Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an

Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

Artikel veröffentlicht am ,
Die CDU geht offenbar rechtlich gegen die Melderin einer Sicherheitslücke vor.
Die CDU geht offenbar rechtlich gegen die Melderin einer Sicherheitslücke vor. (Bild: Sean Gallup/Getty Images)

Die Sicherheitsforscherin Lilith Wittmann ist offenbar von der CDU wegen einer von ihr aufgedeckten Sicherheitslücke in der Wahlkampf-App der Partei angezeigt worden. Das geht aus einer Twitter-Nachricht hervor, in der Wittmann fragt: "Hey Jurabubble jemand zufällig Zeit für ein bisschen Cyber-Strafrecht?"

Stellenmarkt
  1. IT Manager Project Management Office (PMO) - Finance (m/w/d)
    ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. Java Entwickler (m/w/d)
    Technische Universität Darmstadt, Darmstadt
Detailsuche

In der Nachricht ist außerdem der Screenshot einer E-Mail der Polizei eingefügt, in der erklärt wird, dass Wittmann in einem Ermittlungsverfahren mit Bezug auf die CDU-Connect-App als Beschuldigte geführt wird. Die E-Mail stammt demnach von der Zentralstelle Cybercrime des Berliner Landeskriminalamts. Wittmann wird darin gebeten, der Polizei eine ladungsfähige Anschrift mitzuteilen.

Wittmann wurde eigenen Angaben zufolge im Frühjahr dieses Jahres über Twitter auf die CDU-Connect-App aufmerksam, "weil sich dort Menschen fragten, wie die Datenerfassung der App aus einer Datenschutzperspektive legal sein kann." Laut dem zuständigen Team der CDU habe die App aber "überhaupt keine personenbezogenen Daten" erfasst. In ihrer Untersuchung konnte Wittmann jedoch belegen, dass die App dieses Versprechen nicht halten konnte.

Die CDU nutzt die Connect App für den sogenannten Haustürwahlkampf, sie soll dabei helfen, Informationen dazu zu speichern. Also etwa, an welcher Tür schon geklingelt wurde, ob die Tür geöffnet wurde, die Einstellung der Angetroffenen zur CDU und Ähnliches. Wittmann erklärte, dass diese Daten einfach abgerufen werden konnten.

Sicherheitslücke verantwortungsbewusst gemeldet

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Nachdem Wittmann die Lücken an das Cert und das BSI gemeldet hatte und darüber auch an die Betreiber, hatte die CDU die App zwischenzeitlich offline genommen. Die Plattform der App, die von einer Agentur erstellt wurde, wird darüber hinaus auch von anderen Parteien genutzt, wie etwa der CSU. Auch dort fanden sich die gleichen Lücken, wie Wittmann schrieb.

Als Reaktion auf den nun wohl vorliegenden Strafantrag gegen Wittmann schreibt der Chaos Computer Club: "Der CCC wird CDU-Schwachstellen künftig nicht mehr melden". Und zum konkreten Vorgehen der CDU heißt es weiter: "Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell". Das ist bei der CDU aber wohl nicht geschehen.

Ein sogenanntes Responsible Disclosure sei damit künftig nicht mehr möglich. "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", sagte CCC-Sprecher Linus Neumann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Nachtrag vom 4. August 2021, 15:17 Uhr

Der Bundesgeschäftsführer der CDU, Stefan Hennewig, hat inzwischen bestätigt, dass die CDU "Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App" erstattet habe. Die Anzeige richtet sich demnach aber nicht gegen das "Responsible-Disclosure-Verfahren von Lilith Wittmann". Vielmehr sei es zuvor schon "auch zu einer Veröffentlichung personenbezogener Daten durch Dritte" gekommen.

Weiter schreibt Hennewig: "Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen."

Nachtrag vom 5. August 2021, 9:03 Uhr

In der Süddeutschen Zeitung zeigt sich Wittmann verwundert über die Stellungnahme von Hennewig. Demnach sei ihr Name in der Anzeige nicht nur "erwähnt" worden: "In der Überschrift steht: 'Anzeige gegen Lilith Wittmann und unbekannt'. So viel dazu.", sagte Wittmann der Zeitung. Darüber hinaus heißt es: "Die Anzeige war definitiv kein Versehen."

