Schwachstelle in Partei-App Datenpanne im Wahlkampf der CDU
Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.
News folgen
Für ihren Wahlkampf setzt die CDU auf die App "CDU Connect". Eine Sicherheitsexpertin hat entdeckt, dass durch eine Lücke Daten Tausender Nutzer einsehbar waren.
Die Sicherheitsforscherin und Entwicklerin Lilith Wittmann hat in der App "CDU Connect" eine Sicherheitslücke gefunden. Laut der Expertin war es möglich, hunderttausende Datensätze zu Personen und Gesprächen einzusehen. Das schreibt Wittmann in einem Beitrag auf ihrer Website.
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Wittmann hat nach eigenen Angaben die Lücke am Dienstagabend entdeckt und sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Datenschutzbehörde in Berlin und die Datenschutzstelle der CDU informiert. Auf Twitter bestätigte die CDU die Lücke:
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
Philipp Stroh, juristischer Referent der Berliner Beauftragten für den Datenschutz, sagte auf Anfrage von t-online zudem, dass die Bundesgeschäftsstelle der CDU innerhalb der vorgegebenen Frist nach Datenschutzgrundverordnung (DSGVO) die Lücke gemeldet habe. Unternehmen müssen demnach spätestens nach 72 Stunden Lücken melden, die persönliche Daten betreffen. "Inwieweit hier möglicherweise über das gemeldete Datenleck hinaus personenbezogene Daten in unrechtmäßiger Weise verarbeitet wurden, kann derzeit noch nicht abschließend bewertet werden", so Stroh.
Welche Daten waren abgreifbar?
Die App "CDU Connect" soll vor allem Wahlkampfhelfern der CDU dabei unterstützen, Wähler von der Partei zu überzeugen. Wenn Wahlkampfhelfer beispielsweise von Tür zu Tür gehen, können sie in der App angeben, ob die Tür geöffnet wurde, was für eine Person an der Tür stand, wie die Meinung zur CDU war oder was das Thema des Gesprächs war.
Wie Wittmann auf ihrer Website beschreibt, konnte die Entwicklerin wegen mangelnder Sicherheitsmechanismen auf die Programmierschnittstelle zugreifen und durch Hinzufügen eines bestimmten Parameters auch zu Bereichen gelangen, die normale Nutzer eigentlich nicht zu sehen bekommen sollten. So konnte Wittmann detaillierte Informationen zu Besuchen der Wahlkampfhelfer einsehen, beispielsweise auch die Themen der Gesprächsinhalte.
Zudem konnte Wittmann knapp 20.000 Datensätze mit persönlichen Daten einsehen. 18.500 davon beinhalteten die persönlichen Daten von Wahlkampfhelfern: Namen, E-Mail-Adressen, Fotos.
Ebenso einsehbar waren die persönlichen Daten von 1.350 Unterstützern, die von den Wahlkampfhelfern geworben und registriert worden waren. Wittmann schreibt dazu: "Insgesamt ist es bedenklich, dass eine App mit solchen eklatanten Sicherheitsmängeln über Jahre hinweg öffentlich verfügbar war, insbesondere im Kontext dessen, dass ein solcher Mangel den Entwickler*innen eigentlich bekannt sein müsste."
CDU: Keine hunderttausende Daten abgeflossen
Die CDU hat laut eigenen Angaben die App nach dem Hinweis vom Netz genommen, "um einen Datenabfluss zu verhindern". Eine Sprecherin bestätigte t-online, dass die Daten von "ca. 17.000 registrierten Wahlkämpferinnen und Wahlkämpfer sowie Adressdaten von ca. 1.300 Bürgerinnen und Bürger einsehbar waren, die Fragen gestellt haben." Die CDU bitte für die entstandenen Unannehmlichkeiten um Entschuldigung.
Allerdings seien nicht hunderttausende personenbezogener Daten von besuchten Bürgern abgeflossen: "Die Daten, auf die sich Frau Wittmann bezieht, werden anonymisiert gespeichert. Sie werden im Block am Straßenmittelpunkt ohne Hinweis auf Namen oder Hausnummern erfasst und sind somit nicht zu einzelnen Personen rückverfolgbar", so die Sprecherin. "Diese Vorgehensweise entspricht dem Datenschutzrecht und ist bereits in vergangenen Wahlkämpfen von mehreren Landesdatenschutzbehörden geprüft worden", so die Sprecherin. Wenn allerdings beispielsweise bei sieben besuchten Haushalten in einer Straße nur eine Person älter als 70 Jahre ist und das so vermerkt wurde, könnten sich in solchen Fällen Rückschlüsse ziehen lassen.
Passwörter seien nicht betroffen, diese seien nicht im Klartext sondern verschlüsselt in den Datenbanken abgelegt. Die App werde zudem bald in einer überarbeiteten Form verfügbar sein. "Die von Frau Wittmann beschriebene Vorgehensweise für einen unerlaubten Datenzugriff ist bereits seit heute Mittag nicht mehr nutzbar", so die Sprecherin.
Die CDU dürfte zumindest froh sein, dass die Lücke jetzt aufgefallen ist: Derzeit ist die App kaum im Einsatz, weil einerseits nur in Sachsen-Anhalt eine Wahl unmittelbar bevorsteht und es andererseits wegen der Corona-Beschränkungen keinen Haustürwahlkampf gibt. Zu anderen Zeiten nutzen Tausende CDU-Wahlkämpfer die App gleichzeitig.
Update 13.05.2021: In einem neuen Beitrag am Donnerstag macht Wittmann darauf aufmerksam, dass sie mit der gleichen Vorgehensweise auch auf Daten der Wahlkampf-App der CSU und der österreichischen "Neue Volkspartei Wien" zugreifen konnte. Die Apps wurden vom gleichen Unternehmen entwickelt und nutzen den gleichen Code, schreibt Wittmann in ihrem Beitrag. Zudem entdeckte Wittmann nach eigenen Angaben eine neue Lücke, bei der sie sich zum Admin machen konnte. Die Apps sind aktuell in den App-Stores nicht mehr verfügbar.
- Beitrag von Lilith Wittmann zur Sicherheitslücke vom Mittwoch
- Beitrag von Lilith Wittman vom Donnerstag
- Datenschutzgrundverordnung
- Eigene Recherchen
