Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an

Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

Artikel veröffentlicht am ,
Die CDU geht offenbar rechtlich gegen die Melderin einer Sicherheitslücke vor.
Die CDU geht offenbar rechtlich gegen die Melderin einer Sicherheitslücke vor. (Bild: Sean Gallup/Getty Images)

Die Sicherheitsforscherin Lilith Wittmann ist offenbar von der CDU wegen einer von ihr aufgedeckten Sicherheitslücke in der Wahlkampf-App der Partei angezeigt worden. Das geht aus einer Twitter-Nachricht hervor, in der Wittmann fragt: "Hey Jurabubble jemand zufällig Zeit für ein bisschen Cyber-Strafrecht?"

Stellenmarkt
  1. Service Manager (m/w/d) Datenbanksysteme
    operational services GmbH & Co. KG, Leinfelden-Echterdingen, Dresden, Ingolstadt, Wolfsburg
  2. Data Scientist (w/m/d)
    AGF Videoforschung GmbH, Frankfurt am Main
Detailsuche

In der Nachricht ist außerdem der Screenshot einer E-Mail der Polizei eingefügt, in der erklärt wird, dass Wittmann in einem Ermittlungsverfahren mit Bezug auf die CDU-Connect-App als Beschuldigte geführt wird. Die E-Mail stammt demnach von der Zentralstelle Cybercrime des Berliner Landeskriminalamts. Wittmann wird darin gebeten, der Polizei eine ladungsfähige Anschrift mitzuteilen.

Wittmann wurde eigenen Angaben zufolge im Frühjahr dieses Jahres über Twitter auf die CDU-Connect-App aufmerksam, "weil sich dort Menschen fragten, wie die Datenerfassung der App aus einer Datenschutzperspektive legal sein kann." Laut dem zuständigen Team der CDU habe die App aber "überhaupt keine personenbezogenen Daten" erfasst. In ihrer Untersuchung konnte Wittmann jedoch belegen, dass die App dieses Versprechen nicht halten konnte.

Die CDU nutzt die Connect App für den sogenannten Haustürwahlkampf, sie soll dabei helfen, Informationen dazu zu speichern. Also etwa, an welcher Tür schon geklingelt wurde, ob die Tür geöffnet wurde, die Einstellung der Angetroffenen zur CDU und Ähnliches. Wittmann erklärte, dass diese Daten einfach abgerufen werden konnten.

Sicherheitslücke verantwortungsbewusst gemeldet

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Mobile Device Management mit Microsoft Intune
    22.-23. November 2021, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

Nachdem Wittmann die Lücken an das Cert und das BSI gemeldet hatte und darüber auch an die Betreiber, hatte die CDU die App zwischenzeitlich offline genommen. Die Plattform der App, die von einer Agentur erstellt wurde, wird darüber hinaus auch von anderen Parteien genutzt, wie etwa der CSU. Auch dort fanden sich die gleichen Lücken, wie Wittmann schrieb.

Als Reaktion auf den nun wohl vorliegenden Strafantrag gegen Wittmann schreibt der Chaos Computer Club: "Der CCC wird CDU-Schwachstellen künftig nicht mehr melden". Und zum konkreten Vorgehen der CDU heißt es weiter: "Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell". Das ist bei der CDU aber wohl nicht geschehen.

Ein sogenanntes Responsible Disclosure sei damit künftig nicht mehr möglich. "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", sagte CCC-Sprecher Linus Neumann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Nachtrag vom 4. August 2021, 15:17 Uhr

Der Bundesgeschäftsführer der CDU, Stefan Hennewig, hat inzwischen bestätigt, dass die CDU "Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App" erstattet habe. Die Anzeige richtet sich demnach aber nicht gegen das "Responsible-Disclosure-Verfahren von Lilith Wittmann". Vielmehr sei es zuvor schon "auch zu einer Veröffentlichung personenbezogener Daten durch Dritte" gekommen.

Weiter schreibt Hennewig: "Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen."

