Die CDU hat sich bei der Sicherheitsforscherin Lilith Wittmann bezüglich einer Anzeige im Zusammenhang mit der CDU-Wahlkampf-App «CDU Connect» entschuldigt. Auf Twitter verfasste der CDU-Bundesgeschäftsführer Stefan Hennewig einen Beitrag zu dem Vorfall. Es sei ein Fehler gewesen, Wittmanns Namen in der Anzeige zu nennen.
Wittmann ist unter anderem dafür bekannt, dass sie im Mai Sicherheitslücken in der CDU-Wahlkampf-App «Connect» entdeckt hatte. Wittmann konnte damals 20'000 Datensätze mit persönlichen Daten einsehen. 18'500 davon beinhalteten die persönlichen Daten von Wahlkampfhelfern: Namen, E-Mail-Adressen, Fotos.
Wittmann hatte die Lücke den entsprechenden Stellen wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik und der CDU gemeldet. Bei dem sogenannten Responsible-Disclosure-Verfahren melden Sicherheitsforscher Lücken und veröffentlichen sie erst, wenn die Hersteller die Lücke geschlossen haben.
Wie Wittmann diese Woche auf Twitter mitteilte, bearbeite die Cybercrime-Abteilung des Landeskriminalamts Berlin (LKA) ein Ermittlungsverfahren gegen die IT-Expertin, das die «CDU Connect Applikation» betreffe.
Hey #Jurabubbel jemand zufällig Zeit für ein bisschen #cyber #Strafrecht? #cduconnect #dawareineHackerindrin
— Lilith Wittmann (@LilithWittmann) August 3, 2021
Und ja die #CDU hat genau so viel Ehre wie erwartet. pic.twitter.com/D3SZOFmHCr
Wittmann zeigte sich wenig überrascht. CDU-Kanzlerkandidat Armin Laschet habe sie damals in einem Interview negativ als Hackerin bezeichnet.
Im Gespräch mit watson-Medienpartner t-online sagte die Sicherheitsforscherin: «Es ist nicht wirklich ein Schock: Die CDU und die SPD haben damals den Hackerparagrafen trotz besseren Wissens beschlossen», sagte Wittmann. «Darum ist es nicht hundert Prozent unerwartet, wenn die CDU ihn gegen Sicherheitsforscher*innen einsetzt. Es ist aber trotzdem traurig.»
Der sogenannte Hackerparagraf macht den unbefugten Zugriff auf Daten Mithilfe von beispielsweise Computerprogrammen strafbar. Er wurde 2007 vom deutschen Bundestag mit den Stimmen der Union, SPD, FDP und den Grünen beschlossen. Sicherheitsexpertinnen und -Experten kritisieren jedoch, dass solche schwammig gehaltenen Gesetze verantwortungsvolle Sicherheitsforscherinnen gefährdeten, da sie selbst angezeigt werden könnten.
Im sogenannten «Responsible Disclosure»-Verfahren suchen Sicherheitsforscher wie Wittmann – meist auf eigenem Antrieb – nach Sicherheitslücken und melden diese an offizielle Stellen wie Datenschutzbehörden sowie den Betreibern. Die Lücken werden im besten Fall schnell geschlossen und erst danach öffentlich gemacht. Die IT-Experten erhalten je nach Unternehmen oder Betreiber auch eine Belohnung, wenn diese ein sogenanntes «Bug-Bounty-Programm» anbieten.
Eine andere Methode wäre die «Full Disclosure», bei der Experten Sicherheitslücken sofort öffentlich machen, ohne dass Hersteller Zeit haben, sie zu beheben. Wittmann kritisiert im Gespräch mit t-online, dass die CDU durch die Klage einen «gesellschaftlichen Vertrag» gebrochen habe: «Eigentlich läuft das so: Wir Sicherheitsforscher melden Lücken und werden dafür nicht angeklagt», sagt Wittmann. «Mit der Einführung des Hackerparagrafs hat die Regierung aber schon damals gezeigt, dass sie sich nicht für gängige Standards in der IT-Sicherheit interessieren. Jetzt wissen wir Sicherheitsforscher*innen auch ganz offiziell, woran wir sind.»
Auch der IT-Rechtsanwalt Chan-jo-Jun merkt auf Twitter an, dass diese Strafverfolgung sich vor allem gegen Whistleblower richte.
