Lücken in der connect-App: Wenn eine Hackerin bei der CDU anruft

Als Lilith Wittmann der CDU eine Lücke in ihrer App mitteilen wollte, hörte ihr keiner zu. Dann folgten Drohungen und eine Anzeige, erzählt sie im Interview.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 351 Beiträge

(Bild: ra2studio/Electric Egg/Shutterstock.com/heise online)

Von
  • Nico Ernst
Inhaltsverzeichnis

Die Berliner Softwareentwicklerin Lilith Wittmann hatte im Mai in der Handy-App CDU-connect gravierende Sicherheitslücken und daraufhin eine kaum gesicherte Datenbank mit Personendaten von über 18.000 Wahlkämpfenden im Web entdeckt. Im Zuge eines Responsible Disclosure informierte sie auch die Partei. Daraus ergab sich erst ein Jobangebot, dann eine Drohung und schließlich eine inzwischen zurückgezogene Anzeige. Das Ermittlungsverfahren läuft allerdings noch.

Frau Wittmann, wie kamen Sie dazu sich mit der Wahlkampf-App der CDU zu beschäftigen?

Das Thema ging damals auf Twitter herum und ich habe mich gewundert, dass da wohl massenhaft Daten von Wähler.innen und deren Meinung erfasst werden. Das klang nach etwas, das man einfach nicht tun sollte, wie man schon in den USA gesehen hatte.

Lilith Wittmann

(Bild: privat)

Wie lange hat es dann gedauert, die Lücke und die dahinter liegende Datenbank zu finden?

Vielleicht zwei oder drei Stunden für die Vulnerability. Es war so einfach, dass ich es fast nicht ausprobiert hätte – aber auf einmal hatte ich die ganze Datenbank in der Hand. Das Dokumentieren und Kommunizieren der Sicherheitslücke hat dann aber sehr viel länger gedauert.

Sie erklären in Ihrem Blogeintrag, BSI, CERT, der Landesdatenschutzbeauftragte und die CDU seien zeitgleich informiert worden. Dennoch werfen Ihnen manche Leute vor, das sei kein Responsible Disclosure gewesen, weil Sie schon vorher über Ihre Arbeit getwittert hatten.

Ich habe weder verraten, dass es eine Sicherheitslücke gibt noch irgendwelche Details. Dass ich sage, ich benutze dieses Ding, und ich schaue mir das an – das ist ja noch keine Aussage darüber, dass ich eine Lücke gefunden habe. Ich schreibe auch nichts über Lücken, solange sie nicht behoben sind oder die entsprechende Applikation offline ist.

Und warum gab es dann gleich Alarm bei so vielen Stellen?

Das BSI muss ich immer informieren, wenn es einen Datenabfluss gibt. Und aus meiner Sicht waren das auch personenbezogene Daten, daher der Landesdatenschutzbeauftragte. Als Erstes habe ich aber versucht, die CDU zu informieren. Aber es war schnell klar, dass da niemand mit mir am Telefon über Sicherheitslücken reden wollte.

Wen haben Sie da angesprochen?

Ich habe bei der Bundeszentrale der CDU angerufen und mich als Sicherheitsforscherin vorgestellt, die eine Lücke gefunden hat. Die haben mich dann dreimal weiterverbunden und dann hieß es: "Schreiben Sie mal eine Mail an unseren Datenschutzbeauftragten, wir wissen jetzt auch nicht was wir tun sollen". Das habe ich dann auch gemacht, parallel mit allen relevanten Behörden und dem Hinweis, dass sie sich damit in einem Prozess des Responsible Disclosure befinden. Aber zuerst habe ich versucht die Partei per Telefon zu bitten, dass sie das Ding offline nehmen.

Als Nächstes gab es das erste Gespräch mit dem CDU-Bundesgeschäftsführer Stefan Hennewig. Wie kam es dazu?

