1. Hardwareluxx
  2. >
  3. News
  4. >
  5. Allgemein
  6. >
  7. Netzpolitik
  8. >
  9. LKA-Ermittlungen gegen Sicherheitsexpertin, die vor Sicherheitslücke in CDU-App warnte (2. Update)

LKA-Ermittlungen gegen Sicherheitsexpertin, die vor Sicherheitslücke in CDU-App warnte (2. Update)

Veröffentlicht am: von

cduBeim Thema Digitalisierung betritt so manche Volkspartei auch im Jahr 2021 scheinbar immer noch Neuland. Diesen Eindruck erweckt zumindest das aktuelle Verhalten der CDU im Zusammenhang mit einem Sicherheitsskandal um die CDU Connect-App. Nachdem die Sicherheitsforscherin Lilith Wittmann im Mai auf gravierende Sicherheitslücken hingewiesen hatte, gab es dafür keinen Dank - sondern offenbar Ermittlungen des Berliner Landeskriminalamts gegen Frau Wittmann. Der Chaos Computer Club e. V. (CCC) hat deshalb wiederum nun erklärt, dass er in Zukunft keine Sicherheitslücken mehr an die CDU melden wird.

Lilith Wittmann hatte schon im Mai in einem längeren Artikel (Wenn die CDU ihren Wahlkampf digitalisiert…) detailliert dargelegt, wie kritisch die CDU Connect-App mit Blick auf den Datenschutz einzuschätzen ist. Diese App wurde von der CDU für den Haustürwahlkampf genutzt. Mit geringem Aufwand konnte Wittmann daraus Datensätze mit Gesprächsinhalten zwischen Wahlkämpfern und Bürgern gewinnen. Auch die persönlichen Daten von über 18.000 Wahlkämpfern und 1.350 Unterstützern waren ihr zugänglich. 

Frau Wittmann handelte verantwortungsbewusst und meldete die Sicherheitslücke im Rahmen eines Responsible disclosure-Verfahrens beim CERT-Bund, dem Computer Emergency Response Team für Bundesbehörden und beim Berliner Datenschutzbeauftragten. Der Datenschutz der CDU wurde durch sie ebenfalls kontaktiert. Die Verantwortlichen dort erkannten dann offenbar schnell selbst, wie kritisch die Sicherheitslücke ist und entfernten die CDU Connect-App vom Server. Auch betroffene Nutzer wurden informiert. Durch das responsible disclosure-Verfahren erhielten die Verantwortlichen Zeit für solche Reaktionen, die Sicherheitslücke konnte so nicht mehr von Dritten ausgenutzt werden.  

Datenschutzhinweis für Twitter

An dieser Stelle möchten wir Ihnen einen Twitter Feed zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Twitter setzt durch das Einbinden des Applets Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf diesen Feed. Der Inhalt wird anschließend geladen und Ihnen angezeigt.

Ihr Hardwareluxx-Team

Tweets ab jetzt direkt anzeigen

Wie eine Partei wie die CDU überhaupt eine datenschutzrechtlich derart fragwürdige App nutzen kann, bleibt allerdings unklar. Nur Dank des Engagements von Lilith Wittmann konnte auf diese Sicherheitslücke reagiert werden. Für sie hat ihre uneigennützige Hilfe jetzt aber offenbar ein bitteres Nachspiel. Denn über Twitter erkundigte sie sich gestern nach juristischer Unterstützung. Einem beigefügten Screenshot kann entnommen werden, dass das Berliner Landeskriminalamt in einem Strafverfahren im Zusammenhang mit der CDU Connect-App gegen sie ermittelt.

Datenschutzhinweis für Twitter

An dieser Stelle möchten wir Ihnen einen Twitter Feed zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Twitter setzt durch das Einbinden des Applets Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf diesen Feed. Der Inhalt wird anschließend geladen und Ihnen angezeigt.

Ihr Hardwareluxx-Team

Tweets ab jetzt direkt anzeigen

Von wem genau Frau Wittmann angezeigt wurde, ist aktuell nicht ganz klar. Sie selbst geht davon aus, dass sie aus CDU-Kreisen angezeigt wurde. Auf Nachfrage von netzpolitik.org bei der CDU-Bundesgeschäftsstelle gab es bisher noch keine Antwort. Demnach soll es aber bereits im Vorfeld Anzeigedrohungen aus dem CDU-Umfeld gegeben haben. 

Der Chaos Computer Club e. V. (CCC) wiederum geht fest davon aus, dass es einen Strafantrag durch die CDU gab. Er bezeichnet die CDU als "äußerst undankbar" und zweifelt die Digitalisierungskompetenzen der CDU insgesamt an. Um rechtliche Auseinandersetzungen zu vermeiden, will der CCC der CDU in Zukunft keine Sicherheitslücken mehr melden und spielt auch auf das steigende Risiko von anonymen Full-Disclosure-Veröffentlichungen an. Damit würden Sicherheitslücken ohne Vorwarnung öffentlich werden und könnten dann entsprechend ausgenutzt werden. 

1. Update:

Unsere Anfrage an die CDU-Pressestelle wurde mit einem Link zu Twitter beantwortet. Dort hat sich zwischenzeitlich der CDU-Bundesgeschäftsführer Dr. Stefan Hennewig zum Fall geäußert. Demnach hatte tatsächlich die CDU Anzeige erstattet. Allerdings soll es in der Anzeige nicht um das responsible disclosure-Verfahren von Lilith Wittmann, sondern um die Veröffentlichung von Daten durch Dritte gehen. Nach einem Telefongespräch mit Frau Wittmann räumt Dr. Hennewig ein, dass die Nennung ihres Namens in der Anzeige ein Fehler gewesen wäre, die Anzeige beim LKA gegen sie wurde zurückgezogen. 

Datenschutzhinweis für Twitter

An dieser Stelle möchten wir Ihnen einen Twitter Feed zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Twitter setzt durch das Einbinden des Applets Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf diesen Feed. Der Inhalt wird anschließend geladen und Ihnen angezeigt.

Ihr Hardwareluxx-Team

Tweets ab jetzt direkt anzeigen

2. Update:

Für Lilith Wittmann ist das Thema durch das Zurückziehen des Anzeige aber noch nicht erledigt. Das Verfahren ist seitens der Staatsanwalt nicht eingestellt worden, sondern wird weiter untersucht, auch wenn Wittmann als Beschuldigte nicht mehr aufgeführt wird. 2.000 Euro Anzahlung musste sie daher bei einem Anwalt leisten, um entsprechend vertreten zu werden. Dieser Betrag wurde inzwischen über Spenden eingesammelt.

Datenschutzhinweis für Twitter

An dieser Stelle möchten wir Ihnen einen Twitter Feed zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Twitter setzt durch das Einbinden des Applets Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf diesen Feed. Der Inhalt wird anschließend geladen und Ihnen angezeigt.

Ihr Hardwareluxx-Team

Tweets ab jetzt direkt anzeigen