Digital
Online-Sicherheit

Lücke in CDU-App: Partei blamiert sich mit Anzeige gegen IT-Expertin

Die deutsche IT-Sicherheitsexpertin Lilith Wittmann hat eine Sicherheitslücke bei der CDU entdeckt.
Die deutsche IT-Sicherheitsexpertin Lilith Wittmann hat eine Sicherheitslücke bei der CDU entdeckt.screenshot: br

IT-Expertin entdeckt Lücke in CDU-App, Partei erstattet Anzeige und entschuldigt sich nun

Kurioses aus Deutschland: Sicherheitsforscherin Lilith Wittmann hatte im Mai Sicherheitslücken in der CDU-Wahlkampf-App «Connect» entdeckt und diese der Partei gemeldet. Die CDU erstattete nun Anzeige. Nach einem Proteststurm im Netz zieht die Partei die Anzeige zurück und entschuldigt sich.
05.08.2021, 10:2205.08.2021, 10:34
Mehr «Digital»
Ein Artikel von
t-online

Die CDU hat sich bei der Sicherheitsforscherin Lilith Wittmann bezüglich einer Anzeige im Zusammenhang mit der CDU-Wahlkampf-App «CDU Connect» entschuldigt. Auf Twitter verfasste der CDU-Bundesgeschäftsführer Stefan Hennewig einen Beitrag zu dem Vorfall. Es sei ein Fehler gewesen, Wittmanns Namen in der Anzeige zu nennen.

Wittmann ist unter anderem dafür bekannt, dass sie im Mai Sicherheitslücken in der CDU-Wahlkampf-App «Connect» entdeckt hatte. Wittmann konnte damals 20'000 Datensätze mit persönlichen Daten einsehen. 18'500 davon beinhalteten die persönlichen Daten von Wahlkampfhelfern: Namen, E-Mail-Adressen, Fotos.

Wittmann hatte die Lücke den entsprechenden Stellen wie dem deutschen Bundesamt für Sicherheit in der Informationstechnik und der CDU gemeldet. Bei dem sogenannten Responsible-Disclosure-Verfahren melden Sicherheitsforscher Lücken und veröffentlichen sie erst, wenn die Hersteller die Lücke geschlossen haben.

Wie Wittmann diese Woche auf Twitter mitteilte, bearbeite die Cybercrime-Abteilung des Landeskriminalamts Berlin (LKA) ein Ermittlungsverfahren gegen die IT-Expertin, das die «CDU Connect Applikation» betreffe.

Wittmann zeigte sich wenig überrascht. CDU-Kanzlerkandidat Armin Laschet habe sie damals in einem Interview negativ als Hackerin bezeichnet.

Im Gespräch mit watson-Medienpartner t-online sagte die Sicherheitsforscherin: «Es ist nicht wirklich ein Schock: Die CDU und die SPD haben damals den Hackerparagrafen trotz besseren Wissens beschlossen», sagte Wittmann. «Darum ist es nicht hundert Prozent unerwartet, wenn die CDU ihn gegen Sicherheitsforscher*innen einsetzt. Es ist aber trotzdem traurig.»

Der sogenannte Hackerparagraf macht den unbefugten Zugriff auf Daten Mithilfe von beispielsweise Computerprogrammen strafbar. Er wurde 2007 vom deutschen Bundestag mit den Stimmen der Union, SPD, FDP und den Grünen beschlossen. Sicherheitsexpertinnen und -Experten kritisieren jedoch, dass solche schwammig gehaltenen Gesetze verantwortungsvolle Sicherheitsforscherinnen gefährdeten, da sie selbst angezeigt werden könnten.

«Gesellschaftlicher Vertrag gebrochen»

Im sogenannten «Responsible Disclosure»-Verfahren suchen Sicherheitsforscher wie Wittmann – meist auf eigenem Antrieb – nach Sicherheitslücken und melden diese an offizielle Stellen wie Datenschutzbehörden sowie den Betreibern. Die Lücken werden im besten Fall schnell geschlossen und erst danach öffentlich gemacht. Die IT-Experten erhalten je nach Unternehmen oder Betreiber auch eine Belohnung, wenn diese ein sogenanntes «Bug-Bounty-Programm» anbieten.

Eine andere Methode wäre die «Full Disclosure», bei der Experten Sicherheitslücken sofort öffentlich machen, ohne dass Hersteller Zeit haben, sie zu beheben. Wittmann kritisiert im Gespräch mit t-online, dass die CDU durch die Klage einen «gesellschaftlichen Vertrag» gebrochen habe: «Eigentlich läuft das so: Wir Sicherheitsforscher melden Lücken und werden dafür nicht angeklagt», sagt Wittmann. «Mit der Einführung des Hackerparagrafs hat die Regierung aber schon damals gezeigt, dass sie sich nicht für gängige Standards in der IT-Sicherheit interessieren. Jetzt wissen wir Sicherheitsforscher*innen auch ganz offiziell, woran wir sind.»

Auch der IT-Rechtsanwalt Chan-jo-Jun merkt auf Twitter an, dass diese Strafverfolgung sich vor allem gegen Whistleblower richte.

