Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an

Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

Artikel veröffentlicht am ,
Die CDU geht offenbar rechtlich gegen die Melderin einer Sicherheitslücke vor.
Die CDU geht offenbar rechtlich gegen die Melderin einer Sicherheitslücke vor. (Bild: Sean Gallup/Getty Images)

Die Sicherheitsforscherin Lilith Wittmann ist offenbar von der CDU wegen einer von ihr aufgedeckten Sicherheitslücke in der Wahlkampf-App der Partei angezeigt worden. Das geht aus einer Twitter-Nachricht hervor, in der Wittmann fragt: "Hey Jurabubble jemand zufällig Zeit für ein bisschen Cyber-Strafrecht?"

Stellenmarkt
  1. Softwaretester / Testingenieur (m/w/d)
    Swarco Shared Service GmbH, Unterensingen
  2. CRM Solutions Expert (m/f/d)
    Allianz Deutschland AG, München
Detailsuche

In der Nachricht ist außerdem der Screenshot einer E-Mail der Polizei eingefügt, in der erklärt wird, dass Wittmann in einem Ermittlungsverfahren mit Bezug auf die CDU-Connect-App als Beschuldigte geführt wird. Die E-Mail stammt demnach von der Zentralstelle Cybercrime des Berliner Landeskriminalamts. Wittmann wird darin gebeten, der Polizei eine ladungsfähige Anschrift mitzuteilen.

Wittmann wurde eigenen Angaben zufolge im Frühjahr dieses Jahres über Twitter auf die CDU-Connect-App aufmerksam, "weil sich dort Menschen fragten, wie die Datenerfassung der App aus einer Datenschutzperspektive legal sein kann." Laut dem zuständigen Team der CDU habe die App aber "überhaupt keine personenbezogenen Daten" erfasst. In ihrer Untersuchung konnte Wittmann jedoch belegen, dass die App dieses Versprechen nicht halten konnte.

Die CDU nutzt die Connect App für den sogenannten Haustürwahlkampf, sie soll dabei helfen, Informationen dazu zu speichern. Also etwa, an welcher Tür schon geklingelt wurde, ob die Tür geöffnet wurde, die Einstellung der Angetroffenen zur CDU und Ähnliches. Wittmann erklärte, dass diese Daten einfach abgerufen werden konnten.

Sicherheitslücke verantwortungsbewusst gemeldet

Golem Karrierewelt
  1. Adobe Photoshop Aufbaukurs: virtueller Zwei-Tage-Workshop
    25./26.08.2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.10.2022, Virtuell
Weitere IT-Trainings

Nachdem Wittmann die Lücken an das Cert und das BSI gemeldet hatte und darüber auch an die Betreiber, hatte die CDU die App zwischenzeitlich offline genommen. Die Plattform der App, die von einer Agentur erstellt wurde, wird darüber hinaus auch von anderen Parteien genutzt, wie etwa der CSU. Auch dort fanden sich die gleichen Lücken, wie Wittmann schrieb.

Als Reaktion auf den nun wohl vorliegenden Strafantrag gegen Wittmann schreibt der Chaos Computer Club: "Der CCC wird CDU-Schwachstellen künftig nicht mehr melden". Und zum konkreten Vorgehen der CDU heißt es weiter: "Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell". Das ist bei der CDU aber wohl nicht geschehen.

Ein sogenanntes Responsible Disclosure sei damit künftig nicht mehr möglich. "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", sagte CCC-Sprecher Linus Neumann.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Nachtrag vom 4. August 2021, 15:17 Uhr

Der Bundesgeschäftsführer der CDU, Stefan Hennewig, hat inzwischen bestätigt, dass die CDU "Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App" erstattet habe. Die Anzeige richtet sich demnach aber nicht gegen das "Responsible-Disclosure-Verfahren von Lilith Wittmann". Vielmehr sei es zuvor schon "auch zu einer Veröffentlichung personenbezogener Daten durch Dritte" gekommen.