Auf Twitter schreibt Wittmann außerdem: "Nur weil die CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt." Sie hat sich deshalb bereits um eine Strafverteidigung in der Sache gekümmert und sammelt Gelder für die anfallenden Kosten.

Der Autor meint dazu:

Mit dem Vorgehen, eine verantwortungsbewusste Sicherheitsforscherin anzuzeigen, diskreditiert sich die CDU in ihrer vermeintlichen Digitalkompetenz völlig. Statt selbst Verantwortung für die Lücke zu übernehmen, soll diejenige, die für Sicherheit sorgen will, schuld an der Lücke sein. Das hat aber mit echter Sicherheit nichts zu tun. Und wie der CCC nun zeigt, dürfte darüber hinaus niemand mehr freiwillig mit der Partei zusammenarbeiten wollen, um Lücken zu melden. Das gefährdet aktiv die Sicherheit der IT-Systeme der Partei, die nun im Zweifel schutzlos bleiben könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Standard 09. Aug 2021 / Themenstart

kwt

ilovekuchen 08. Aug 2021 / Themenstart

Schau Mal wie viele Brücken gebaut werden für die es keine Straße gibt.

stan__lemur 07. Aug 2021 / Themenstart

Das eine bedingt das andere, obwohl - da war ja nicht wirklich eine Lücke, sondern seit...

DieTatsaechlich... 07. Aug 2021 / Themenstart

Nein, er ist bloß 15 und hat die Geschichte der Partei einfach nicht auf dem Schirm. Die...

stan__lemur 06. Aug 2021 / Themenstart

Welche Lücke? Das war "works as designed" - die API akzeptiert und beantwortet die...

Kommentieren



Aktuell auf der Startseite von Golem.de
Urteil zu Schrems II
US-Datentransfer kann mit Verschlüsselung abgesichert werden

Der belgische Staatsrat hat ein wichtiges Urteil zum Datentransfer in die USA gefällt. Doch wann reicht die Verschlüsselung von Daten wirklich aus?
Ein Bericht von Christiane Schulzki-Haddouti

Urteil zu Schrems II: US-Datentransfer kann mit Verschlüsselung abgesichert werden
Artikel
  1. Cyrcle Phone 2.0: Rundes Smartphone soll 700 Euro kosten
    Cyrcle Phone 2.0
    Rundes Smartphone soll 700 Euro kosten

    Dass Mobiltelefone in den letzten 20 Jahren meist nicht rund gewesen sind, scheint einen guten Grund zu haben, wie das Cyrcle Phone 2.0 zeigt.

  2. Ladesäulenverordnung: Bundesrat billigt Kartenzahlung an Ladesäulen
    Ladesäulenverordnung
    Bundesrat billigt Kartenzahlung an Ladesäulen

    Fürs E-Auto-Tanken an der Ladesäule werden bisher oft spezielle Kundenkarten gebraucht. Künftig reicht die Debit- oder Kreditkarte.

  3. Mercedes-Benz-COO Schäfer: Das Heil liegt nicht in 2- oder 7-nm-Chips
    Mercedes-Benz-COO Schäfer
    "Das Heil liegt nicht in 2- oder 7-nm-Chips"

    IAA 2021 Der Autokonzern Daimler will sich künftig sehr intensiv um die Herstellung und Lieferung von Chips kümmern - angefangen bei den Wafer-Produzenten.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • iPhone 13: jetzt alle Modelle vorbestellbar • Sony Pulse 3D PS5-Headset Midnight Black vorbestellbar 89,99€ • Breaking Deals mit Club-Rabatten (u. a. Samsung 65" QLED 1.189,15€) • WD Black SN750 1TB 96,99€ • Amazon Exklusives in 4K-UHD • GP Anniversary Sale: History & War [Werbung]
    •  /