Nachtrag vom 5. August 2021, 9:03 Uhr

In der Süddeutschen Zeitung zeigt sich Wittmann verwundert über die Stellungnahme von Hennewig. Demnach sei ihr Name in der Anzeige nicht nur "erwähnt" worden: "In der Überschrift steht: 'Anzeige gegen Lilith Wittmann und unbekannt'. So viel dazu.", sagte Wittmann der Zeitung. Darüber hinaus heißt es: "Die Anzeige war definitiv kein Versehen."

Auf Twitter schreibt Wittmann außerdem: "Nur weil die CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt." Sie hat sich deshalb bereits um eine Strafverteidigung in der Sache gekümmert und sammelt Gelder für die anfallenden Kosten.

Der Autor meint dazu:

Mit dem Vorgehen, eine verantwortungsbewusste Sicherheitsforscherin anzuzeigen, diskreditiert sich die CDU in ihrer vermeintlichen Digitalkompetenz völlig. Statt selbst Verantwortung für die Lücke zu übernehmen, soll diejenige, die für Sicherheit sorgen will, schuld an der Lücke sein. Das hat aber mit echter Sicherheit nichts zu tun. Und wie der CCC nun zeigt, dürfte darüber hinaus niemand mehr freiwillig mit der Partei zusammenarbeiten wollen, um Lücken zu melden. Das gefährdet aktiv die Sicherheit der IT-Systeme der Partei, die nun im Zweifel schutzlos bleiben könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Standard 09. Aug 2021 / Themenstart

kwt

ilovekuchen 08. Aug 2021 / Themenstart

Schau Mal wie viele Brücken gebaut werden für die es keine Straße gibt.

stan__lemur 07. Aug 2021 / Themenstart

Das eine bedingt das andere, obwohl - da war ja nicht wirklich eine Lücke, sondern seit...

DieTatsaechlich... 07. Aug 2021 / Themenstart

Nein, er ist bloß 15 und hat die Geschichte der Partei einfach nicht auf dem Schirm. Die...

stan__lemur 06. Aug 2021 / Themenstart

Welche Lücke? Das war "works as designed" - die API akzeptiert und beantwortet die...

Kommentieren



Aktuell auf der Startseite von Golem.de
Amtlicher Energiekostenvergleich  
Benzinkosten mehr als doppelt so teuer wie Ladestrom

Vom 1. Oktober an müssen große Tankstellen einen Energiekostenvergleich aushängen. Dabei schneiden Elektroautos derzeit am besten ab.

Amtlicher Energiekostenvergleich: Benzinkosten mehr als doppelt so teuer wie Ladestrom
Artikel
  1. Bundestagswahl 2021: Laschet und Scholz wollen beide Kanzler werden
    Bundestagswahl 2021
    Laschet und Scholz wollen beide Kanzler werden

    Die Union erzielt bei der Bundestagswahl 2021 ihr bislang schlechtestes Ergebnis. Dennoch will Spitzenkandidat Laschet Kanzler einer "Zukunftskoalition" werden.

  2. Bundesregierung: Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt
    Bundesregierung
    Erst 11 Prozent der Glasfaserförderung wurden ausgezahlt

    Städte- und Gemeindebund verlangt, den Förder-Dschungel für Glasfaser zu beseitigen. Versuche gab es viele.

  3. Diablo 2 Resurrected im Test: Der dunkle Fürst der Zeitfresser ist auferstanden
    Diablo 2 Resurrected im Test
    Der dunkle Fürst der Zeitfresser ist auferstanden

    Gelungene Umsetzung für Konsolen, überarbeitete Grafik und Detailverbesserungen: Bei Diablo 2 Resurrected herrscht Lange-Nacht-Gefahr.
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u. a. DeepCool Matrexx 55 V3 ADD-RGB WH 49,98€) • Thunder X3 TC5 145,89€ • Toshiba Canvio Desktop 6 TB ab 99€ • Samsung 970 EVO Plus 2 TB 208,48€ • Lenovo-Laptops zu Bestpreisen • 19% auf Sony-TVs bei MM • WISO Steuer-Start 2021 10,39€ • Samsung Odyssey G7 499€ [Werbung]
    •  /