Weiter schreibt Hennewig: "Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen."

Nachtrag vom 5. August 2021, 9:03 Uhr

In der Süddeutschen Zeitung zeigt sich Wittmann verwundert über die Stellungnahme von Hennewig. Demnach sei ihr Name in der Anzeige nicht nur "erwähnt" worden: "In der Überschrift steht: 'Anzeige gegen Lilith Wittmann und unbekannt'. So viel dazu.", sagte Wittmann der Zeitung. Darüber hinaus heißt es: "Die Anzeige war definitiv kein Versehen."

Auf Twitter schreibt Wittmann außerdem: "Nur weil die CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt." Sie hat sich deshalb bereits um eine Strafverteidigung in der Sache gekümmert und sammelt Gelder für die anfallenden Kosten.

Der Autor meint dazu:

Mit dem Vorgehen, eine verantwortungsbewusste Sicherheitsforscherin anzuzeigen, diskreditiert sich die CDU in ihrer vermeintlichen Digitalkompetenz völlig. Statt selbst Verantwortung für die Lücke zu übernehmen, soll diejenige, die für Sicherheit sorgen will, schuld an der Lücke sein. Das hat aber mit echter Sicherheit nichts zu tun. Und wie der CCC nun zeigt, dürfte darüber hinaus niemand mehr freiwillig mit der Partei zusammenarbeiten wollen, um Lücken zu melden. Das gefährdet aktiv die Sicherheit der IT-Systeme der Partei, die nun im Zweifel schutzlos bleiben könnten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Standard 09. Aug 2021

kwt

ilovekuchen 08. Aug 2021

Schau Mal wie viele Brücken gebaut werden für die es keine Straße gibt.

stan__lemur 07. Aug 2021

Das eine bedingt das andere, obwohl - da war ja nicht wirklich eine Lücke, sondern seit...

DieTatsaechlich... 07. Aug 2021

Nein, er ist bloß 15 und hat die Geschichte der Partei einfach nicht auf dem Schirm. Die...



Aktuell auf der Startseite von Golem.de
Krieg der Steine
Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden

Lego hat einen Rechtsstreit um Mini-Figuren gegen einen Spielwarenhändler gewonnen, der Figuren aus China verkauft hat.

Krieg der Steine: Kopierte Lego-Mini-Figuren dürfen nicht verkauft werden
Artikel
  1. Web Components mit StencilJS: Mehr Klarheit im Frontend
    Web Components mit StencilJS
    Mehr Klarheit im Frontend

    Je mehr UI/UX in Anwendungen vorkommt, desto mehr Unordnung gibt es im Frontend. StencilJS zeigt, wie man verschiedene Frameworks mit Web Components zusammenbringt.
    Eine Anleitung von Martin Reinhardt

  2. Garmin Edge Explore 2 im Test: Fahrradnavigation als verkehrsberuhigtes Abenteuer
    Garmin Edge Explore 2 im Test
    Fahrradnavigation als verkehrsberuhigtes Abenteuer

    Tour mit wenig Autos gesucht? Das Fahrrad-Navigationsgerät Garmin Edge Explore 2 kann uns das verschaffen - mit teils unerwarteten Folgen.
    Ein Test von Peter Steinlechner

  3. USA: Tesla stoppt Bestellungen für das Model 3 Long Range
    USA
    Tesla stoppt Bestellungen für das Model 3 Long Range

    In den USA und Kanada übersteigt die Nachfrage nach dem Tesla Model 3 LR das Angebot, so dass Tesla erstmal keine Bestellungen mehr annimmt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • BenQ Mobiuz EX3410R 499€ • HyperX Cloud Flight heute für 44€ • MindStar (u. a. AMD Ryzen 5 5600X 169€, Intel Core i5-12400F 179€ und GIGABYTE RTX 3070 Ti Master 8G 699€ + 20€ Cashback) • Weekend Sale bei Alternate (u. a. AKRacing Master PRO für 353,99€) [Werbung]
    •  /