[Uwe Farz]

Zitat:

CDU Connect
Berliner LKA ermittelt gegen IT-Expertin, die Sicherheitslücken in Partei-App fand

Nachdem Lilith Wittmann eine gravierende Sicherheitslücke in einer CDU-App entdeckt hatte, ermittelt nun das LKA gegen sie. Die CDU hatte sie angezeigt, doch die Anzeige jetzt nach öffentlichem Druck zurückgezogen.
04.08.2021 um 10:48 Uhr - Markus Reuter - in Technologie - 6 Ergänzungen

Das Berliner Landeskriminalamt 724, zuständig für Cybercrime, ermittelt gegen Lilith Wittmann im Zusammenhang mit den von ihr gefundenen Sicherheitslücken in der App „CDU Connect“. Die IT-Sicherheitsforscherin hatte im Mai dieses Jahres die Wahlkampf-App der CDU untersucht und auf Anhieb gravierende Sicherheitslücken gefunden.

Durch die Sicherheitslücken waren laut Wittmann die persönlichen Daten von 18.500 Wahlkampfhelfer:innen samt Mailadressen und Photos, die persönlichen Daten von 1.350 CDU-Unterstützer:innen inklusive Adresse, Geburtsdatum und Interessen sowie hunderttausende Datensätze, die im Rahmen von Haustürgesprächen erhoben wurden, öffentlich im Netz zugänglich. Im Interview mit netzpolitik.org hat Wittmann damals den Hack und die Reaktionen der CDU erklärt.

Neben der CDU waren auch die CSU und die österreichische ÖVP von den Sicherheitslücken betroffen, weil sie die gleiche App in anderem Design nutzten. Entwickelt wurde sie von der PXN GmbH, einer Firma, die von CDU-Mitgliedern gegründet worden war. Alle drei Parteien schalteten als Reaktion die App damals ab. CSU und ÖVP jedoch erst, als die Öffentlichkeit erfuhr, dass auch ihre Apps betroffen waren.

Die CDU hatte Wittmann angezeigt

Bislang ist nicht bekannt, was Wittmann vorgeworfen wird. Das LKA wollte sich gegenüber netzpolitik.org aus Datenschutz- und Persönlichkeitsschutzgründen nicht äußern. Denkbar ist, dass gegen Wittmann wegen des sogenannten Hacker-Paragrafen ermittelt wird.

Bleibt die Frage, wer Lilith Wittmann angezeigt hat oder ob die Ermittlungen aus öffentlichem Interesse geschehen (siehe Update). Die Agentur PXN, die für die App verantwortlich ist, hat auf die Anfrage von netzpolitik.org gesagt, dass sie keine rechtlichen Schritte eingeleitet hat.

Wir haben die CDU-Bundesgeschäftsstelle gefragt, ob sie hinter einer möglichen Anzeige gegen die IT-Sicherheitsforscherin steckt. Doch die CDU hat bislang nicht auf unsere schon gestern gestellte schriftliche Anfrage geantwortet. Am Telefon wollte eine Pressesprecherin nichts zum Thema sagen, bestätigte nur, dass es „ganz viele“ Anfragen zum Thema gäbe.

Nach Informationen von netzpolitik.org hatte ein hochrangiger Vertreter der CDU allerdings schon früher gegenüber Lilith Wittmann angekündigt, Anzeige erstatten zu wollen.

Das ist vor dem Hintergrund erstaunlich, dass die 25-jährige Wittmann die gravierende Sicherheitslücke in einem Responsible-Disclosure-Verfahren an die Partei gemeldet hatte, so dass diese die Chance hatte, die Sicherheitslücke zu schließen oder andere Maßnahmen zu ergreifen, bevor sie öffentlich bekannt wird.

Update 14:45 Uhr:
Die CDU hat jetzt in einer Erklärung zugegeben, dass sie die Sicherheitsforscherin angezeigt hatte. Die Partei hat die Anzeige auf öffentlichen Druck beim LKA zurückgezogen und sich bei der Hackerin entschuldigt. In der Erklärung des Bundesgeschäftsführers Stefan Hennewig heißt es, dass sich die Anzeige nicht gegen das Responsible Disclosure Verfahren von Wittmann richte und dass die Nennung ihres Namen ein Fehler gewesen sei.

CCC wünscht CDU viel Glück bei zukünftigen Schwachstellen

Leider habe die CDU mit ihrem Vorgehen das implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt, schreibt der Chaos Computer Club in einer Pressemitteilung. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten”, so CCC-Sprecher Linus Neumann.

Leider erweise sich die CDU als äußerst undankbar für die ehrenamtliche Nachhilfe. „Shooting the Messenger“ werde die Strategie genannt, nicht das Problem zu lösen, sondern jene anzugreifen, die darauf hinweisen. “Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern. Insofern ist dieses destruktive Vorgehen nur konsequent”, so Neumann weiter.

Kritik auch von der GFF

Doch nicht nur der CCC ist sauer. Ulf Buermeyer von der Gesellschaft für Freiheitsrechte (GFF) kritisiert: „Der Fall Lilith Wittmann ist ein bitteres Beispiel für unser dysfunktionales IT-Strafrecht. Wenn man die IT-Sicherheit verbessern will, dann sollten diejenigen bestraft werden, die persönliche Daten tausender Menschen in Gefahr bringen – aber doch nicht die Menschen, die Sicherheitslücken finden und verantwortungsvoll offenlegen.“

Auch die betroffene Wittmann sieht die Gesetzgebung als das Problem: „CDU und SPD haben trotz vielfacher Hinweise in Bezug auf die Folgen für die zivilgesellschaftliche Sicherheitsforschung den Hackerparagrafen beschlossen. Es ist nun zwar schade, aber nicht wirklich unerwartet, dass die CDU für sie unangenehme Sicherheitsforscher*innen – wie mich selbst – auf Basis dieses Paragrafs verfolgt.”

Quelle:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Weitere Links im Orginal Artikel.

Sowas wie IT Verständnis scheint in weiten Teilen der CDU völlig unterentwickelt zu sein. "shoot the messenger" geht in diesem Fall nach hinten los.