Wittmann wünscht sich von der Politik Reformen: «Die einzige sinnvolle Massnahme wäre es, den Hackerparagrafen abzuschaffen und das IT-Sicherheitsrecht zu reformieren», sagt Wittmann. «Wir müssen weg vom Gedanken ‹shoot the messenger›, sondern brauchen ein sinnvolles IT-Sicherheitsgesetz mit beispielsweise Produkthaftung. Es müssen die Leute bestraft werden, die Sicherheitslücken fabrizieren und nicht die, die sie finden.»

Chaos Computer Club will CDU nicht mehr helfen

Ähnlich äussert sich auch Ulf Buermeyer, Jurist und Vorsitzender der Gesellschaft für Freiheitsrechte. Auf Twitter bezeichnet Buermeyer den Vorfall als «bitteres Beispiel für unser dysfunktionales IT-Strafrecht: Eigentlich sollte es die IT-Sicherheit verbessern! Bestraft werden sollten die, die persönliche Daten tausender Menschen in Gefahr bringen – aber nicht die, die Sicherheitslücken finden & verantwortungsvoll offenlegen.»

Auch der Chaos Computer Club (CCC) kritisiert in einem Beitrag auf seiner Website das Vorgehen und erwähnt hier explizit die CDU. Laut dem CCC habe die Partei das «implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt». CCC-Sprecher Linus Neumann schreibt zudem: «Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten.»

Sicherheitsforscherin Wittmann lässt sich von der Anzeige zumindest nicht davon abbringen, allgemein weiter nach Schwachstellen zu suchen und diese zu melden. «Ich habe natürlich weiterhin ein Interesse, die Digitalisierung in Deutschland sicherer zu gestalten», sagt Wittmann. «Der CDU werde ich aber auch keine Lücken mehr melden. Das ist ja irgendwie logisch.»

Anzeige zurückgezogen

CDU-Bundesgeschäftsführer Stefan Hennewig hat am Mittwochnachmittag auf Twitter geschrieben, dass sich die Anzeige der CDU nicht gegen das «Responsible Disclosure Verfahren» von Wittmann gerichtet habe. «Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen», schreibt Hennewig.

Laut Hennewig kam es im «Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns». Sicherheitsforscherin Wittmann habe mit diesen Vorgängen aber nichts zu tun, weshalb die Anzeige zurückgezogen wurde.

Wittmanns Replik

«Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz», sagt Wittmann dem Spiegel. Sie habe «angesichts der Fehlerkultur und des Unverständnisses der Partei für die digitale Welt genau so ein Verhalten von der CDU erwartet.»​

(avr/t-online/oli)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das Volla Phone gibt dir die Kontrolle über deine Daten zurück
1 / 17
Das Volla Phone gibt dir die Kontrolle über deine Daten zurück
Die Benutzeroberfläche (Volla OS) unterscheidet sich markant von Android oder iOS. Diese Slideshow zeigt die wichtigsten Funktionen.
Auf Facebook teilenAuf X teilen
Oppo X 2021: Das erste ausrollbare Smartphone
Video: watson
Das könnte dich auch noch interessieren:
22 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
-C-
05.08.2021 10:53registriert Februar 2016
Leider zeigt dieser Vorfall einmal mehr, wie fehlerhaft der Umgang mit IT-Sicherheitslücken noch immer ist.
Statt dankbar zu sein, dass dich jemand auf einen schweren Fehler in deinem Programm hinweist, rechtlich gegen die Person vorgehen? Und sich wundern, wenn die nächste Sicherheitslücke von weniger netten Individuen gefunden wird, welche die etwas böses wollen?
Das beste, was dir passieren kann (ausser dass du versehentlich eine fehlerfreie Software erzeugt hast), ist, wenn dir ein WhiteHat Fehler meldet.
890
Melden
Zum Kommentar
avatar
Dörfu
05.08.2021 12:04registriert Januar 2019
"Wäre die Lücke nicht entdeckt worden, hätte sie nicht existiert. Nun existiert sie und wir könnten Nachteile haben, weil wir Daten nicht genügend geschützt haben.
Ganz klar die Schuld von demjenigen, welcher die Lücke gefunden hat."
Trump könnte auch für diese Partei kandidieren.
741
Melden
Zum Kommentar
avatar
Thurgauo
05.08.2021 11:49registriert November 2017
#nieWiederCDU
281
Melden
Zum Kommentar
22
Russische Elitehacker greifen deutsche Parteien an – aus Gründen
Die Hackergruppe «Cozy Bear» mit Verbindungen zum russischen Auslandsgeheimdienst hat es offenbar auf die deutsche Politik abgesehen. Sie verschickten eine Schadsoftware per Mail.

Mehrere Parteien in Deutschland sind einem Medienbericht zufolge Ziel einer grossangelegten russischen Cyberattacke geworden. Laut einer am Freitag dem «Spiegel» vorliegenden Analyse der US-Sicherheitsfirma Mandiant versuchte die vom Kreml gesteuerte Hacker-Gruppierung «Cozy Bear», mehrere deutsche Parteien mit Schadsoftware anzugreifen.

Zur Story