Blogheim.at Logo
Freitag, 24 September 2021
StartAktuelle Berichte von mimikamaDie CDU, Connect-App und die Hackerin: Was war da los?

Bitte unterstütze uns! Werde jetzt mimikamaPLUS- Abonnent und unterstütze so unser Handeln.

Die CDU, Connect-App und die Hackerin: Was war da los?

Facebook-Themen

Eine Aktivistin des Chaos Computer Clubs (CCC) weist die CDU auf eine Sicherheitslücke in deren Wahlkampf-App hin – und bekommt daraufhin eine Anzeige.

Da sorgte die CDU wohl unfreiwillig für hohe Wellen: Eine Aktivistin des CCC entdeckt eine Sicherheitslücke in der Wahlkampf-App, informiert die CDU darüber und bekommt statt einem Dank eine Anzeige. Doch laut der CDU war die Anzeige ein Irrtum.

Lilith Wittmann ist das, was allgemein als „Hackerin“ bezeichnet wird, jedoch sitzt sie wohl eher weniger mit schwarzem Hoodie vor einem Laptop, wie man es gerne auf Symbolbildern sieht. Der Begriff „Sicherheitsforscherin“ ist da angebrachter, denn sie dringt nicht etwa böswillig in fremde Systeme ein, wie es sich viele unter „hacken“ vorstellen, sondern forscht nach Sicherheitslücken und weist die Unternehmen dann darauf hin.

Dies tat sie auch mit Connect-App, der Wahlkampf-App der CDU, bekam aber kurz darauf eine Strafanzeige mit Anfrage der Adresse per Mail geschickt.

Die Vorgeschichte

Am 12. Mai berichtete Lilith Wittmann auf ihrem Blog (siehe HIER) über die Sicherheitslücke. Die App namens CDU-connect-App wird seit 2017 von Wahlkampfhelfern genutzt, um Daten von Haustürgesprächen, potenziellen Unterstützern und Kritikern erfasst.

Laut dem CDU Connect-Team erfasst die App keine personenbezogenen Daten, jedoch wollte die Aktivistin es genauer wissen: Sie lud sich die App runter und entdeckte in ihr nicht nur signifikante Verstöße gegen übliche Sicherheitsrichtlinien, sondern konnte auch mit einigen Kniffen auf die kompletten, erfassten Daten zugreifen.

Zwar wurden tatsächlich keine direkten, personenbezogenen Daten erfasst, doch aufgrund der anderen Daten wie Straße, Koordinaten, Geschlecht und Alter konnte man sehr einfach die erfassten Aussagen auf Einzelpersonen zurückführen.

Wittmann meldete daraufhin die Bedenken beim CERT-Bund, dem Berliner Datenschutzbeauftragten, am nächsten Tag auch noch dem Datenschutz der CDU. Die App wurde daraufhin vorerst offline genommen, um die Sicherheitslücken zu schließen.

Die Responsible Disclosure

Bei der „Responsible Disclosure“ (zu Deutsch: Verantwortungsvolle Offenlegung) handelt es sich um ein Verfahren in der IT-Sicherheit, welche auch auf diesen Fall zutrifft:

Entdecker einer Sicherheitslücke melden diese an die betroffene Organisation oder das Unternehmen, diese bekommen genug Zeit, die Schwachstellen zu beseitigen, danach darf der Entdecker oder die Entdeckerin öffentlich über die Schwachstelle informieren. Im Normalfall werden die Entdecker nicht vergütet, eine Strafanzeige erfolgt auch nie – schließlich war das im Prinzip eine kostenlose Lektion für die IT-Sicherheit eines Unternehmens.

Die Anzeige

Normalerweise wäre die Sache damit erledigt – wenn Lilith Wittmann nicht plötzlich eine Mail erhalten hätte, in der ihr bezüglich der Connect-App eine Strafanzeige angekündigt wurde.

Sie sei als Beschuldigte in einem Ermittlungsverfahren betreffend der CDU Connect Application geführt, man benötige allerdings noch eine ladungsfähige Anschrift.

Dem Chaos Computer Club (CCC), für den die Aktivistin tätig ist, gefiel ein solcher Verstoß gegen die Responsible Disclosure-Regelung natürlich gar nicht: In einem Blog-Beitrag (siehe HIER) verkünden sie, der CDU keine Sicherheitslücken mehr zu melden, da sie ja nun damit rechnen müssen, jedes Mal eine Strafanzeige zu erhalten.

Die CDU rudert zurück

Der Bundesgeschäftsführer der CDU, Stefan Hennewig, berichtet in einem Thread auf Twitter (siehe HIER), dass die Anzeige gegen Lilith Wittmann nicht aufgrund der nachträglichen Veröffentlichung der Sicherheitslücke erfolgte, sondern weil es angeblich auch zu einer Veröffentlichung von personenbezogenen Daten kam.

Hennewig habe die Anzeige gegen Lilith Wittmann beim LKA zurückgezogen. Ob diese Rücknahme aber überhaupt so einfach möglich ist, steht noch offen:

So kann eine Strafanzeige nach § 158 StPO nicht zurückgenommen werden, die Behörden müssen weiter ermitteln (Legalitätsprinzip. Ein Strafantrag gemäß den §§ 77 StGB, den nur Geschädigte stellen können (in dem Fall also die CDU), kann jedoch zurückgenommen werden, das Verfahren wird dann aber nur in Ausnahmefällen beendet (Quelle).

Fazit

Man schießt nicht auf die Botin! Eine schnelle Anzeige gegen die Person, die sie auf die Sicherheitslücke aufmerksam machte, weil angeblich Daten aus der App geleakt wurden und sie ja vielleicht die Täterin gewesen sein könnte, zeugt eher von einem sehr übereilten und trotzigem Verhalten.

Man bedenke, dass die App seit 2017 eingesetzt wird und Wittmann die Sicherheitslücke eher aus reiner Neugier entdeckte. In der Zeit könnten böswillige Hacker schon längst die Daten eingesehen und geleakt haben – doch stattdessen wird auf die Botin geschossen, die erste Person, die die CDU auf die Sicherheitslücke hinwies.

Auch interessant:
Im Allgemeinen als jene Gestalten bekannt, die auf Bildern oft mit Sturmhaube oder Kapuzenpulli (gerne auch mit Sonnenbrille) im Dunkeln vor dem PC sitzen und Daten stehlen.

Wir brauchen deine Unterstützung!

Im Gegensatz zu anderen Medien haben wir bei unseren Faktenchecks keine “Paywall” eingerichtet, denn wir möchten unsere Inhalte für alle offen halten. Wenn jeder, der unsere Faktenchecks liest, dabei hilft, diese zu finanzieren, wird es Mimikama auch weiterhin geben und wir können gemeinsam gegen Fake-News vorgehen. Unterstütze uns und trage auch du dazu bei, die Zukunft von Mimikama zu sichern. Hier kannst du unterstützen: via PayPal oder Patreon. Gerne kannst Du aber auch ein mimikamaPLUS- Abonnent werden.

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.

Aktuelle Artikel

Panorama