CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit

Es ist absurd: Die CDU hat im Wahlkampf eine App eingesetzt, bei der es trivial möglich war, massenhaft Datensätze über Wahlkämpfende und potenzielle Wählerinnen und Wähler auszulesen. Herausgefunden hat das die IT-Sicherheitsexpertin Lilith Wittmann. Doch statt Dank hat Wittman nun eine Mail des Berliner Landeskriminalamts erhalten, in der ihr mitgeteilt wird, dass sie Beschuldigte in einem Ermittlungsverfahren ist.

Laut Wittmann hatte die CDU ihr gegenüber bereits angedeutet, dass man die Angelegenheit zur Anzeige bringen wolle. Inzwischen hat die Partei wohl eingesehen, dass das Ganze keine gute Idee war und um Entschuldigung gebeten. Trotzdem zeigt der ganze Vorgang ein Problem.

Lilith Wittmann hat sich vorbildlich verhalten

Lilith Wittmann hat sich beim Umgang mit der Sicherheitslücke vorbildlich verhalten. Sie hat das Problem zunächst an dafür zuständige Behörden und später an die CDU selbst über deren Datenschutzbeauftragte gemeldet. Es ist absurd, dass sie dafür juristische Folgen befürchten muss.

Glücklicherweise sind derartige Vorfälle selten. Dass Menschen, die sich mit IT-Sicherheit beschäftigen, Lücken finden und an die Verantwortlichen melden, ist alltäglich. Die Reaktionen sind dabei sehr gemischt. Manchmal werden Probleme schnell behoben und man bedankt sich, in vielen Fällen werden sie ignoriert. Aber juristische Drohungen, Anzeigen und Anklagen sind die Ausnahme.

Doch auch die Einzelfälle wie der von Lilith Wittmann und der CDU sorgen dafür, dass viele Hackerinnen und Hacker sich Gedanken machen müssen, welche Risiken ihnen drohen. Das ist absolut fatal, denn gerade unabhängige IT-Sicherheitsforschung ist ein wichtiges Korrektiv für die allgemein desolate Lage der Sicherheit im Internet.

Dabei ist es auch absolut wichtig, dass über solche Sicherheitslücken öffentlich berichtet wird. Zum einen ist jede öffentliche Dokumentation einer Sicherheitslücke eine Chance für andere, daraus etwas zu lernen. Zum anderen sind solche Berichte auch wichtig, weil der dadurch befürchtete öffentliche Imageschaden oft der einzige Grund für Firmen und andere Institutionen ist, sich überhaupt um IT-Sicherheit zu bemühen.

Natürlich muss man hier der CDU vorwerfen, dass sie sehr ungeschickt agiert und damit der IT-Sicherheit geschadet hat. Doch das Grundproblem liegt tiefer.

Verantwortliche für IT-Sicherheitslücken haben kaum juristische Folgen zu befürchten

Während IT-Sicherheitsforscherinnen und -forscher juristischen Ärger befürchten müssen, obwohl sie das ethisch richtige getan haben, müssen diejenigen, die geradezu absurd unsichere Apps und Systeme entwickeln und nutzen, kaum Folgen befürchten. Eine Haftung für IT-Sicherheitslücken gibt es in aller Regel nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bemerkenswert an dem Vorfall um die CDU-Connect-App ist nämlich nicht nur die unprofessionelle Reaktion, sondern auch, dass die Sicherheitslücken allzu offensichtlich waren. Es ist absolut klar, dass bei der Entwicklung Sicherheit überhaupt keine Rolle gespielt hat. Trotzdem wurde eine solche App in großem Umfang eingesetzt.

Dass überhaupt ein Verfahren gegen die Person eröffnet wurde, die auf diese Probleme hingewiesen hat, und nicht gegen die, die dafür verantwortlich waren, ist der eigentliche Skandal. Die aktuelle Gesetzeslage lässt das zu und ist somit schädlich für die IT-Sicherheit.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).