Connect-App: Hacker-Verfahren wegen CDU-Wahlkampf-App eingestellt

Die Staatsanwaltschaft hat das Verfahren im Zusammenhang mit der CDU-Connect-App eingestellt, wie die zuvor beschuldigte Entwicklerin Lilith Wittmann in ihrem Blog schreibt. Wittmann war im Frühjahr dieses Jahres auf die App aufmerksam geworden, fand Sicherheitslücken und meldete diese unter anderem der CDU. Die Partei entschied sich daraufhin dazu, Wittmann anzuzeigen.

Nachdem Wittmann die Lücken an das Cert und das BSI gemeldet hatte und zusätzlich auch an die Betreiber, nahm die CDU die App zwischenzeitlich offline. Die Plattform der App, die von einer Agentur erstellt wurde, wird auch von anderen Parteien genutzt, wie etwa der CSU. Auch dort fanden sich die gleichen Lücken, wie Wittmann schrieb.

Die CDU nutzt die Connect-App für den sogenannten Haustürwahlkampf und soll dabei helfen, Informationen dazu zu speichern. Also etwa, an welcher Tür schon geklingelt worden ist, ob die Tür geöffnet worden ist, die Einstellung der Angetroffenen zur CDU und Ähnliches. Wittmann hatte erklärt, dass diese Daten einfach ungeschützt abgerufen werden konnten.

Verfahren eingestellt

Grundlage der Anzeige der CDU gegen Wittmann war der sogenannte Hackerparagraf, der das Ausspähen von Daten unter Strafe stellt. Wittmann schreibt dazu: "Er berücksichtigt dabei in keiner Weise die Realität von Sicherheitsforscher*innen." Davor ist bereits vielfach gewarnt worden. Der Chaos Computer Club reagierte auf den Strafantrag der CDU damit, der Partei künftig keine Schwachstellen mehr melden zu wollen.

Wie Wittmann nun schreibt, ist das Verfahren gegen sie auch deshalb eingestellt worden, weil "keine entsprechende Sicherung der API" gegen unberechtigte Zugriffe stattgefunden habe. Die Daten waren damit "aus technischer Sicht öffentlich einsehbar", wie laut Wittmann aus der Akte hervorgeht. Deshalb fällt der gesamte Vorgang wohl auch nicht unter den Hackerparagrafen. Ebenso seien keinerlei Daten veröffentlicht worden, so dass sich die Staatsanwaltschaft dazu entschied, das Verfahren einzustellen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Wittmann schreibt zu der Erkenntnis der Staatsanwaltschaft außerdem: "dass die CDU ihre Daten überhaupt nicht geschützt hat, könnte für das anhängige DSGVO-Verfahren beim Berliner Datenschutz noch sehr spannend werden". Damit könnte Wittmann durchaus recht behalten, da ein Schutz persönlicher Daten ja eigentlich stattfinden muss, was hier aber offenbar nicht passiert ist.