Er hat mich zuerst über seinen privaten Twitter-Account angeschrieben und um ein Gespräch gebeten. Kurz darauf haben wir telefoniert. Als Erstes sollte ich ihm bestätigen, dass ich keine persönlichen Daten von CDUlern gespeichert habe – hatte ich auch nicht, warum auch? Dann hat er mir angeboten für die Partei zu arbeiten, man habe da ganz viele Sicherheitsprobleme. Ich habe ihm dann erklärt, dass ich nicht für Leute arbeite, bei denen ich gerade Lücken gefunden habe, denn dann würde ich in der Sicherheitsbranche arbeiten und könnte das nicht mehr als zivilgesellschaftliches Engagement machen. Und dann habe ich ihm noch gesagt, was ich von der CDU halte.

Das scheint im Nachhinein ein Fehler gewesen zu sein...

Ja, er meinte, er müsse mich eigentlich schon anzeigen. Ich erklärte, dass ich das nicht glaube, und wir haben ein bisschen darüber gestritten, ob die CDU personenbezogene Daten von ihren Wählern speichert. Ich glaube das, und dann meint er nochmal, dass er mich anzeigen wolle. Daraufhin habe ich das Gespräch beendet.

Und dann passierte lange nichts, oder?

Bis auf die Tatsache, dass Armin Laschet mich im Fernsehen als "Hackerin" bezeichnet hat.

Das war in seinem Interview bei ProSieben am 17. Mai, und Sie haben sich über den Begriff auf Twitter ziemlich geärgert – warum?

Es kommt darauf an, wie man "Hacker" benutzt. Damit können Leute gemeint sein, die coole und kreative Sachen machen. Aber so wie Laschet das benutzt hat, quasi "da hat sich jemand reingehackt" ist das eindeutig negativ konnotiert. Deshalb versuche ich das in Interviews oft durch "IT-Sicherheitsforscherin" zu ersetzen.

Es dauerte dann bis zum 3. August, als ein Schreiben des LKA Berlin bei Ihnen eintraf, das über eine Anzeige informierte, und das Sie auch veröffentlicht haben. Kurz darauf meldet sich Stefan Hennewig wieder bei Ihnen.

Ja, und zwar gegen 11 Uhr am folgenden Tag. Er meinte, das sei dumm gelaufen, er hätte die Anzeige nicht selbst geschrieben, und da hätte mein Name nicht drinstehen sollen. Das hätte so nicht passieren dürfen, sagte er. Das habe ich als Pseudo-Entschuldigung aufgefasst. Wir haben noch etwas über die Digitalkompetenz der CDU geredet und er meinte: "Wo gehobelt wird, fallen Späne." Dann diskutierten wir über seine Absicht zu der Sache auch zu twittern und ich meinte: "Ich glaube nicht, dass das zu einer ordentlichen Entschuldigung führt oder die Sache irgendwie besser macht." Dann war das Gespräch auch schnell wieder beendet.

Jetzt kann man eine Anzeige nicht einfach so zurückziehen, da läuft ein Ermittlungsverfahren. Was für Konsequenzen hat das für Sie?

Ich habe von der Polizei bisher nicht wieder gehört, die müssen das erstmal weiter verfolgen. Und selbst eine Einstellung des Verfahrens wäre ja kein Freispruch. Der Ärger bleibt bestehen. Selbst wenn da jetzt irgendein Verfahren in meinen Akten landet... das ist nicht so toll, das muss nicht sein, aber des Risikos war ich mir immer bewusst.

Nach der Veröffentlichung der Anzeige auf Twitter gab es viel Zuspruch und der CCC hat angekündigt, keine Lücken mehr an die CDU zu melden, weil dann Anzeigen drohen. Hatten Sie mit so viel Unterstützung gerechnet?

Das hat völlig übertroffen, was ich erwartet hatte. Ich bin auch immer noch sehr glücklich über unsere großartige Zivilgesellschaft. Ich hatte nur gehofft, einen guten Anwalt zu finden.

Was müsste denn passieren um die Wogen zwischen der deutschen Security-Szene und der CDU wieder zu glätten?

Das Gesetz müsste geändert werden. Die CDU müsste sich wirklich dafür einsetzen, dass der Paragraf 202 des Strafgesetzbuchs so geändert wird, dass Sicherheitsforschung gefördert, und nicht verhindert wird.

Frau Wittmann, vielen Dank für das Gespräch.

(nie)