Politik

Sicherheitslücke in App CDU zieht Anzeige gegen CCC-Hackerin zurück

d53aef370eea330d7f4954c20394a0d8.jpg

Die CDU geht gegen eine Hackerin vor, die auf eine Schwachstelle in einer App hinwies.

(Foto: dpa)

Eine Hackerin des Chaos Computer Clubs meldet der CDU eine Sicherheitslücke in einer App der Partei. Diese entschuldigt sich, nimmt die App vom Netz - und stellt Strafantrag gegen die Hackerin. Der CCC zieht Konsequenzen, die CDU macht schließlich einen Rückzieher.

Die Hackervereinigung Chaos Computer Club (CCC) wird künftig keine Sicherheitslücken mehr an die CDU melden. Das geht aus einer Mitteilung des Vereins hervor. Hintergrund ist demnach ein Strafantrag gegen eine CCC-Aktivistin, die auf Schwachstellen in einer Wahlkampf-App der CDU hingewiesen hatte. Inzwischen hat sich die CDU für die Anzeige entschuldigt und sie zurückgezogen.

Die Softwareentwicklerin Lilith Wittmann hatte laut CCC im Mai die App "CDUconnect" analysiert, mit der die Partei ihren Haustür-Wahlkampf koordiniert, indem Besuche dokumentiert und Informationen darüber gesammelt werden. Wittmann stellte demnach fest, dass über die App persönliche Daten wie E-Mail-Adressen und Fotos von 18.500 Wahlkampfhelferinnen und Wahlkampfhelfern "ungeschützt und frei über das Netz zugänglich" sind. Dasselbe gilt demnach für Daten von 1350 Unterstützerinnen und Unterstützern der CDU, von denen etwa Adressen, Geburtsdaten und Interessen zugänglich waren.

Laut CCC-Mitteilung meldete Wittmann die Schwachstellen der App an die CDU, aber auch an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Berliner Datenschutzbeauftragten. Die unsichere Datenbank sei danach abgeschaltet worden.

CDU räumte Lücke ein

Die CDU hat die Sicherheitslücke damals bestätigt. Die Daten von 17.000 registrierten Wahlkämpferinnen und Wahlkämpfern sowie die Adressdaten von rund 1300 Bürgerinnen und Bürgern, die Fragen gestellt hatten, seien einsehbar gewesen, wurde die Partei im Mai vom "Spiegel" zitiert. "Der CDU Deutschlands tut der Vorfall sehr leid und wir bitten für die entstandenen Unannehmlichkeiten um Entschuldigung", hieß es weiter.

Die App wurde vorübergehend deaktiviert, sie ist inzwischen aber wieder verfügbar. "Durch eine Prüfung unserer IT-Struktur sind wir von Lilith Wittmann auf eine Sicherheitslücke unserer App hingewiesen worden, die es notwendig machte, die App vorsorglich vom Server zu nehmen", hieß es damals in einem Twittereintrag zur App.

Allerdings hatte das Ganze für Wittmann ein juristisches Nachspiel. Wie sie selbst am Dienstag auf Twitter öffentlich machte, wurde ein Strafantrag gegen sie gestellt. Sie wurde demnach vom Cyber-Landeskriminalamt Berlin kontaktiert und als Beschuldigte in einem Ermittlungsverfahren im Zusammenhang mit der App geführt. Was genau ihr vorgeworfen wird, ist unklar. Der Strafantrag ging offenbar von der CDU aus.

Nach Bekanntwerden des Strafantrags und der Mitteilung des CCC zog die CDU die Anzeige gegen Wittmann am Mittwochnachmittag zurück. "Vor einigen Wochen haben wir Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App erstattet", twitterte CDU-Bundesgeschäftsführer Stefan Hennewig. Die Anzeige "richtet sich NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann", schrieb er. In diesen Verfahren weisen Hacker die Verantwortlichen auf Sicherheitslücken hin, veröffentlichen diese aber erst, nachdem die Lücke geschlossen wurde.

Diese "RD-Verfahren" seien ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen. "Ich halte diese Verfahren für einen wichtigen Baustein, um IT-Sicherheit zu erhöhen", schrieb Hennewig. Im Zusammenhang mit der Sicherheitslücke sei es aber zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Lücke vor der Information an die CDU gekommen. In einem Telefonat mit Wittmann habe sich herausgestellt, dass diese mit diesen beiden Vorgängen nichts zu tun habe. "Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe", so Hennewig. Beim LKA habe er die Anzeige gegen sie zurückgezogen.

Nachtrag: Wittmann wies in einem weiteren Tweet darauf hin, dass das Verfahren gegen sie weiterlaufe, auch wenn die CDU die Anzeige zurückgezogen hat.

CCC nennt CDU "undankbar"

Der Chaos Computer Club kritisierte das Vorgehen der CDU scharf. Das Verfahren, Schwachstellen an die Verursacher zu melden und erst darüber zu berichten, wenn die Gefahr für die Betroffenen gebannt ist, habe sich in der IT-Sicherheitskultur etabliert, schreibt der CCC in der Mitteilung. "Leider erweist sich die CDU als äußerst undankbar für die ehrenamtliche Nachhilfe", heißt es weiter.

Kritik kam auch von der Gesellschaft für Freiheitsrechte. Der Fall sei ein "bitteres Beispiel für unser dysfunktionales IT-Strafrecht", twitterte deren Mitgründer Ulf Buermeyer. "Eigentlich sollte es die IT-Sicherheit verbessern! Bestraft werden sollten die, die persönliche Daten Tausender Menschen in Gefahr bringen - aber nicht die, die Sicherheitslücken finden & verantwortungsvoll offenlegen."

Der CCC zieht jedenfalls Konsequenzen: "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", sagte CCC-Sprecher Linus Neumann. Der CCC bedauere, dass damit das Risiko steigt, dass Daten veröffentlicht werden, bevor Schwachstellen beseitigt sind. "Die Verantwortung für zukünftige derartige Veröffentlichungen weisen wir vorsorglich von uns", hieß es weiter - und: "CCC wünscht CDU viel Glück bei zukünftigen Schwachstellen".

Der Chaos Computer Club ist nach eigener Darstellung die größte europäische Hackervereinigung. Der dezentrale Verein mit seinen fast 8000 Mitgliedern versteht sich als Nichtregierungsorganisation, die vor allem dafür bekannt ist, digitale Sicherheitslücken aufzudecken. Zudem äußert sich der CCC regelmäßig zu digitalpolitischen Fragen.

Quelle: ntv.de

ntv.de Dienste
Software
Newsletter
Ich möchte gerne Nachrichten und redaktionelle Artikel von der n-tv Nachrichtenfernsehen GmbH per E-Mail erhalten.