CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.

Ein IMHO von veröffentlicht am
Mit ihrem unsouveränen Umgang mit einer Sicherheitslücke schadet die CDU der IT-Sicherheit insgesamt.
Mit ihrem unsouveränen Umgang mit einer Sicherheitslücke schadet die CDU der IT-Sicherheit insgesamt. (Bild: Olaf Kosinsky/Wikimedia Commons/CC-BY-SA 3.0)

Es ist absurd: Die CDU hat im Wahlkampf eine App eingesetzt, bei der es trivial möglich war, massenhaft Datensätze über Wahlkämpfende und potenzielle Wählerinnen und Wähler auszulesen. Herausgefunden hat das die IT-Sicherheitsexpertin Lilith Wittmann. Doch statt Dank hat Wittman nun eine Mail des Berliner Landeskriminalamts erhalten, in der ihr mitgeteilt wird, dass sie Beschuldigte in einem Ermittlungsverfahren ist.

Stellenmarkt
  1. IT Service Portfolio Manager (m/w/d)
    Soluvia IT-Services GmbH, Kiel, Mannheim, Offenbach
  2. Produktmanager (gn) für digitales Gebäudeschadenmanagement
    Property Expert GmbH, Langenfeld (Rheinland)
Detailsuche

Laut Wittmann hatte die CDU ihr gegenüber bereits angedeutet, dass man die Angelegenheit zur Anzeige bringen wolle. Inzwischen hat die Partei wohl eingesehen, dass das Ganze keine gute Idee war und um Entschuldigung gebeten. Trotzdem zeigt der ganze Vorgang ein Problem.

Lilith Wittmann hat sich vorbildlich verhalten

Lilith Wittmann hat sich beim Umgang mit der Sicherheitslücke vorbildlich verhalten. Sie hat das Problem zunächst an dafür zuständige Behörden und später an die CDU selbst über deren Datenschutzbeauftragte gemeldet. Es ist absurd, dass sie dafür juristische Folgen befürchten muss.

Glücklicherweise sind derartige Vorfälle selten. Dass Menschen, die sich mit IT-Sicherheit beschäftigen, Lücken finden und an die Verantwortlichen melden, ist alltäglich. Die Reaktionen sind dabei sehr gemischt. Manchmal werden Probleme schnell behoben und man bedankt sich, in vielen Fällen werden sie ignoriert. Aber juristische Drohungen, Anzeigen und Anklagen sind die Ausnahme.

Golem Karrierewelt
  1. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
  2. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    14.-18.11.2022, Virtuell
Weitere IT-Trainings

Doch auch die Einzelfälle wie der von Lilith Wittmann und der CDU sorgen dafür, dass viele Hackerinnen und Hacker sich Gedanken machen müssen, welche Risiken ihnen drohen. Das ist absolut fatal, denn gerade unabhängige IT-Sicherheitsforschung ist ein wichtiges Korrektiv für die allgemein desolate Lage der Sicherheit im Internet.

Dabei ist es auch absolut wichtig, dass über solche Sicherheitslücken öffentlich berichtet wird. Zum einen ist jede öffentliche Dokumentation einer Sicherheitslücke eine Chance für andere, daraus etwas zu lernen. Zum anderen sind solche Berichte auch wichtig, weil der dadurch befürchtete öffentliche Imageschaden oft der einzige Grund für Firmen und andere Institutionen ist, sich überhaupt um IT-Sicherheit zu bemühen.

Natürlich muss man hier der CDU vorwerfen, dass sie sehr ungeschickt agiert und damit der IT-Sicherheit geschadet hat. Doch das Grundproblem liegt tiefer.

Verantwortliche für IT-Sicherheitslücken haben kaum juristische Folgen zu befürchten

Während IT-Sicherheitsforscherinnen und -forscher juristischen Ärger befürchten müssen, obwohl sie das ethisch richtige getan haben, müssen diejenigen, die geradezu absurd unsichere Apps und Systeme entwickeln und nutzen, kaum Folgen befürchten. Eine Haftung für IT-Sicherheitslücken gibt es in aller Regel nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bemerkenswert an dem Vorfall um die CDU-Connect-App ist nämlich nicht nur die unprofessionelle Reaktion, sondern auch, dass die Sicherheitslücken allzu offensichtlich waren. Es ist absolut klar, dass bei der Entwicklung Sicherheit überhaupt keine Rolle gespielt hat. Trotzdem wurde eine solche App in großem Umfang eingesetzt.

Dass überhaupt ein Verfahren gegen die Person eröffnet wurde, die auf diese Probleme hingewiesen hat, und nicht gegen die, die dafür verantwortlich waren, ist der eigentliche Skandal. Die aktuelle Gesetzeslage lässt das zu und ist somit schädlich für die IT-Sicherheit.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Frank1965 09. Aug 2021

Was man hier halt (wieder mal) anschaulich demonstriert bekommt, ist dass diese Leute...

Nasenbaer 05. Aug 2021

Es geht nicht darum den einzelnen Entwickler in die Haftung zu nehmen, sondern das...

Nasenbaer 05. Aug 2021

Genau, komplexe Probleme brauchen polemische Lösungen. :facepalm: Erstens ist Nordafrika...

chefin 05. Aug 2021

Die App ist weg, der Server tot, was genau willst du anschauen? Geh weiter, hier gibts...



Aktuell auf der Startseite von Golem.de
Gene Roddenberrys andere Sci-Fi-Stoffe
Neben Star Trek leider fast vergessen

Der Name Gene Roddenberry steht vor allem für Star Trek. Nach dem Ende der klassischen Serie hat er aber noch andere Science-Fiction-Stoffe entwickelt.
Von Peter Osteried

Gene Roddenberrys andere Sci-Fi-Stoffe: Neben Star Trek leider fast vergessen
Artikel
  1. Illegales Streaming: House of Dragons bei Piraten beliebter als Ringe der Macht
    Illegales Streaming
    House of Dragons bei Piraten beliebter als Ringe der Macht

    Das Game-of-Thrones-Prequel hat mehr Zuschauer als die neue Herr-der-Ringe-Serie - zumindest via Bittorrent.

  2. Carsten Spohr: Lufthansa-Chef wird Opfer eigener Sicherheitslücke
    Carsten Spohr
    Lufthansa-Chef wird Opfer eigener Sicherheitslücke

    Unbekannte haben einen QR-Code auf einem Boardingpass von Lufthansa-Chef Carsten Spohr ausgelesen und auf persönliche Daten zugreifen können.

  3. Softwareentwicklung: Erste Schritte mit dem modernen Framework Flutter
    Softwareentwicklung
    Erste Schritte mit dem modernen Framework Flutter

    Flutter ist ein tolles und einfach zu erlernendes Framework, vor allem für die Entwicklung mobiler Apps. Eine Anleitung für ein erstes kleines Projekt.
    Eine Anleitung von Pascal Friedrich

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Bis -53% auf Gaming-Zubehör und bis -45% auf PC-Audio • Crucial 16-GB-Kit DDR5-4800 69,99€ • Crucial P2 1 TB 67,90€ • MindStar (u. a. Intel Core i5-12600 239€ und Fastro 2-TB-SSD 128€) • Logitech G Pro Gaming Keyboard 77,90€ • Apple iPhone 12 64 GB 659€ [Werbung]
    •  /