Folgen für die zivilgesellschaftliche Sicherheitsforschung den Hackerparagrafen beschlossen. Es ist nun zwar schade, aber nicht wirklich unerwartet, dass die CDU für sie unangenehme Sicherheitsforscher*innen – wie mich selbst – auf Basis dieses Paragrafs verfolgt.”
Quelle:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Weitere Links im Orginal Artikel.

Sowas wie IT Verständnis scheint in weiten Teilen der CDU völlig unterentwickelt zu sein. "shoot the messenger" geht in diesem Fall nach hinten los.
Uwe Farz ist gerade online   Mit Zitat antworten
Die folgenden 10 Mitglieder haben sich bei Uwe Farz bedankt:
Amiganer (05.08.21), Draalz (05.08.21), Helixor (09.08.21), karfingo (05.08.21), Kneter33 (04.08.21), L00KER (05.08.21), Mad Dog2 (05.08.21), MunichEast (04.08.21), pauli8 (04.08.21), Thorasan (04.08.21)
Ungelesen 05.08.21, 02:11   #2
karfingo
Streuner
 
Benutzerbild von karfingo
 
Registriert seit: Aug 2013
Beiträge: 11.107
Bedankt: 13.084
karfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punkte
Standard

Oh ja - gaaaanz früher - so bis zum Mittelalter, wurde der Überbringer der schlechten Nachrichten geköpft.
Da liegen ja die Politiker mächtig weit zurück. ... und das vor der Wahl!
karfingo ist offline   Mit Zitat antworten
Die folgenden 2 Mitglieder haben sich bei karfingo bedankt:
Draalz (05.08.21), L00KER (05.08.21)
Ungelesen 16.09.21, 19:17   #3
Uwe Farz
working behind bars
 
Benutzerbild von Uwe Farz
 
Registriert seit: Apr 2013
Beiträge: 2.797
Bedankt: 12.048
Uwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt PunkteUwe Farz leckt gerne myGully Deckel in der Kanalisation! | 1362832791 Respekt Punkte
Standard

UPDATE:
Zitat:
Verfahren gegen Lilith Wittmann eingestellt – weil CDU connect ungeschützt war

Die Staatsanwaltschaft Berlin ermittelt nicht mehr gegen die Sicherheitsforscherin. Laut den Ermittlungsakten greift der Hackerparagraph in ihrem Fall nicht.

Gegen die bisher aufgrund des Aufdeckens von Sicherheitslücken in der App und Datenbank von CDU connect diverser mutmaßlicher Vergehen beschuldigte Softwareentwicklerin Lilith Wittmann wird nicht weiter ermittelt. Dies geht aus einem ausführlichen Blogeintrag von Wittmann hervor.

Sie hatte im Mai 2021 gravierende Sicherheitslücken dokumentiert und an die Partei sowie das BSI und den Berliner Datenschutzbeauftragten gemeldet. Die App wurde zuvor durch die Partei offline genommen. CDU connect diente beim Haustürwahlkampf Parteiunterstützern dazu, ihre Besuche zu koordinieren. Dabei wurden aber auch offenbar über Jahre persönliche Daten bis hin zu politischen Neigungen von Bürgern dokumentiert. Die landeten in einer Datenbank der CDU. CSU und die österreichische Volkspartei ÖVP verwendete baugleiche Systeme.

Jene Datenbank, so Wittmanns Darstellung damals wie heute, sei aber gänzlich ungeschützt gewesen: Über simple API-Abrufe habe sie Zugriff erlangen können, ohne dass dabei einfachste Mechanismen wie eine Passwortabfrage überwunden werden mussten. Dieser Auffassung schloss sich nun die Staatsanwaltschaft Berlin an. In den Unterlagen, die Wittmann auszugsweise veröffentlicht hat, findet sich dazu ein Aktenvermerk eines Ermittlers: "Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar." Damit ist der berüchtigte "Hackerparagraph" 202 a/b/c des Strafgesetzbuchs nicht anwendbar.

Strafanzeige kam von der CDU

Zu den Ermittlungen war es gekommen, weil die Union Betriebs GmbH, mithin die CDU, Strafanzeige gegen Wittmann gestellt hatte. Als sie dies auf Twitter veröffentlichte, ergab sich eine lebhafte Diskussion. Der CCC kündigte an, keine Lücken mehr an die CDU zu melden, wenn dafür trotz des üblichen Verfahrens von "responsible disclosure" Ermittlungsverfahren folgen. Kurz darauf gab CDU-Bundesgeschäftsführer Stefan Henning an, man habe die Anzeige zurückgezogen – was in diesem Fall aber wenig geholfen hat, denn bei Kenntnis einer Straftat muss eine Staatsanwaltschaft auch ohne Anzeige eines Geschädigten ermitteln. Das ist nun vom Tisch. Den Ablauf der Entwicklungen bis dahin erklärte Wittmann auch in einem Interview mit heise online.

Trotz der Entlastung von Wittmann hat die gesamte Affäre noch zwei wichtige Nebenaspekte: Zum einen war ihr auch vorgeworfen worden, die mit CDU connect gesammelten Datensätze auf Pastebin veröffentlicht zu haben. Wittmann bestritt stets, die Daten überhaupt gespeichert oder gar veröffentlicht zu haben, und auch die Staatsanwaltschaft fand dafür keine Hinweise. Ob es die Daten jemals bei Pastebin gab, und wie sie gegebenenfalls dort hinkamen, ist damit weiter unklar. Auch eine Weiterverbreitung an anderer Stelle, so die Behörde, konnte nicht festgestellt werden.

Prüfung der Datenschützerin läuft noch

Zum Anderen gibt es noch ein laufendes Verfahren der Berliner Datenschutzbeauftragten. Da nun eine Staatsanwaltschaft festgestellt hat, dass die persönlichen Daten von Bürgern ungeschützt im Web standen, könnte das für die Partei recht unangenehm werden. Ein Ende der Untersuchung wegen möglichen Verstößen gegen die DSGVO ist noch nicht abzusehen, wie die Behörde heise online Anfang August 2021 mitteilte.

Darüber hinaus dürfte die Einstellung der Ermittlungen gegen Wittmann auch endlich etwas Licht in die Frage bringen, wann der Hackerparagraph überhaupt anwendbar ist. Das bloße Benutzen von standardisierten Zugriffsfunktionen auf Daten, die in keinster Weise geschützt online stehen, reicht dafür jetzt wohl nicht mehr aus.
Quelle:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Uwe Farz ist gerade online   Mit Zitat antworten
Die folgenden 5 Mitglieder haben sich bei Uwe Farz bedankt:
Draalz (16.09.21), L00KER (17.09.21), muavenet (16.09.21), MunichEast (16.09.21), pauli8 (18.09.21)
Ungelesen 16.09.21, 20:22   #4
karfingo
Streuner
 
Benutzerbild von karfingo
 
Registriert seit: Aug 2013
Beiträge: 11.107
Bedankt: 13.084
karfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punktekarfingo leckt gerne myGully Deckel in der Kanalisation! | 2147483647 Respekt Punkte
Standard

Nu steht die CDU nackig da! ^^
karfingo ist offline   Mit Zitat antworten
Folgendes Mitglied bedankte sich bei karfingo:
Draalz (16.09.21)
Antwort

Themen-Optionen
Ansicht

Forumregeln
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren

BB code is An
Smileys sind An.
[IMG] Code ist An.
HTML-Code ist Aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:55 Uhr.


Sitemap

().