Deutschland

Datenleck bei der CDU: IT-Expertin zeigt Sicherheitslücken auf und erhält Strafanzeige

Hunderttausende teils sensible Daten von Bürgern und Unterstützern der CDU, CSU sowie der ÖVP waren aufgrund schwacher Datenschutzvorkehrungen im Netz nicht sicher. Eine IT-Sicherheitsforscherin vom Chaos Computer Club wies die CDU darauf hin. Als Dank folgte ein Strafantrag gegen die junge Frau.
Datenleck bei der CDU: IT-Expertin zeigt Sicherheitslücken auf und erhält StrafanzeigeQuelle: www.globallookpress.com

Die CDU, die CSU und die ÖVP nutzten die App "CDUconnect" der von CDU-Mitgliedern gegründeten PXN GmbH, um ihren Haustür-Wahlkampf zu dokumentieren und Informationen darüber auszuwerten.

Lilith Wittmann befasste sich mit dieser App und musste im Mai 2021 feststellen, dass sie höchst problematisch ist. Dies betraf einmal die persönlichen Daten von 18.500 Wahlkampfhelfern, samt E-Mail-Adressen und Fotos und zum anderen die persönlichen Daten von 1.350 Unterstützern der CDU, inklusive Adressen, Geburtsdaten und Interessen. Betroffen waren auch hunderttausende Datensätze, die im Rahmen von Haustürgesprächen erhoben wurden und ungeschützt und frei über das Netz zugänglich waren – inklusive der Interaktion mit den kontaktierten Personen sowie eine Million  Datensätze über deren politische Einstellungen:

"Wer hat wann an welcher Haustür geklingelt? Welches Alter und Geschlecht hatte die Person, die aufgemacht hat? Worüber wurde geredet und wie ist die Person zur CDU eingestellt?," schrieb Wittmann.

Wittmann war im Mai dieses Jahres auf die App aufmerksam geworden, weil dort die Frage aufgeworfen wurde, ob die Datenerfassung der App aus einer Datenschutzperspektive legal sein könne. Damals behauptete das Team um CDU Connect, dass die App überhaupt keine personenbezogenen Daten erfassen würde:

Doch Wittmann war keineswegs beruhigt und erwartete nach eigener Aussage bereits damals, dass sich in der App "interessante Sicherheitslücken finden lassen" – und nahm sie entsprechend unter die Lupe.

Auf für die junge Softwareentwicklerin einfache Weise gelangte sie daraufhin an detaillierte Informationen zu jedem in der App erfassten Besuch. Verantwortungsbewusst meldete sie diese eklatanten Schwachstellen der CDU-App an die Christdemokraten sowie zuständige Stellen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Berliner Datenschutzbeauftragten. Daraufhin wurde "die unsichere Datenbank abgeschaltet und die CDU gelobte Besserung. So weit, so alltäglich (leider)", schreibt der Chaos Computer Club (CCC).i

Die CDU hat die Sicherheitslücke damals bestätigt.

"Durch eine Prüfung unserer IT-Struktur sind wir von Lilith Wittmann auf eine Sicherheitslücke unserer App hingewiesen worden, die es notwendig machte, die App vorsorglich vom Server zu nehmen", so das CDU Team per Twitter.

Die Daten von 17.000 registrierten Wahlkämpfern sowie die Adressdaten von rund 1.300 Bürgern seien einsehbar gewesen, wurde die Partei im Mai vom Spiegel zitiert. "Der CDU Deutschland tut der Vorfall sehr leid und wir bitten für die entstandenen Unannehmlichkeiten um Entschuldigung."

Auch die CSU und die österreichische ÖVP nutzten die gleiche App in einem anderen Design und waren somit von den Sicherheitslücken betroffen. Die CSU und die ÖVP schalteten als Reaktion die App ebenfalls ab, allerdings erst, als die Öffentlichkeit davon erfuhr.

Mehr zum  Thema - Sicherheitslücke bei WhatsApp: Israelische Spionage-Software wurde durch Anruf installiert

"Undankbar" und "destruktiv" – Kritik an CDU

Die IT-Sicherheitsforscherin Wittmann jedoch erhielt den "Dank" der Partei, die die Software zwischenzeitlich wieder nutzt, in Form eines Strafantrags gegen sie.

