CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.

Ein IMHO von veröffentlicht am
Mit ihrem unsouveränen Umgang mit einer Sicherheitslücke schadet die CDU der IT-Sicherheit insgesamt.
Mit ihrem unsouveränen Umgang mit einer Sicherheitslücke schadet die CDU der IT-Sicherheit insgesamt. (Bild: Olaf Kosinsky/Wikimedia Commons/CC-BY-SA 3.0)

Es ist absurd: Die CDU hat im Wahlkampf eine App eingesetzt, bei der es trivial möglich war, massenhaft Datensätze über Wahlkämpfende und potenzielle Wählerinnen und Wähler auszulesen. Herausgefunden hat das die IT-Sicherheitsexpertin Lilith Wittmann. Doch statt Dank hat Wittman nun eine Mail des Berliner Landeskriminalamts erhalten, in der ihr mitgeteilt wird, dass sie Beschuldigte in einem Ermittlungsverfahren ist.

Stellenmarkt
  1. SAP Job als FICO Berater (m/w/x)
    über duerenhoff GmbH, Hannover
  2. SAP-PLM & SAP-ECTR IT Consultant (m/w/d)
    Dürr IT Service GmbH, Bietigheim-Bissingen
Detailsuche

Laut Wittmann hatte die CDU ihr gegenüber bereits angedeutet, dass man die Angelegenheit zur Anzeige bringen wolle. Inzwischen hat die Partei wohl eingesehen, dass das Ganze keine gute Idee war und um Entschuldigung gebeten. Trotzdem zeigt der ganze Vorgang ein Problem.

Lilith Wittmann hat sich vorbildlich verhalten

Lilith Wittmann hat sich beim Umgang mit der Sicherheitslücke vorbildlich verhalten. Sie hat das Problem zunächst an dafür zuständige Behörden und später an die CDU selbst über deren Datenschutzbeauftragte gemeldet. Es ist absurd, dass sie dafür juristische Folgen befürchten muss.

Glücklicherweise sind derartige Vorfälle selten. Dass Menschen, die sich mit IT-Sicherheit beschäftigen, Lücken finden und an die Verantwortlichen melden, ist alltäglich. Die Reaktionen sind dabei sehr gemischt. Manchmal werden Probleme schnell behoben und man bedankt sich, in vielen Fällen werden sie ignoriert. Aber juristische Drohungen, Anzeigen und Anklagen sind die Ausnahme.

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    29./30.08.2022, virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    24./25.08.2022, virtuell
Weitere IT-Trainings

Doch auch die Einzelfälle wie der von Lilith Wittmann und der CDU sorgen dafür, dass viele Hackerinnen und Hacker sich Gedanken machen müssen, welche Risiken ihnen drohen. Das ist absolut fatal, denn gerade unabhängige IT-Sicherheitsforschung ist ein wichtiges Korrektiv für die allgemein desolate Lage der Sicherheit im Internet.

Dabei ist es auch absolut wichtig, dass über solche Sicherheitslücken öffentlich berichtet wird. Zum einen ist jede öffentliche Dokumentation einer Sicherheitslücke eine Chance für andere, daraus etwas zu lernen. Zum anderen sind solche Berichte auch wichtig, weil der dadurch befürchtete öffentliche Imageschaden oft der einzige Grund für Firmen und andere Institutionen ist, sich überhaupt um IT-Sicherheit zu bemühen.

Natürlich muss man hier der CDU vorwerfen, dass sie sehr ungeschickt agiert und damit der IT-Sicherheit geschadet hat. Doch das Grundproblem liegt tiefer.

Verantwortliche für IT-Sicherheitslücken haben kaum juristische Folgen zu befürchten

Während IT-Sicherheitsforscherinnen und -forscher juristischen Ärger befürchten müssen, obwohl sie das ethisch richtige getan haben, müssen diejenigen, die geradezu absurd unsichere Apps und Systeme entwickeln und nutzen, kaum Folgen befürchten. Eine Haftung für IT-Sicherheitslücken gibt es in aller Regel nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bemerkenswert an dem Vorfall um die CDU-Connect-App ist nämlich nicht nur die unprofessionelle Reaktion, sondern auch, dass die Sicherheitslücken allzu offensichtlich waren. Es ist absolut klar, dass bei der Entwicklung Sicherheit überhaupt keine Rolle gespielt hat. Trotzdem wurde eine solche App in großem Umfang eingesetzt.

Dass überhaupt ein Verfahren gegen die Person eröffnet wurde, die auf diese Probleme hingewiesen hat, und nicht gegen die, die dafür verantwortlich waren, ist der eigentliche Skandal. Die aktuelle Gesetzeslage lässt das zu und ist somit schädlich für die IT-Sicherheit.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Frank1965 09. Aug 2021

Was man hier halt (wieder mal) anschaulich demonstriert bekommt, ist dass diese Leute...

Nasenbaer 05. Aug 2021

Es geht nicht darum den einzelnen Entwickler in die Haftung zu nehmen, sondern das...

Nasenbaer 05. Aug 2021

Genau, komplexe Probleme brauchen polemische Lösungen. :facepalm: Erstens ist Nordafrika...

chefin 05. Aug 2021

Die App ist weg, der Server tot, was genau willst du anschauen? Geh weiter, hier gibts...



Aktuell auf der Startseite von Golem.de
Der Herr der Ringe
Filme, Spiele und Sauron-Quietscheentchen

Abgesehen von den Buchrechten bekommt Mittelerde einen neuen Besitzer. Golem.de stellt schöne und schräge Lizenzprodukte vor.
Von Peter Steinlechner

Der Herr der Ringe: Filme, Spiele und Sauron-Quietscheentchen
Artikel
  1. E-Mountainbike Graveler 29 Zoll: Aldi verkauft Mountain-E-Bike von Prophete
    E-Mountainbike Graveler 29 Zoll
    Aldi verkauft Mountain-E-Bike von Prophete

    Aldi bietet ein sportliches E-Bike für knapp 1.000 Euro an. Das Graveler 29 Zoll ist für unwegsames Gelände und die Stadt gedacht und dabei recht leicht.

  2. Smartphones: Samsung senkt Absatzziel erneut
    Smartphones
    Samsung senkt Absatzziel erneut

    In der aktuellen wirtschaftlichen Lage der Welt kann Samsung offenbar auch nicht an den bereits reduzierten Zielen festhalten.

  3. Toyota, CATL etc.: China schließt Fabriken wegen Hitzewelle
    Toyota, CATL etc.
    China schließt Fabriken wegen Hitzewelle

    Unter anderem Chinas größter Batteriehersteller muss seine Fabriken in Sichuan für eine Woche schließen - Grund ist eine Hitzewelle.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 10%-Gaming-Gutschein bei eBay • Grafikkarten zu Tiefpreisen (Palit RTX 3090 Ti 1.391,98€, Zotac RTX 3090 1.298,99€, MSI RTX 3080 Ti 1.059€) • PS5 bei Amazon • HP HyperX Gaming-Maus 29€ statt 99€ • MindStar (ASRock RX 6900XT 869€) • Bester 2.000€-Gaming-PC [Werbung]
    •  /