Sicherheitslücken in CDU-connect-App: Strafverfahren gegen Entdeckerin

Gegen eine Entwicklerin, die Sicherheitslücken in insgesamt drei Wahlkampf-Apps entdeckt hatte, wird ermittelt. Dabei war sie verantwortungsbewusst vorgegangen.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 421 Beiträge

(Bild: Shutterstock/Electric Egg)

Von
  • Martin Holland

Gegen eine Softwareentwicklerin, die in einer App der CDU für den Haustürwahlkampf eklatante Sicherheitslücken gefunden hat, wurde ein Strafverfahren eingeleitet. Das hat Lilith Wittmann auf Twitter öffentlich gemacht. Demnach wird sie in dem Ermittlungsverfahren als Beschuldigte geführt.

Von wem das Verfahren eingeleitet wird, geht es aus dem Statement nicht hervor, aber Wittmann weist darauf hin, dass die CDU ihr gegenüber schon angedeutet habe, den Vorgang zur Anzeige bringen zu wollen. In einer ersten Reaktion hat der Chaos Computer Club umgehend angekündigt, der CDU künftig keine Sicherheitslücken mehr melden zu wollen.

Bei der "CDU-connect-App" – und zwei baugleichen Anwendungen der CDU und von Österreichs Volkspartei mit denselben Lücken – handelt es sich um Software für Wahlkämpfende. Die sollen damit erfassen, wo sie im Wahlkampf bereits geklingelt und was sie dort besprochen haben. Wittmann war nach eigener Aussage bei einer Analyse der Anwendung schnell auf Lücken gestoßen und konnte unter anderem über 18.000 Datensätze zu Wahlkämpfenden für die CDU einsehen. Auch auf Details zu den Besuchten habe man aus den Daten schließen können, auch wenn keine personenbezogenen Daten zu denen von der Anwendung gespeichert wurden. Wittmann hatte nach eigenen Angaben nicht nur den CERT-Bund und Berlins Datenschutzbeauftragten, sondern auch die CDU informiert.

Die Apps für Android und iOS waren umgehend nach den Hinweisen offline genommen worden, inzwischen sind sie wieder verfügbar. Einzelheiten zu dem nun anhängigen Verfahren gibt es bislang nicht, eine Anfrage von heise online an die CDU wurde noch nicht beantwortet. Trotzdem hat der einflussreiche Chaos Computer Club bereits reagiert und der CDU öffentlich mitgeteilt, gefunden Sicherheitslücken künftig nicht mehr im Verfahren der sogenannten Responsible Disclosure mitteilen zu wollen. Dank dieser impliziten Vereinbarung könnten IT-Schwachstellen gemeldet werden, ohne dass Entdecker und Entdeckerinnen juristische Konsequenzen befürchten müssen. Die habe die CDU aber nun aufgekündigt.

Wenn die CDU Überbringende von schlechten Nachrichten angreife und nicht das Problem, zeige sie sich äußerst undankbar für die ehrenamtliche Nachhilfe. Dabei handle es sich doch immerhin um eine "eine kostenlose Nachhilfe in IT-Sicherheit", die im vorliegenden Fall etwa dem Schutz von 18.000 Personen diente. Um rechtliche Auseinandersetzungen, wie sie Wittmann nun drohen, in Zukunft zu vermeiden, "sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten", erklärte CCC-Sprecher Linus Neumann nun, und der "CCC wünscht CDU viel Glück bei zukünftigen Schwachstellen".

[Update 04.08.2021 – 15:20 Uhr] Inzwischen hat die CDU eingestanden, dass die Anzeige von ihr stammt. Die soll zurückgezogen werden, bei Wittmann habe man sich entschuldigt.

(mho)