Am Dienstag twitterte Wittmann an die Jura-Bubble und suchte Rat im Strafrecht. Sie fügte hinzu:

"Die CDU hat genau so viel Ehre, wie erwartet."

Zahlreiche Nutzer antworteten und involvierten Strafrechtler in die Konversation, welche teils vorsichtige Ratschläge gaben.

Der Chaos Computer Club reagierte am Mittwoch ebenfalls und erklärte, dass er künftig keine "kostenlose Nachhilfe in IT-Sicherheit" mehr für die CDU leisten werde.

Die Partei hatte demnach bereits im Austausch mit Wittmann rechtliche Schritte in Aussicht gestellt: "Ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell", so der Chaos Computer Club.

Der CCC ist die größte europäische Hackervereinigung, die sich als eingetragener Verein "zur Förderung der Informationsfreiheit" einsetzt, und ist nach eigenen Angaben seit über dreißig Jahren "Vermittler im Spannungsfeld technischer und sozialer Entwicklungen".

Bei den Hinweisen auf Sicherheitslücken handele es sich um eine in der IT-Sicherheitskultur sogenannte responsible disclosure (etwa: verantwortungsvolle Offenlegung): "Die Entdeckerinnen melden die Schwachstelle, erhalten keinerlei Kompensation und berichten öffentlich über die Schwachstelle, wenn die Gefahr für die Betroffenen gebannt ist" – in diesem Fall immerhin fast 20.000 Personen, die wohl darauf gesetzt hatten, dass ihre Daten bei der Partei sicher sind.

Der Sprecher des Chaos Computer Clubs, Linus Neumann, betonte zudem, dass dieses Vorgehen, bei dem nicht das Problem gelöst, sondern jene angegriffen werden, die darauf hinweisen, leider seitens der CDU kein Einzelfall sei, sondern die gesamte Digitalisierung ähnlich behandelt würde.

"Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern. Insofern ist dieses destruktive Vorgehen nur konsequent." 

Da die Partei mit ihrer destruktiven Reaktion das Übereinkommen einseitig aufgekündigt habe, sieht sich der CCC "leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten."

Der Chaos Computer Club bedauere ausdrücklich, dass damit das Risiko anonymer Full-Disclosure-Veröffentlichungen für die CDU und ihre freiwilligen Unterstützer steigt. Der Partei wünsche man "viel Glück bei zukünftigen Schwachstellen".

Laut netzpolitik.org ist zunächst noch nicht bekannt, was das LKA der IT-Sicherheitsforscherin konkret vorwerfe, denkbar sei demnach, dass wegen des sogenannten Hacker-Paragrafen ermittelt werde.

Auch die Gesellschaft für Freiheitsrechte (GFF) kritisiert anhand des konkreten Falls das derzeit geltende IT-Strafrecht, welches die falschen Adressaten kriminalisiere: 

"Der Fall Lilith Wittmann ist ein bitteres Beispiel für unser dysfunktionales IT-Strafrecht. Wenn man die IT-Sicherheit verbessern will, dann sollten diejenigen bestraft werden, die persönliche Daten tausender Menschen in Gefahr bringen – aber doch nicht die Menschen, die Sicherheitslücken finden und verantwortungsvoll offenlegen."

Während zunächst auch aufgrund der Verweigerung einer Auskunft seitens der Partei unklar geblieben war, wer die Strafanzeige genau gestellt hatte, zeigte sich am Mittwoch, dass es die CDU selbst war. Diese zog, wohl auch aufgrund "zahlreicher Anfragen" zum Thema, die Anzeige zurück

Doch habe die Partei mit dieser Aktion schon demonstriert, dass es nicht nur bei der App Schwachstellen gab, so Markus Reuter von netzpolitik.org:

"Die Anzeige der CDU gegen eine IT-Expertin zeigt vor allem eines: Die Konservativen haben weder Anstand noch die elementaren Grundsätze der digitalen Gesellschaft verstanden. Daran ändert auch der späte Rückzieher nichts mehr."

Mehr zum Thema - Wird der digitale Euro das Bargeld als Zahlungsmittel noch in diesem Jahrzehnt ablösen?

Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.