Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an

Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

Artikel veröffentlicht am ,
Die CDU geht offenbar rechtlich gegen die Melderin einer Sicherheitslücke vor.
Die CDU geht offenbar rechtlich gegen die Melderin einer Sicherheitslücke vor. (Bild: Sean Gallup/Getty Images)

Die Sicherheitsforscherin Lilith Wittmann ist offenbar von der CDU wegen einer von ihr aufgedeckten Sicherheitslücke in der Wahlkampf-App der Partei angezeigt worden. Das geht aus einer Twitter-Nachricht hervor, in der Wittmann fragt: "Hey Jurabubble jemand zufällig Zeit für ein bisschen Cyber-Strafrecht?"

Stellenmarkt
  1. IT Support / Helpdesk (m/w/d)
    Friedrich Lütze GmbH, Weinstadt
  2. Expert EFB Platform & Mobile Devices (m/w / divers)
    Eurowings Aviation GmbH, Köln
Detailsuche

In der Nachricht ist außerdem der Screenshot einer E-Mail der Polizei eingefügt, in der erklärt wird, dass Wittmann in einem Ermittlungsverfahren mit Bezug auf die CDU-Connect-App als Beschuldigte geführt wird. Die E-Mail stammt demnach von der Zentralstelle Cybercrime des Berliner Landeskriminalamts. Wittmann wird darin gebeten, der Polizei eine ladungsfähige Anschrift mitzuteilen.

Wittmann wurde eigenen Angaben zufolge im Frühjahr dieses Jahres über Twitter auf die CDU-Connect-App aufmerksam, "weil sich dort Menschen fragten, wie die Datenerfassung der App aus einer Datenschutzperspektive legal sein kann." Laut dem zuständigen Team der CDU habe die App aber "überhaupt keine personenbezogenen Daten" erfasst. In ihrer Untersuchung konnte Wittmann jedoch belegen, dass die App dieses Versprechen nicht halten konnte.

Die CDU nutzt die Connect App für den sogenannten Haustürwahlkampf, sie soll dabei helfen, Informationen dazu zu speichern. Also etwa, an welcher Tür schon geklingelt wurde, ob die Tür geöffnet wurde, die Einstellung der Angetroffenen zur CDU und Ähnliches. Wittmann erklärte, dass diese Daten einfach abgerufen werden konnten.

Sicherheitslücke verantwortungsbewusst gemeldet

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    24.-27.10.2022, virtuell
  2. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    28.11.-01.12.2022, virtuell
Weitere IT-Trainings

Nachdem Wittmann die Lücken an das Cert und das BSI gemeldet hatte und darüber auch an die Betreiber, hatte die CDU die App zwischenzeitlich offline genommen. Die Plattform der App, die von einer Agentur erstellt wurde, wird darüber hinaus auch von anderen Parteien genutzt, wie etwa der CSU. Auch dort fanden sich die gleichen Lücken, wie Wittmann schrieb.

Als Reaktion auf den nun wohl vorliegenden Strafantrag gegen Wittmann schreibt der Chaos Computer Club: "Der CCC wird CDU-Schwachstellen künftig nicht mehr melden". Und zum konkreten Vorgehen der CDU heißt es weiter: "Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell". Das ist bei der CDU aber wohl nicht geschehen.

Ein sogenanntes Responsible Disclosure sei damit künftig nicht mehr möglich. "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", sagte CCC-Sprecher Linus Neumann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Nachtrag vom 4. August 2021, 15:17 Uhr

Der Bundesgeschäftsführer der CDU, Stefan Hennewig, hat inzwischen bestätigt, dass die CDU "Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App" erstattet habe. Die Anzeige richtet sich demnach aber nicht gegen das "Responsible-Disclosure-Verfahren von Lilith Wittmann". Vielmehr sei es zuvor schon "auch zu einer Veröffentlichung personenbezogener Daten durch Dritte" gekommen.

Weiter schreibt Hennewig: "Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen."

Nachtrag vom 5. August 2021, 9:03 Uhr

In der Süddeutschen Zeitung zeigt sich Wittmann verwundert über die Stellungnahme von Hennewig. Demnach sei ihr Name in der Anzeige nicht nur "erwähnt" worden: "In der Überschrift steht: 'Anzeige gegen Lilith Wittmann und unbekannt'. So viel dazu.", sagte Wittmann der Zeitung. Darüber hinaus heißt es: "Die Anzeige war definitiv kein Versehen."

Auf Twitter schreibt Wittmann außerdem: "Nur weil die CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt." Sie hat sich deshalb bereits um eine Strafverteidigung in der Sache gekümmert und sammelt Gelder für die anfallenden Kosten.

Der Autor meint dazu:

Mit dem Vorgehen, eine verantwortungsbewusste Sicherheitsforscherin anzuzeigen, diskreditiert sich die CDU in ihrer vermeintlichen Digitalkompetenz völlig. Statt selbst Verantwortung für die Lücke zu übernehmen, soll diejenige, die für Sicherheit sorgen will, schuld an der Lücke sein. Das hat aber mit echter Sicherheit nichts zu tun. Und wie der CCC nun zeigt, dürfte darüber hinaus niemand mehr freiwillig mit der Partei zusammenarbeiten wollen, um Lücken zu melden. Das gefährdet aktiv die Sicherheit der IT-Systeme der Partei, die nun im Zweifel schutzlos bleiben könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Standard 09. Aug 2021

kwt

ilovekuchen 08. Aug 2021

Schau Mal wie viele Brücken gebaut werden für die es keine Straße gibt.

stan__lemur 07. Aug 2021

Das eine bedingt das andere, obwohl - da war ja nicht wirklich eine Lücke, sondern seit...

DieTatsaechlich... 07. Aug 2021

Nein, er ist bloß 15 und hat die Geschichte der Partei einfach nicht auf dem Schirm. Die...



Aktuell auf der Startseite von Golem.de
Wissensbasis
Wikipedia braucht eine neue Dimension

Manch ein Artikel auf Wikipedia ist so schwer zu verstehen, dass man sich nur noch einen einzigen Link wünscht: "Erklär es mir einfacher."
Ein IMHO von Boris Mayer

Wissensbasis: Wikipedia braucht eine neue Dimension
Artikel
  1. Flexpoint, Bfloat16, TensorFloat32, FP8: Dank KI zu neuen Gleitkommazahlen
    Flexpoint, Bfloat16, TensorFloat32, FP8
    Dank KI zu neuen Gleitkommazahlen

    Die Dominanz der KI-Forschung bringt die Gleitkommazahlen erstmals seit Jahrzehnten wieder durcheinander. Darauf muss auch die Hardware-Industrie reagieren.
    Von Sebastian Grüner

  2. Apple Watch 8 im Test: Eine Smartwatch für wirklich alle Fälle
    Apple Watch 8 im Test
    Eine Smartwatch für wirklich alle Fälle

    Die Apple Watch 8 sieht aus wie ihre Vorgängerin, im Test zeigt sich auch der Funktionsumfang sehr ähnlich. Es gibt aber interessante neue Sensoren.
    Ein Test von Tobias Költzsch

  3. Onlinesuche: Google bringt Neuerungen für Suche und Maps
    Onlinesuche
    Google bringt Neuerungen für Suche und Maps

    Die Google-Suche bekommt in Deutschland unter anderem die Kombi-Suche, bei Maps wird eine Highlights-Funktion eingeführt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek nur noch heute • Xbox Series S + FIFA 23 259€ • MindStar (Mega Fastro SSD 1TB 69€, KF DDR5-6000 32GB Kit 229€) • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ • Alternate (Be Quiet Tower-Gehäuse 89,90€) • PS5-Controller GoW Ragnarök Limited Edition vorbestellbar [Werbung]
    •  /