CDU hat offenbar eine App mit schweren Sicherheitsmängeln eingesetzt, die Strafverfolgung richtet sich jedoch gegen die Whistleblower. Diese werden häufig mit § 202a StGB (Ausspähen von Daten) bekämpft und eingeschüchtert. Das funktioniert leider oft gut (1/x) https://t.co/NdDuhayk86
— Chan-jo Jun (@Anwalt_Jun) August 4, 2021
Wittmann wünscht sich von der Politik Reformen: «Die einzige sinnvolle Massnahme wäre es, den Hackerparagrafen abzuschaffen und das IT-Sicherheitsrecht zu reformieren», sagt Wittmann. «Wir müssen weg vom Gedanken ‹shoot the messenger›, sondern brauchen ein sinnvolles IT-Sicherheitsgesetz mit beispielsweise Produkthaftung. Es müssen die Leute bestraft werden, die Sicherheitslücken fabrizieren und nicht die, die sie finden.»
Ähnlich äussert sich auch Ulf Buermeyer, Jurist und Vorsitzender der Gesellschaft für Freiheitsrechte. Auf Twitter bezeichnet Buermeyer den Vorfall als «bitteres Beispiel für unser dysfunktionales IT-Strafrecht: Eigentlich sollte es die IT-Sicherheit verbessern! Bestraft werden sollten die, die persönliche Daten tausender Menschen in Gefahr bringen – aber nicht die, die Sicherheitslücken finden & verantwortungsvoll offenlegen.»
CCC meldet keine Sicherheitslücken mehr an die CDU. Schwachstellen wurden verantwortungsbewusst den verantwortlichen CDU-Stellen gemeldet, dann: Shooting the Messenger https://t.co/5PDmc9fICo
— CCC Updates (@chaosupdates) August 4, 2021
Auch der Chaos Computer Club (CCC) kritisiert in einem Beitrag auf seiner Website das Vorgehen und erwähnt hier explizit die CDU. Laut dem CCC habe die Partei das «implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt». CCC-Sprecher Linus Neumann schreibt zudem: «Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten.»
Sicherheitsforscherin Wittmann lässt sich von der Anzeige zumindest nicht davon abbringen, allgemein weiter nach Schwachstellen zu suchen und diese zu melden. «Ich habe natürlich weiterhin ein Interesse, die Digitalisierung in Deutschland sicherer zu gestalten», sagt Wittmann. «Der CDU werde ich aber auch keine Lücken mehr melden. Das ist ja irgendwie logisch.»
CDU-Bundesgeschäftsführer Stefan Hennewig hat am Mittwochnachmittag auf Twitter geschrieben, dass sich die Anzeige der CDU nicht gegen das «Responsible Disclosure Verfahren» von Wittmann gerichtet habe. «Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen», schreibt Hennewig.
Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen. (4/5)— Stefan Hennewig (@StefanHennewig) August 4, 2021
Laut Hennewig kam es im «Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns». Sicherheitsforscherin Wittmann habe mit diesen Vorgängen aber nichts zu tun, weshalb die Anzeige zurückgezogen wurde.
«Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz», sagt Wittmann dem Spiegel. Sie habe «angesichts der Fehlerkultur und des Unverständnisses der Partei für die digitale Welt genau so ein Verhalten von der CDU erwartet.»
Gerade Anzahlung für meine Strafverteidigung geleistet. Denn was @StefanHennewig in seinem Thread nicht erwähnte: Nur weil die #CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt.
— Lilith Wittmann (@LilithWittmann) August 4, 2021
Da Menschen das finanziell unterstützen wollten: https://t.co/y5Kc4KlM4T
(avr/t-online/oli)
Statt dankbar zu sein, dass dich jemand auf einen schweren Fehler in deinem Programm hinweist, rechtlich gegen die Person vorgehen? Und sich wundern, wenn die nächste Sicherheitslücke von weniger netten Individuen gefunden wird, welche die etwas böses wollen?
Das beste, was dir passieren kann (ausser dass du versehentlich eine fehlerfreie Software erzeugt hast), ist, wenn dir ein WhiteHat Fehler meldet.
Ganz klar die Schuld von demjenigen, welcher die Lücke gefunden hat."
Trump könnte auch für diese Partei kandidieren.