DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die deutsche IT-Sicherheitsexpertin Lilith Wittmann hat eine Sicherheitslücke bei der CDU entdeckt.
Die deutsche IT-Sicherheitsexpertin Lilith Wittmann hat eine Sicherheitslücke bei der CDU entdeckt.
screenshot: br

IT-Expertin entdeckt Lücke in CDU-App, Partei erstattet Anzeige und entschuldigt sich nun

Kurioses aus Deutschland: Sicherheitsforscherin Lilith Wittmann hatte im Mai Sicherheitslücken in der CDU-Wahlkampf-App «Connect» entdeckt und diese der Partei gemeldet. Die CDU erstattete nun Anzeige. Nach einem Proteststurm im Netz zieht die Partei die Anzeige zurück und entschuldigt sich.
05.08.2021, 10:2205.08.2021, 10:34
Ein Artikel von
t-online

Die CDU hat sich bei der Sicherheitsforscherin Lilith Wittmann bezüglich einer Anzeige im Zusammenhang mit der CDU-Wahlkampf-App «CDU Connect» entschuldigt. Auf Twitter verfasste der CDU-Bundesgeschäftsführer Stefan Hennewig einen Beitrag zu dem Vorfall. Es sei ein Fehler gewesen, Wittmanns Namen in der Anzeige zu nennen.

Wittmann ist unter anderem dafür bekannt, dass sie im Mai Sicherheitslücken in der CDU-Wahlkampf-App «Connect» entdeckt hatte. Wittmann konnte damals 20'000 Datensätze mit persönlichen Daten einsehen. 18'500 davon beinhalteten die persönlichen Daten von Wahlkampfhelfern: Namen, E-Mail-Adressen, Fotos.

Wittmann hatte die Lücke den entsprechenden Stellen wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik und der CDU gemeldet. Bei dem sogenannten Responsible-Disclosure-Verfahren melden Sicherheitsforscher Lücken und veröffentlichen sie erst, wenn die Hersteller die Lücke geschlossen haben.

Wie Wittmann diese Woche auf Twitter mitteilte, bearbeite die Cybercrime-Abteilung des Landeskriminalamts Berlin (LKA) ein Ermittlungsverfahren gegen die IT-Expertin, das die «CDU Connect Applikation» betreffe.

Wittmann zeigte sich wenig überrascht. CDU-Kanzlerkandidat Armin Laschet habe sie damals in einem Interview negativ als Hackerin bezeichnet.

Im Gespräch mit watson-Medienpartner t-online sagte die Sicherheitsforscherin: «Es ist nicht wirklich ein Schock: Die CDU und die SPD haben damals den Hackerparagrafen trotz besseren Wissens beschlossen», sagte Wittmann. «Darum ist es nicht hundert Prozent unerwartet, wenn die CDU ihn gegen Sicherheitsforscher*innen einsetzt. Es ist aber trotzdem traurig.»

Der sogenannte Hackerparagraf macht den unbefugten Zugriff auf Daten Mithilfe von beispielsweise Computerprogrammen strafbar. Er wurde 2007 vom deutschen Bundestag mit den Stimmen der Union, SPD, FDP und den Grünen beschlossen. Sicherheitsexpertinnen und -Experten kritisieren jedoch, dass solche schwammig gehaltenen Gesetze verantwortungsvolle Sicherheitsforscherinnen gefährdeten, da sie selbst angezeigt werden könnten.

«Gesellschaftlicher Vertrag gebrochen»

Im sogenannten «Responsible Disclosure»-Verfahren suchen Sicherheitsforscher wie Wittmann – meist auf eigenem Antrieb – nach Sicherheitslücken und melden diese an offizielle Stellen wie Datenschutzbehörden sowie den Betreibern. Die Lücken werden im besten Fall schnell geschlossen und erst danach öffentlich gemacht. Die IT-Experten erhalten je nach Unternehmen oder Betreiber auch eine Belohnung, wenn diese ein sogenanntes «Bug-Bounty-Programm» anbieten.

Eine andere Methode wäre die «Full Disclosure», bei der Experten Sicherheitslücken sofort öffentlich machen, ohne dass Hersteller Zeit haben, sie zu beheben. Wittmann kritisiert im Gespräch mit t-online, dass die CDU durch die Klage einen «gesellschaftlichen Vertrag» gebrochen habe: «Eigentlich läuft das so: Wir Sicherheitsforscher melden Lücken und werden dafür nicht angeklagt», sagt Wittmann. «Mit der Einführung des Hackerparagrafs hat die Regierung aber schon damals gezeigt, dass sie sich nicht für gängige Standards in der IT-Sicherheit interessieren. Jetzt wissen wir Sicherheitsforscher*innen auch ganz offiziell, woran wir sind.»

