CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.

Ein IMHO von veröffentlicht am
Mit ihrem unsouveränen Umgang mit einer Sicherheitslücke schadet die CDU der IT-Sicherheit insgesamt.
Mit ihrem unsouveränen Umgang mit einer Sicherheitslücke schadet die CDU der IT-Sicherheit insgesamt. (Bild: Olaf Kosinsky/Wikimedia Commons/CC-BY-SA 3.0)

Es ist absurd: Die CDU hat im Wahlkampf eine App eingesetzt, bei der es trivial möglich war, massenhaft Datensätze über Wahlkämpfende und potenzielle Wählerinnen und Wähler auszulesen. Herausgefunden hat das die IT-Sicherheitsexpertin Lilith Wittmann. Doch statt Dank hat Wittman nun eine Mail des Berliner Landeskriminalamts erhalten, in der ihr mitgeteilt wird, dass sie Beschuldigte in einem Ermittlungsverfahren ist.

Stellenmarkt
  1. Testautomatisierer IoT Suite (w/m/d)
    SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. Fachinformatiker (m/w/d)
    ZTG Zentrum für Telematik und Telemedizin GmbH, Hagen
Detailsuche

Laut Wittmann hatte die CDU ihr gegenüber bereits angedeutet, dass man die Angelegenheit zur Anzeige bringen wolle. Inzwischen hat die Partei wohl eingesehen, dass das Ganze keine gute Idee war und um Entschuldigung gebeten. Trotzdem zeigt der ganze Vorgang ein Problem.

Lilith Wittmann hat sich vorbildlich verhalten

Lilith Wittmann hat sich beim Umgang mit der Sicherheitslücke vorbildlich verhalten. Sie hat das Problem zunächst an dafür zuständige Behörden und später an die CDU selbst über deren Datenschutzbeauftragte gemeldet. Es ist absurd, dass sie dafür juristische Folgen befürchten muss.

Glücklicherweise sind derartige Vorfälle selten. Dass Menschen, die sich mit IT-Sicherheit beschäftigen, Lücken finden und an die Verantwortlichen melden, ist alltäglich. Die Reaktionen sind dabei sehr gemischt. Manchmal werden Probleme schnell behoben und man bedankt sich, in vielen Fällen werden sie ignoriert. Aber juristische Drohungen, Anzeigen und Anklagen sind die Ausnahme.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Doch auch die Einzelfälle wie der von Lilith Wittmann und der CDU sorgen dafür, dass viele Hackerinnen und Hacker sich Gedanken machen müssen, welche Risiken ihnen drohen. Das ist absolut fatal, denn gerade unabhängige IT-Sicherheitsforschung ist ein wichtiges Korrektiv für die allgemein desolate Lage der Sicherheit im Internet.

Dabei ist es auch absolut wichtig, dass über solche Sicherheitslücken öffentlich berichtet wird. Zum einen ist jede öffentliche Dokumentation einer Sicherheitslücke eine Chance für andere, daraus etwas zu lernen. Zum anderen sind solche Berichte auch wichtig, weil der dadurch befürchtete öffentliche Imageschaden oft der einzige Grund für Firmen und andere Institutionen ist, sich überhaupt um IT-Sicherheit zu bemühen.

Natürlich muss man hier der CDU vorwerfen, dass sie sehr ungeschickt agiert und damit der IT-Sicherheit geschadet hat. Doch das Grundproblem liegt tiefer.

Verantwortliche für IT-Sicherheitslücken haben kaum juristische Folgen zu befürchten

Während IT-Sicherheitsforscherinnen und -forscher juristischen Ärger befürchten müssen, obwohl sie das ethisch richtige getan haben, müssen diejenigen, die geradezu absurd unsichere Apps und Systeme entwickeln und nutzen, kaum Folgen befürchten. Eine Haftung für IT-Sicherheitslücken gibt es in aller Regel nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bemerkenswert an dem Vorfall um die CDU-Connect-App ist nämlich nicht nur die unprofessionelle Reaktion, sondern auch, dass die Sicherheitslücken allzu offensichtlich waren. Es ist absolut klar, dass bei der Entwicklung Sicherheit überhaupt keine Rolle gespielt hat. Trotzdem wurde eine solche App in großem Umfang eingesetzt.

Dass überhaupt ein Verfahren gegen die Person eröffnet wurde, die auf diese Probleme hingewiesen hat, und nicht gegen die, die dafür verantwortlich waren, ist der eigentliche Skandal. Die aktuelle Gesetzeslage lässt das zu und ist somit schädlich für die IT-Sicherheit.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Frank1965 09. Aug 2021 / Themenstart

Was man hier halt (wieder mal) anschaulich demonstriert bekommt, ist dass diese Leute...

Nasenbaer 05. Aug 2021 / Themenstart

Es geht nicht darum den einzelnen Entwickler in die Haftung zu nehmen, sondern das...

Nasenbaer 05. Aug 2021 / Themenstart

Genau, komplexe Probleme brauchen polemische Lösungen. :facepalm: Erstens ist Nordafrika...

chefin 05. Aug 2021 / Themenstart

Die App ist weg, der Server tot, was genau willst du anschauen? Geh weiter, hier gibts...

reset3 05. Aug 2021 / Themenstart

Man muss dazu auch klar sagen, dass der Gesetzgeber hier glasklar versagt hat. Dass das...

Kommentieren



Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Bundestagswahl 2021: Laschet und Scholz wollen beide Kanzler werden
    Bundestagswahl 2021
    Laschet und Scholz wollen beide Kanzler werden

    Die Union erzielt bei der Bundestagswahl 2021 ihr bislang schlechtestes Ergebnis. Dennoch will Spitzenkandidat Laschet Kanzler einer "Zukunftskoalition" werden.

  2. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

  3. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /