Für die Strafanzeige gegen eine Sicherheitsforscherin aus dem Umfeld des Chaos Computer Clubs (CCC) wurde die CDU scharf kritisiert und sah sich gezwungen, sich zu entschuldigen. Die Softwareentwicklerin Lilith Wittmann hatte in einer App der CDU für den Haustürwahlkampf eklatante Sicherheitslücken gefunden und diese der CDU, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Berliner Datenschutzbehörde gemeldet. Am Dienstag berichtete Wittmann auf Twitter, dass sie vom Landeskriminalamt kontaktiert worden sei und in diesem Fall als "Beschuldigte geführt" werde.
Wittmann hatte im Mai herausgefunden, dass in der App "CDUconnect", die im Haustür-Wahlkampf verwendet wird, vertrauliche Daten frei abrufbar waren. Neben den Personaldaten von Wahlkampfhelfern und CDU-Unterstützern waren auch Aussagen der besuchten Bürger in Kombination mit der Altersgruppe frei einsehbar. Die CDU hatte nach dem Hinweis von Wittmann die App offline gestellt und die Sicherheitslücke geschlossen.
CDU-Bundesgeschäftsführer Stefan Hennewig erklärte jetzt auf Twitter, die Partei habe vor einigen Wochen Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App erstattet. "Unsere Anzeige richtet sich NICHT gegen das 'Responsible Disclosure'-Verfahren von Lilith Wittmann."
Bei diesem Verfahren melden Entwickler die Schwachstelle den Firmen oder Institutionen und berichten öffentlich erst dann darüber, wenn die Gefahr für die Betroffenen gebannt ist. Diese Verfahren seien ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen, und ein wichtiger Baustein, um die IT-Sicherheit zu erhöhen, betonte der CDU-Politiker.
Im Zusammenhang mit der Sicherheitslücke der App sei es aber angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte gekommen, erklärte Hennewig weiter:
"Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen."
Zuvor hatte der CCC angekündigt, Wissen über Sicherheitslücken künftig nicht mehr mit der CDU zu teilen. "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", kündigte Club-Sprecher Linus Neumann an.
Für die Sicherheitsexpertin ist der Fall aber noch nicht abgeschlossen. Auf Twitter schrieb sie am Mittwoch:
"Gerade Anzahlung für meine Strafverteidigung geleistet. Denn was Stefan Hennewig in seinem Thread nicht erwähnte: Nur weil die CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt."
Sie sammelt nun zur Anzahlung der Anwaltskosten Spenden.
(rt de/dpa)
Mehr zum Thema -Datenleck bei der CDU: IT-Expertin zeigt Sicherheitslücken auf und erhält Strafanzeige