Auch der IT-Rechtsanwalt Chan-jo-Jun merkt auf Twitter an, dass diese Strafverfolgung sich vor allem gegen Whistleblower richte.

Wittmann wünscht sich von der Politik Reformen: «Die einzige sinnvolle Massnahme wäre es, den Hackerparagrafen abzuschaffen und das IT-Sicherheitsrecht zu reformieren», sagt Wittmann. «Wir müssen weg vom Gedanken ‹shoot the messenger›, sondern brauchen ein sinnvolles IT-Sicherheitsgesetz mit beispielsweise Produkthaftung. Es müssen die Leute bestraft werden, die Sicherheitslücken fabrizieren und nicht die, die sie finden.»

Chaos Computer Club will CDU nicht mehr helfen

Ähnlich äussert sich auch Ulf Buermeyer, Jurist und Vorsitzender der Gesellschaft für Freiheitsrechte. Auf Twitter bezeichnet Buermeyer den Vorfall als «bitteres Beispiel für unser dysfunktionales IT-Strafrecht: Eigentlich sollte es die IT-Sicherheit verbessern! Bestraft werden sollten die, die persönliche Daten tausender Menschen in Gefahr bringen – aber nicht die, die Sicherheitslücken finden & verantwortungsvoll offenlegen.»

Auch der Chaos Computer Club (CCC) kritisiert in einem Beitrag auf seiner Website das Vorgehen und erwähnt hier explizit die CDU. Laut dem CCC habe die Partei das «implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt». CCC-Sprecher Linus Neumann schreibt zudem: «Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten.»

Sicherheitsforscherin Wittmann lässt sich von der Anzeige zumindest nicht davon abbringen, allgemein weiter nach Schwachstellen zu suchen und diese zu melden. «Ich habe natürlich weiterhin ein Interesse, die Digitalisierung in Deutschland sicherer zu gestalten», sagt Wittmann. «Der CDU werde ich aber auch keine Lücken mehr melden. Das ist ja irgendwie logisch.»

Anzeige zurückgezogen

CDU-Bundesgeschäftsführer Stefan Hennewig hat am Mittwochnachmittag auf Twitter geschrieben, dass sich die Anzeige der CDU nicht gegen das «Responsible Disclosure Verfahren» von Wittmann gerichtet habe. «Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen», schreibt Hennewig.

Laut Hennewig kam es im «Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns». Sicherheitsforscherin Wittmann habe mit diesen Vorgängen aber nichts zu tun, weshalb die Anzeige zurückgezogen wurde.

Wittmanns Replik

«Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz», sagt Wittmann dem Spiegel. Sie habe «angesichts der Fehlerkultur und des Unverständnisses der Partei für die digitale Welt genau so ein Verhalten von der CDU erwartet.»​

(avr/t-online/oli)

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Das Volla Phone gibt dir die Kontrolle über deine Daten zurück

1 / 17
Das Volla Phone gibt dir die Kontrolle über deine Daten zurück
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Oppo X 2021: Das erste ausrollbare Smartphone

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Die Comparis-Hacker schlagen schon wieder zu – und erneut trifft es eine Schweizer Firma

Matisa, Westschweizer Hersteller von Gleisbaumaschinen, steht im Fadenkreuz von Internet-Erpressern. Offenbar wurden Daten gestohlen und verschlüsselt. Die Firma wird wie zuvor Comparis von der Hackergruppe «Grief» erpresst.

Die Schweizer Firma Matisa Matérial Industriel S.A. aus Crissier VD ist das neuste Opfer der Ransomware-Hackergruppe «Grief» (auf Deutsch: Leid, Trauer). Unter Ransomware-Angriff versteht man eine Cyber-Attacke, bei der die Angreifer mittels Schadprogramm die Daten ihrer Opfer verschlüsseln und ein Lösegeld verlangen. Andernfalls, so die Drohung, werden die internen Daten veröffentlicht.Auf der Firmenwebseite warnt das Unternehmen:

Auf Anfrage sagte das Nationale Zentrum für Cybersicherheit …

Artikel lesen
Link zum Artikel