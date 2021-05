Nachdem eine Softwareentwicklerin in einer App der CDU für den Haustürwahlkampf eklatante Sicherheitslücken gefunden hat, ist nicht nur die App offline genommen worden, sondern inzwischen noch zwei weitere Anwendungen anderer Parteien. Die Verantwortlichen der CDU-Anwendung namens Connect hatten am Mittwoch auf Twitter eingestanden, von Lilith Wittmann auf die Lücke aufmerksam gemacht worden zu sein. Es sei nötig geworden, "die App vorsorglich vom Server zu nehmen". Wittmann hatte daraufhin entdeckt, dass eine baugleiche App auch bei der CSU und der in Österreich regierenden Volkspartei im Einsatz war. Beiden wurden erst danach offline genommen.

Tausende Datensätze ungeschützt

Wie unter anderem der Spiegel berichtet, handelt es sich bei der "CDU-connect-App" – und damit auch den beiden anderen – um Anwendungen für Wahlkämpfende der Partei. Die sollen damit erfassen, wo sie im Wahlkampf bereits geklingelt und was sie dort besprochen haben. Enthalten sind demnach auch Gamification-Elemente, die die Motivation beim Abklappern der Haustüren erhöhen sollen. Wittmann ist laut eines ausführlichen Blogeintrags am Dienstag auf die Anwendung aufmerksam gemacht worden und schnell auf Lücken gestoßen. Vorher hatten die Verantwortlichen der App auf Twitter versichert, dass damit keine personenbezogenen Daten erfasst würden.

Weil bei der App auf gängige Sicherheitsmaßnahmen wie Zertifikatspinning verzichtet worden sei, konnte Wittmann auf dem zugehörigen Server jede Menge Daten einsehen. Dazu gehörten demnach über 18.000 Datensätze zu Wahlkämpfenden, die die App genutzt haben, sowie über 1300 Datensätze zu erfassten Unterstützer:innen. Zwar habe es keine personenbezogenen Daten zu den an der Haustür besuchten Personen gegeben, aber aus den anonymisierten Daten und den einsehbaren Gesprächsinhalten habe man teilweise sicher auf die schließen können. Wittmann hatte dann nach eigenen Angaben den CERT-Bund und Berlins Datenschutzbeauftragten informiert.

Am Mittwoch wurden die Apps für Android und iOS dann offline genommen und die Verantwortlichen haben die Betroffenen Wahlkämpfer:innen über die Sicherheitslücke informiert. Obwohl die wohl über Jahre offen gestanden hat, gehe man davon aus, dass außer Wittmann niemand Zugriff hatte. Die Entwicklerin recherchierte währenddessen die Entwicklungsfirma der App und hat darüber bemerkt, dass die auch bei der CSU und Österreichs Volkspartei im Einsatz war. Die sei aber nicht gleichzeitig offline genommen worden, kritisierte Wittmann mit deutlichen Worten. Das passierte erst am heutigen Donnerstag.

(mho)