Aktuelles

Die CDU, Connect-App und die Hackerin: Was war da los?

Ralf Nowotny, 5. August 2021
Die CDU, Connect-App und die Hackerin: Was war da los?
Artikelbild: Twitter Screenshots

Eine Aktivistin des Chaos Computer Clubs (CCC) weist die CDU auf eine Sicherheitslücke in deren Wahlkampf-App hin – und bekommt daraufhin eine Anzeige.

Da sorgte die CDU wohl unfreiwillig für hohe Wellen: Eine Aktivistin des CCC entdeckt eine Sicherheitslücke in der Wahlkampf-App, informiert die CDU darüber und bekommt statt einem Dank eine Anzeige. Doch laut der CDU war die Anzeige ein Irrtum.

Lilith Wittmann ist das, was allgemein als „Hackerin“ bezeichnet wird, jedoch sitzt sie wohl eher weniger mit schwarzem Hoodie vor einem Laptop, wie man es gerne auf Symbolbildern sieht. Der Begriff „Sicherheitsforscherin“ ist da angebrachter, denn sie dringt nicht etwa böswillig in fremde Systeme ein, wie es sich viele unter „hacken“ vorstellen, sondern forscht nach Sicherheitslücken und weist die Unternehmen dann darauf hin.

Dies tat sie auch mit Connect-App, der Wahlkampf-App der CDU, bekam aber kurz darauf eine Strafanzeige mit Anfrage der Adresse per Mail geschickt.

Die Vorgeschichte

Am 12. Mai berichtete Lilith Wittmann auf ihrem Blog (siehe HIER) über die Sicherheitslücke. Die App namens CDU-connect-App wird seit 2017 von Wahlkampfhelfern genutzt, um Daten von Haustürgesprächen, potenziellen Unterstützern und Kritikern erfasst.

Laut dem CDU Connect-Team erfasst die App keine personenbezogenen Daten, jedoch wollte die Aktivistin es genauer wissen: Sie lud sich die App runter und entdeckte in ihr nicht nur signifikante Verstöße gegen übliche Sicherheitsrichtlinien, sondern konnte auch mit einigen Kniffen auf die kompletten, erfassten Daten zugreifen.

Zwar wurden tatsächlich keine direkten, personenbezogenen Daten erfasst, doch aufgrund der anderen Daten wie Straße, Koordinaten, Geschlecht und Alter konnte man sehr einfach die erfassten Aussagen auf Einzelpersonen zurückführen.

Wittmann meldete daraufhin die Bedenken beim CERT-Bund, dem Berliner Datenschutzbeauftragten, am nächsten Tag auch noch dem Datenschutz der CDU. Die App wurde daraufhin vorerst offline genommen, um die Sicherheitslücken zu schließen.

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Die Responsible Disclosure

Bei der „Responsible Disclosure“ (zu Deutsch: Verantwortungsvolle Offenlegung) handelt es sich um ein Verfahren in der IT-Sicherheit, welche auch auf diesen Fall zutrifft:

Entdecker einer Sicherheitslücke melden diese an die betroffene Organisation oder das Unternehmen, diese bekommen genug Zeit, die Schwachstellen zu beseitigen, danach darf der Entdecker oder die Entdeckerin öffentlich über die Schwachstelle informieren. Im Normalfall werden die Entdecker nicht vergütet, eine Strafanzeige erfolgt auch nie – schließlich war das im Prinzip eine kostenlose Lektion für die IT-Sicherheit eines Unternehmens.

Die Anzeige

Normalerweise wäre die Sache damit erledigt – wenn Lilith Wittmann nicht plötzlich eine Mail erhalten hätte, in der ihr bezüglich der Connect-App eine Strafanzeige angekündigt wurde.

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Sie sei als Beschuldigte in einem Ermittlungsverfahren betreffend der CDU Connect Application geführt, man benötige allerdings noch eine ladungsfähige Anschrift.

Dem Chaos Computer Club (CCC), für den die Aktivistin tätig ist, gefiel ein solcher Verstoß gegen die Responsible Disclosure-Regelung natürlich gar nicht: In einem Blog-Beitrag (siehe HIER) verkünden sie, der CDU keine Sicherheitslücken mehr zu melden, da sie ja nun damit rechnen müssen, jedes Mal eine Strafanzeige zu erhalten.

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Die CDU rudert zurück

Der Bundesgeschäftsführer der CDU, Stefan Hennewig, berichtet in einem Thread auf Twitter (siehe HIER), dass die Anzeige gegen Lilith Wittmann nicht aufgrund der nachträglichen Veröffentlichung der Sicherheitslücke erfolgte, sondern weil es angeblich auch zu einer Veröffentlichung von personenbezogenen Daten kam.

Hennewig habe die Anzeige gegen Lilith Wittmann beim LKA zurückgezogen. Ob diese Rücknahme aber überhaupt so einfach möglich ist, steht noch offen:

So kann eine Strafanzeige nach § 158 StPO nicht zurückgenommen werden, die Behörden müssen weiter ermitteln (Legalitätsprinzip. Ein Strafantrag gemäß den §§ 77 StGB, den nur Geschädigte stellen können (in dem Fall also die CDU), kann jedoch zurückgenommen werden, das Verfahren wird dann aber nur in Ausnahmefällen beendet (Quelle).

Fazit

Man schießt nicht auf die Botin! Eine schnelle Anzeige gegen die Person, die sie auf die Sicherheitslücke aufmerksam machte, weil angeblich Daten aus der App geleakt wurden und sie ja vielleicht die Täterin gewesen sein könnte, zeugt eher von einem sehr übereilten und trotzigem Verhalten.

Man bedenke, dass die App seit 2017 eingesetzt wird und Wittmann die Sicherheitslücke eher aus reiner Neugier entdeckte. In der Zeit könnten böswillige Hacker schon längst die Daten eingesehen und geleakt haben – doch stattdessen wird auf die Botin geschossen, die erste Person, die die CDU auf die Sicherheitslücke hinwies.

Auch interessant:
Im Allgemeinen als jene Gestalten bekannt, die auf Bildern oft mit Sturmhaube oder Kapuzenpulli (gerne auch mit Sonnenbrille) im Dunkeln vor dem PC sitzen und Daten stehlen.

Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel