CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.

Ein IMHO von veröffentlicht am
Mit ihrem unsouveränen Umgang mit einer Sicherheitslücke schadet die CDU der IT-Sicherheit insgesamt.
Mit ihrem unsouveränen Umgang mit einer Sicherheitslücke schadet die CDU der IT-Sicherheit insgesamt. (Bild: Olaf Kosinsky/Wikimedia Commons/CC-BY-SA 3.0)

Es ist absurd: Die CDU hat im Wahlkampf eine App eingesetzt, bei der es trivial möglich war, massenhaft Datensätze über Wahlkämpfende und potenzielle Wählerinnen und Wähler auszulesen. Herausgefunden hat das die IT-Sicherheitsexpertin Lilith Wittmann. Doch statt Dank hat Wittman nun eine Mail des Berliner Landeskriminalamts erhalten, in der ihr mitgeteilt wird, dass sie Beschuldigte in einem Ermittlungsverfahren ist.

Stellenmarkt
  1. Systemadministrator (w/m/d)
    Zimmer + Kreim GmbH & Co. KG, Brensbach
  2. Security Manager Analyse und Konzeption (w/m/d)
    EnBW Energie Baden-Württemberg AG, Karlsruhe
Detailsuche

Laut Wittmann hatte die CDU ihr gegenüber bereits angedeutet, dass man die Angelegenheit zur Anzeige bringen wolle. Inzwischen hat die Partei wohl eingesehen, dass das Ganze keine gute Idee war und um Entschuldigung gebeten. Trotzdem zeigt der ganze Vorgang ein Problem.

Lilith Wittmann hat sich vorbildlich verhalten

Lilith Wittmann hat sich beim Umgang mit der Sicherheitslücke vorbildlich verhalten. Sie hat das Problem zunächst an dafür zuständige Behörden und später an die CDU selbst über deren Datenschutzbeauftragte gemeldet. Es ist absurd, dass sie dafür juristische Folgen befürchten muss.

Glücklicherweise sind derartige Vorfälle selten. Dass Menschen, die sich mit IT-Sicherheit beschäftigen, Lücken finden und an die Verantwortlichen melden, ist alltäglich. Die Reaktionen sind dabei sehr gemischt. Manchmal werden Probleme schnell behoben und man bedankt sich, in vielen Fällen werden sie ignoriert. Aber juristische Drohungen, Anzeigen und Anklagen sind die Ausnahme.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Doch auch die Einzelfälle wie der von Lilith Wittmann und der CDU sorgen dafür, dass viele Hackerinnen und Hacker sich Gedanken machen müssen, welche Risiken ihnen drohen. Das ist absolut fatal, denn gerade unabhängige IT-Sicherheitsforschung ist ein wichtiges Korrektiv für die allgemein desolate Lage der Sicherheit im Internet.

Dabei ist es auch absolut wichtig, dass über solche Sicherheitslücken öffentlich berichtet wird. Zum einen ist jede öffentliche Dokumentation einer Sicherheitslücke eine Chance für andere, daraus etwas zu lernen. Zum anderen sind solche Berichte auch wichtig, weil der dadurch befürchtete öffentliche Imageschaden oft der einzige Grund für Firmen und andere Institutionen ist, sich überhaupt um IT-Sicherheit zu bemühen.

Natürlich muss man hier der CDU vorwerfen, dass sie sehr ungeschickt agiert und damit der IT-Sicherheit geschadet hat. Doch das Grundproblem liegt tiefer.

Verantwortliche für IT-Sicherheitslücken haben kaum juristische Folgen zu befürchten

Während IT-Sicherheitsforscherinnen und -forscher juristischen Ärger befürchten müssen, obwohl sie das ethisch richtige getan haben, müssen diejenigen, die geradezu absurd unsichere Apps und Systeme entwickeln und nutzen, kaum Folgen befürchten. Eine Haftung für IT-Sicherheitslücken gibt es in aller Regel nicht.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bemerkenswert an dem Vorfall um die CDU-Connect-App ist nämlich nicht nur die unprofessionelle Reaktion, sondern auch, dass die Sicherheitslücken allzu offensichtlich waren. Es ist absolut klar, dass bei der Entwicklung Sicherheit überhaupt keine Rolle gespielt hat. Trotzdem wurde eine solche App in großem Umfang eingesetzt.

Dass überhaupt ein Verfahren gegen die Person eröffnet wurde, die auf diese Probleme hingewiesen hat, und nicht gegen die, die dafür verantwortlich waren, ist der eigentliche Skandal. Die aktuelle Gesetzeslage lässt das zu und ist somit schädlich für die IT-Sicherheit.

IMHO ist der Kommentar von Golem.de. IMHO = In My Humble Opinion (Meiner bescheidenen Meinung nach).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Frank1965 09. Aug 2021 / Themenstart

Was man hier halt (wieder mal) anschaulich demonstriert bekommt, ist dass diese Leute...

Nasenbaer 05. Aug 2021 / Themenstart

Es geht nicht darum den einzelnen Entwickler in die Haftung zu nehmen, sondern das...

Nasenbaer 05. Aug 2021 / Themenstart

Genau, komplexe Probleme brauchen polemische Lösungen. :facepalm: Erstens ist Nordafrika...

chefin 05. Aug 2021 / Themenstart

Die App ist weg, der Server tot, was genau willst du anschauen? Geh weiter, hier gibts...

reset3 05. Aug 2021 / Themenstart

Man muss dazu auch klar sagen, dass der Gesetzgeber hier glasklar versagt hat. Dass das...

Kommentieren



Aktuell auf der Startseite von Golem.de
Venturi-Tunnel
Elektro-Motorrad mit Riesenloch auf der Teststrecke

White Motorcycle Concepts testet sein Elektromotorrad WMC250EV, bei dem der Fahrer auf einem riesigen Tunnel sitzt. Später soll es 400 km/h erreichen.

Venturi-Tunnel: Elektro-Motorrad mit Riesenloch auf der Teststrecke
Artikel
  1. Elektroauto: Cadillac Lyriq nach 19 Minuten weg
    Elektroauto
    Cadillac Lyriq nach 19 Minuten weg

    Einen der ersten Cadillac Lyriq zu reservieren, glich mehr einer Lotterie als einem Autokauf. In wenigen Minuten waren alle Luxus-Elektroautos vergriffen.

  2. SpaceX Inspiration 4: Laien-Astronauten nach Reise ins Weltall zurück auf der Erde
    SpaceX Inspiration 4
    Laien-Astronauten nach Reise ins Weltall zurück auf der Erde

    Die Weltraumtouristen der Dragon-Ramkapsel von SpaceX waren weiter weg von der Erde als die Besatzung der Internationalen Raumstation (ISS).

  3. Autos, Scooter und Fahrräder: Berlin reguliert Sharing-Mobilitätsangebote
    Autos, Scooter und Fahrräder
    Berlin reguliert Sharing-Mobilitätsangebote

    Die Nutzung des öffentlichen Raums durch Autos, Scooter und Fahrräder von Sharing-Unternehmen wird in Berlin reguliert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur noch heute: MM-Club-Tage (u. a. SanDisk Ultra 3D 2 TB 142,15€) • Corsair Vengeance RGB PRO 16-GB-Kit DDR4-3200 71,39€ • Corsair RM750x 750 W 105,89€ • WD Elements Desktop 12 TB 211,65€ • Alternate (u. a. Creative SB Z SE 71,98€) • ASUS ROG Crosshair VIII Hero WiFi 269,99€ [Werbung]
    •  /