Connect-App: CDU nimmt Wahlkampf-App nach Datenleck offline

Nachdem die CDU behauptet hatte, die App sammele keine persönlichen Daten, sah sich eine Entwicklerin die App näher an - und wurde fündig.

Artikel veröffentlicht am ,
Die Wahlkampf-App der CDU gab personenbezogene Daten preis.
Die Wahlkampf-App der CDU gab personenbezogene Daten preis. (Bild: DAVID GANNON/AFP via Getty Images)

Die CDU nutzt zum Wahlkampf seit 2016 eine App mit den Namen Connect. Auf dem dazugehörigen Twitteraccount schreibt das Team der CDU am Mittwoch: "Durch eine Prüfung unserer IT-Struktur sind wir von Lilith Wittmann auf eine Sicherheitslücke unserer App hingewiesen worden, die es notwendig machte, die App vorsorglich vom Server zu nehmen". Die Entwicklerin Wittmann ist auf die App aufmerksam geworden und hat die App daraufhin untersucht, wie sie in einem ausführlichen Blogpost schreibt.

Stellenmarkt
  1. Experte / Inhouse Consultant Cyber Security Product Governance (m/w/d)
    DRÄXLMAIER Group, Vilsbiburg bei Landshut
  2. Servicemanagerin Finanzwesen (m/w/d)
    Hannoversche Informationstechnologien AöR (hannIT), Hannover (Home-Office möglich)
Detailsuche

In der Analyse von Wittmann heißt es zunächst: "Ich wurde auf die App am 11.05.2021 via Twitter aufmerksam, weil sich dort Menschen fragten, wie die Datenerfassung der App aus einer Datenschutzperspektive legal sein kann. Das Team um CDU Connect antwortete auf diese Frage, dass die App überhaupt keine personenbezogenen Daten erfassen würde". Dieses Versprechen konnte die App jedoch nicht halten, wie Wittmann belegt.

Zur Sicherheit der App heißt es in dem Blog: "Auf den ersten Blick ist mir dabei aufgefallen, dass die App gängige Security Practises wie Zertifikatspinning nicht umsetzt und dass es somit supereinfach war, auf die Programmierschnittstelle zuzugreifen." Wittmann gelang es hier, zusätzlich dazu weitere Parameter an die Abfragen der App anzuhängen und erhielt schließlich entsprechende Antworten vom Server mit detaillierten Informationen der Kampagne.

Daten aus Haustürwahlkampf einsehbar

Die CDU nutzt die Connect-App für den sogenannten Haustürwahlkampf und soll dabei helfen, Informationen dazu zu speichern. Also etwa, an welcher Tür schon geklingelt worden ist, ob die Tür geöffnet worden ist, die Einstellung der Angetroffenen zur CDU und Ähnliches. Wittmann erklärt nun, dass diese Daten einfach abgerufen werden konnten.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
Weitere IT-Trainings

Dies betreffe die "persönlichen Daten von 18.500 Wahlkampfhelfern, mit E-Mail-Adressen, Fotos" sowie "persönlichen Daten von 1.350 Unterstützer*innen, die angeworben wurden, der CDU im Wahlkampf zu helfen, inklusive Adresse, Geburtsdatum und Interessen". Darüber hinaus waren auch die von den Wahlkampfhelfern notierten Gesprächsinhalte einsehbar, aus denen wiederum personenbezogene Daten der Befragten ableitbar sind.

Wittmann zitiert hier als Beispiel etwa die Notiz: "Fragen, warum ich einfach so bei denen vorbeikomme und die vollquatsche wegen der CDU - 20-Jährige aus Königs Wusterhausen." Insgesamt seien laut Wittmann in der App "Hunderttausende Datensätze angefallen". Wittmann hat eigenen Angaben zufolge letztlich das CERT-Bund über die Sicherheitslücke informiert sowie den Berliner Datenschutzbeauftragten und die Zuständigen bei der CDU.

Dem Magazin Spiegel sagte die Partei: "Der CDU Deutschlands tut der Vorfall sehr leid und wir bitten für die entstandenen Unannehmlichkeiten um Entschuldigung." Darüber hinaus arbeite das Team der Connect-App "mit Hochdruck daran, die Lücke zu schließen. Wir informieren unsere Wahlkämpferinnen und Wahlkämpfer, sobald die App wieder in vollem Umfang zur Verfügung steht."

Den Vorgang kommentiert Wittmann mit der Frage: "Wenn eine Partei nicht fähig ist, ihre eigene Wahlkampf-App sicher und verantwortungsbewusst zu entwickeln, wie soll sie das dann mit der IT-Infrastruktur eines ganzen Landes hinbekommen?"

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


thrust26 04. Aug 2021

Stimmt. Und darum hat die CDU sie jetzt auch angezeigt. Dumm, dümmer, CDU.

berritorre 16. Mai 2021

Naja, die App ist ja wohl dazu gedacht Freiwillige zu finden, die für die Partei...

FreiGeistler 14. Mai 2021

Das ist nur ein Gerücht. Öl war viel zu wertvoll, der Effekt zu gering.

wingi 14. Mai 2021

Ich Widerspruch von "Wir sammeln überhaupt keine personenbezogene Daten" und...

Dystopinator 14. Mai 2021

die app wurde doch von midestens einer natürlichen person geschaffen, richtig? die hat...



Aktuell auf der Startseite von Golem.de
Lego Star Wars UCS AT-AT aufgebaut
"Das ist kein Mond, das ist ein Lego-Modell"

Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
Ein Praxistest von Oliver Nickel

Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
Artikel
  1. Kryptowährung im Fall: Bitcoin legt rasante Talfahrt hin
    Kryptowährung im Fall
    Bitcoin legt rasante Talfahrt hin

    Am Samstag setzte sich der Absturz des Bitcoin fort. Ein Bitcoin ist nur noch 34.200 US-Dollar wert. Auch andere Kryptowährungen machen Verluste.

  2. eStream: Airstream-Wohnwagen mit eigenem Elektroantrieb
    eStream
    Airstream-Wohnwagen mit eigenem Elektroantrieb

    Der Wohnwagen Airstream eStream besitzt einen eigenen Elektroantrieb nebst Akku. Das entlastet das Zugfahrzeug und eröffnet weitere Möglichkeiten.

  3. Andromeda: Dieses Microsoft-Smartphone-Betriebssystem erschien nie
    Andromeda
    Dieses Microsoft-Smartphone-Betriebssystem erschien nie

    Erstmals ist ein Blick auf Andromeda möglich - das Smartphone-Betriebssystem, das Microsoft bereits vor einigen Jahren eingestellt hat.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 120,95€ • Alternate (u.a. AKRacing Master Pro Deluxe 449,98€) • Seagate FireCuda 530 1 TB (PS5) 189,90€ • RTX 3070 989€ • The A500 Mini 189,90€ • Intel Core i9 3.7 459,50€ • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /