Sicherheitslücken werden in regelmäßigen Abständen in Betriebssystemen, Apps und Co. gefunden. Mal sind sie gravierender – wie beispielsweise bei Samsung-Apps und der Corona-App –, mal alltäglich. Wie etwa bei Apples macOS oder diversen Webbrowsern. Sicherheitsexperten sind unter anderem dafür da, um genau solche Lücken ausfindig zu machen und den entsprechenden Stellen sowie Firmen zu melden. Das geschah nun auch der CDU.
Die Partei nutzt für den Wahlkampf die App „CDUconnect“. Die deutsche Sicherheitsexpertin Lilith Wittmann machte eine Sicherheitslücke aus, die den Datenschutz betraf. Doch damit geriet die Expertin in einen großen Schlamassel: Denn die CDU zeigte sich mit einer Anklage erkenntlich.
CDU mit chronischer digitale Unwissenheit?
„CDUconnect“ setzt die CDU sowie ihre Schwesterpartei CSU im sogenannten Haustürwahlkampf ein. Das heißt, dass Mitglieder dort erfassen können, in welchen Straßen und welchen Haustüren bereits Wahlkampf betrieben wurde. Auch, wer die Tür geöffnet hat und wer nicht. So weit, so gut. Doch die personenbezogenen Daten konnten laut der Sicherheitsexpertin Wittmann durch eine Sicherheitslücke einfach eingesehen werden.
Schon im Mai berichtete sie mehrfach auf ihrem Blog, dass potenzielle Angreifer Fotos, Mails, Adressen und Facebook-Tokens von über 18.000 Wahlkampfhelfern abgreifen hätten können. Hinzu kamen 1.350 weitere Daten von Wahlkampfunterstützern. Diese seien frei im Netz einsehbar gewesen. Darüber hinaus konnte sich Wittmann in ihrer Analyse selbst zu einem Admin der App machen und beispielsweise E-Mails versenden.
Wie beim Fund von Sicherheitslücken gemäß dem sogenannten „Responsible Disclosure“ üblich, informieren die Experten sowohl die betreffende Firma – in dem Fall die Partei CDU – sowie auch behördliche Stellen (Berliner Datenschutzbehörde und Cert-Bund) über die Sicherheitslücken. Dieser Vorgang soll dafür sorgen, dass das Datenleck schnell geschlossen werden kann. Das sah die CDU offenbar anders. Denn obwohl Wittmann auf die Sicherheitslücken aufmerksam machte und die Datenbank kurzzeitig offline genommen wurde, betitelte CDU-Kanzlerkandidat Armin Laschet sie im Mai als Hackerin.
Angeklagt wegen Sicherheitslücke: CDU blamiert sich erneut
Daraus ergeben sich nun zweierlei Konsequenzen. Einerseits für Wittmann selbst: Anstatt für den Fund der Sicherheitslücken mit Dank entlohnt zu werden, klagte die CDU sie an. Wie sie auf Twitter veröffentlichte, erreichte die IT-Expertin nun ein Schreiben von Cybercrime-Ermittlern des LKA. Der O-Ton: Sie sei im Ermittlungsverfahren wegen CDUconnect-App beschuldigt. Zwar bestätigte die CDU die Anklage gegen Wittmann zunächst und entschuldigte sich später dafür. Trotzdem bleibt das Verfahren laut Wittmann bestehen – auch wenn die Anzeige mittlerweile zurückgenommen wurde.
„Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz“, äußert Wittmann gegenüber Spiegel Online. „Das ganze passt in das Bild, dass Armin Laschet mich damals öffentlich negativ als Hackerin bezeichnete.“ Die CDU betreibe eine Fehlerkultur und habe ein Unverständnis für die digitale Welt. Die Entschuldigung sei demnach eine „absolute Non-Apology“.
Die CDU rudert indes weiter zurück und unterstreicht, dass sich die Anzeige nicht auf das Responsible Disclosure-Verfahren bezogen habe. Vielmehr gehe es im Zuge der Veröffentlichung der Sicherheitslücken auch um das öffentlich machen von personenbezogenen Daten.
Hacker-Skandal: Das sind die Konsequenzen
Auch der Chaos Computer Club (CCC) meldete sich im Kontext der Anklage Wittmanns zu Wort. In einer Stellungnahme muss die CDU nicht nur harsche Kritik einstecken, sondern sich auch von der Unterstützung des CCC verabschieden. „Leider hat die CDU damit das implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt“, erklärt der CCC. „Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten.“
Die CDU hat sich durch Bundesgeschäftsführer Stefan Hennewig öffentlich für den Fehler entschuldigt, Frau Wittman in der Anzeige namentlich genannt zu haben. Der Fehler wurde eingesehen und was jetzt geschieht ist pures Nachtreten. Anzeige zumindest gegen unbekannt zu erstatten war für die CDU übrigens aus rechtlichen Gründen unausweichlich, nachdem sie Kenntnis von einem Datenabfluss und Veröffentlichung derselben bekommen hat.
Der CCC sollte seine Konsequenzen vielleicht auch noch einmal überdenken. Denn diese treffen ja bei einem eventuellen zukünftigen Fall nicht nur die CDU, sondern auch alle, deren Daten widerrechtlich durch ein Sicherheitsleck unberechtigt abgeflossen sind. Vielleicht sollten alle mal durchatmen und sich dann gemeinsam an einen Tisch setzen.
Aha, schau mal über den Tellerrand siehe https://www.heise.de/news/Luecken-in-der-connect-App-Wenn-eine-Hackerin-bei-der-CDU-anruft-6156624.html?seite=all