Die CDU, Connect-App und die Hackerin: Was war da los?

Eine Aktivistin des Chaos Computer Clubs (CCC) weist die CDU auf eine Sicherheitslücke in deren Wahlkampf-App hin – und bekommt daraufhin eine Anzeige.

Da sorgte die CDU wohl unfreiwillig für hohe Wellen: Eine Aktivistin des CCC entdeckt eine Sicherheitslücke in der Wahlkampf-App, informiert die CDU darüber und bekommt statt einem Dank eine Anzeige. Doch laut der CDU war die Anzeige ein Irrtum.

Lilith Wittmann ist das, was allgemein als „Hackerin“ bezeichnet wird, jedoch sitzt sie wohl eher weniger mit schwarzem Hoodie vor einem Laptop, wie man es gerne auf Symbolbildern sieht. Der Begriff „Sicherheitsforscherin“ ist da angebrachter, denn sie dringt nicht etwa böswillig in fremde Systeme ein, wie es sich viele unter „hacken“ vorstellen, sondern forscht nach Sicherheitslücken und weist die Unternehmen dann darauf hin.

Dies tat sie auch mit Connect-App, der Wahlkampf-App der CDU, bekam aber kurz darauf eine Strafanzeige mit Anfrage der Adresse per Mail geschickt.

Die Vorgeschichte

Am 12. Mai berichtete Lilith Wittmann auf ihrem Blog (siehe HIER) über die Sicherheitslücke. Die App namens CDU-connect-App wird seit 2017 von Wahlkampfhelfern genutzt, um Daten von Haustürgesprächen, potenziellen Unterstützern und Kritikern erfasst.

Laut dem CDU Connect-Team erfasst die App keine personenbezogenen Daten, jedoch wollte die Aktivistin es genauer wissen: Sie lud sich die App runter und entdeckte in ihr nicht nur signifikante Verstöße gegen übliche Sicherheitsrichtlinien, sondern konnte auch mit einigen Kniffen auf die kompletten, erfassten Daten zugreifen.

Zwar wurden tatsächlich keine direkten, personenbezogenen Daten erfasst, doch aufgrund der anderen Daten wie Straße, Koordinaten, Geschlecht und Alter konnte man sehr einfach die erfassten Aussagen auf Einzelpersonen zurückführen.

Wittmann meldete daraufhin die Bedenken beim CERT-Bund, dem Berliner Datenschutzbeauftragten, am nächsten Tag auch noch dem Datenschutz der CDU. Die App wurde daraufhin vorerst offline genommen, um die Sicherheitslücken zu schließen.

Durch eine Prüfung unserer IT-Struktur sind wir von @LilithWittmann auf eine Sicherheitslücke unserer App hingewiesen worden, die es notwendig machte, die App vorsorglich vom Server zu nehmen. (1/2)

— connect (@connectcdu) May 12, 2021

Die Responsible Disclosure

Bei der „Responsible Disclosure“ (zu Deutsch: Verantwortungsvolle Offenlegung) handelt es sich um ein Verfahren in der IT-Sicherheit, welche auch auf diesen Fall zutrifft:

Entdecker einer Sicherheitslücke melden diese an die betroffene Organisation oder das Unternehmen, diese bekommen genug Zeit, die Schwachstellen zu beseitigen, danach darf der Entdecker oder die Entdeckerin öffentlich über die Schwachstelle informieren. Im Normalfall werden die Entdecker nicht vergütet, eine Strafanzeige erfolgt auch nie – schließlich war das im Prinzip eine kostenlose Lektion für die IT-Sicherheit eines Unternehmens.

Die Anzeige

Normalerweise wäre die Sache damit erledigt – wenn Lilith Wittmann nicht plötzlich eine Mail erhalten hätte, in der ihr bezüglich der Connect-App eine Strafanzeige angekündigt wurde.

Hey #Jurabubbel jemand zufällig Zeit für ein bisschen #cyber #Strafrecht? #cduconnect #dawareineHackerindrin
Und ja die #CDU hat genau so viel Ehre wie erwartet. pic.twitter.com/D3SZOFmHCr

— Lilith Wittmann 🇺🇦 (@LilithWittmann) August 3, 2021

Sie sei als Beschuldigte in einem Ermittlungsverfahren betreffend der CDU Connect Application geführt, man benötige allerdings noch eine ladungsfähige Anschrift.

Dem Chaos Computer Club (CCC), für den die Aktivistin tätig ist, gefiel ein solcher Verstoß gegen die Responsible Disclosure-Regelung natürlich gar nicht: In einem Blog-Beitrag (siehe HIER) verkünden sie, der CDU keine Sicherheitslücken mehr zu melden, da sie ja nun damit rechnen müssen, jedes Mal eine Strafanzeige zu erhalten.

Kein Witz. #cduconnect pic.twitter.com/D59w43Hn3L

— erzaehlmirnix (@erzaehlmirnix) August 4, 2021

Die CDU rudert zurück

Der Bundesgeschäftsführer der CDU, Stefan Hennewig, berichtet in einem Thread auf Twitter (siehe HIER), dass die Anzeige gegen Lilith Wittmann nicht aufgrund der nachträglichen Veröffentlichung der Sicherheitslücke erfolgte, sondern weil es angeblich auch zu einer Veröffentlichung von personenbezogenen Daten kam.

Allerdings kam es im Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns – außerhalb des RD. (3/5)

— Stefan Hennewig (@StefanHennewig) August 4, 2021

Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen. (4/5)

— Stefan Hennewig (@StefanHennewig) August 4, 2021

Hennewig habe die Anzeige gegen Lilith Wittmann beim LKA zurückgezogen. Ob diese Rücknahme aber überhaupt so einfach möglich ist, steht noch offen:

So kann eine Strafanzeige nach § 158 StPO nicht zurückgenommen werden, die Behörden müssen weiter ermitteln (Legalitätsprinzip. Ein Strafantrag gemäß den §§ 77 StGB, den nur Geschädigte stellen können (in dem Fall also die CDU), kann jedoch zurückgenommen werden, das Verfahren wird dann aber nur in Ausnahmefällen beendet (Quelle).

Fazit

Man schießt nicht auf die Botin! Eine schnelle Anzeige gegen die Person, die sie auf die Sicherheitslücke aufmerksam machte, weil angeblich Daten aus der App geleakt wurden und sie ja vielleicht die Täterin gewesen sein könnte, zeugt eher von einem sehr übereilten und trotzigem Verhalten.

Man bedenke, dass die App seit 2017 eingesetzt wird und Wittmann die Sicherheitslücke eher aus reiner Neugier entdeckte. In der Zeit könnten böswillige Hacker schon längst die Daten eingesehen und geleakt haben – doch stattdessen wird auf die Botin geschossen, die erste Person, die die CDU auf die Sicherheitslücke hinwies.

Auch interessant:

Im Allgemeinen als jene Gestalten bekannt, die auf Bildern oft mit Sturmhaube oder Kapuzenpulli (gerne auch mit Sonnenbrille) im Dunkeln vor dem PC sitzen und Daten stehlen.

• Gute Hacker, böse Hacker – Was ist der Unterschied?