LKA Berlin ermittelt | IT-Expertin entdeckt Lücke in CDU-App – und wird angezeigt

Die Sicherheitsforscherin Lilith Wittmann hatte im Mai Sicherheitslücken in der CDU-App "Connect" entdeckt. Jetzt ermittelt das LKA Berlin gegen sie. Es wird vermutet, dass die CDU hinter der Sache steckt.

Das Landeskriminalamt Berlin ermittelt gegen die IT-Sicherheitsexpertin Lilith Wittmann. Wittmann ist unter anderem dafür bekannt, dass sie im Mai Sicherheitslücken in der CDU-Wahlkampf-App Connect entdeckt hatte. Wittmann konnte damals 20.000 Datensätze mit persönlichen Daten einsehen. 18.500 davon beinhalteten die persönlichen Daten von Wahlkampfhelfern: Namen, E-Mail-Adressen, Fotos.

Wittmann hatte die Lücke den entsprechenden Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik und der CDU gemeldet. Die App wurde als Folge offline genommen. Mehr dazu lesen Sie hier.

Kläger ist noch unbekannt

Wie Wittmann am Dienstag auf Twitter mitteilte, bearbeitet die Cybercrime-Abteilung des LKA Berlin ein Ermittlungsverfahren gegen die IT-Expertin, das die "CDU Connect Applikation" betrifft, und bittet um ihre ladungsfähige Anschrift.

Wer hinter dem Ermittlungsverfahren steckt, ist noch unklar. Die Polizei Berlin schrieb auf Anfrage, dass sie sich "zu Einzelpersonen aus datenschutz- und persönlichkeitsschutzgründen" nicht äußern darf. Der Betreiber der App, die Union Betriebs-GmbH, und der Entwickler, die PXN GmbH, teilten auf Anfrage von t-online mit, dass sie keine rechtlichen Schritte unternommen hätten.

Die CDU selbst hat auf eine Anfrage von t-online von Dienstagabend bisher nicht geantwortet. t-online ist jedoch bekannt, dass ein hochrangiger Vertreter der CDU kurz nach Entdeckung der Sicherheitslücke mitgeteilt hatte, dass er gegen Wittmann Anzeige erstatten werde.

Ermittlung wegen Hackerparagraphen?

Wittmann wäre laut eigener Aussage nicht überrascht, wenn wirklich die CDU hinter dem Ermittlungsverfahren stecke. Im Gespräch mit t-online sagt die Sicherheitsforscherin: "Es ist nicht wirklich ein Schock: Die CDU und die SPD haben damals den Hackerparagraphen trotz besseren Wissens beschlossen", sagt Wittmann. "Darum ist es nicht hundert Prozent unerwartet, wenn die CDU ihn gegen Sicherheitsforscher*innen einsetzt. Es aber trotzdem traurig."

Unter dem Hackerparagraphen wird umgangssprachlich der Paragraf 202c des Strafgesetzbuches bezeichnet: "Vorbereiten des Ausspähens und Abfangens von Daten". Der wurde 2007 vom Bundestag mit den Stimmen der Union, SPD, FDP und den Grünen beschlossen. Zusammen mit Paragraf 202a und 202b machte die Regierung damit unter anderem den unbefugten Zugriff auf Daten Mithilfe von beispielsweise Computerprogrammen strafbar.

Sicherheitsexperten kritisieren jedoch, dass solche schwammig gehaltenen Gesetze verantwortungsvolle Sicherheitsforschern gefährden, da sie selbst angezeigt werden könnten. Im Fall von Wittmann wird vermutet, dass gegen die Sicherheitsforscherin wegen des Hackerparagraphen ermittelt wird. Auch der IT-Rechtsanwalt Chan-jo-Jun merkt auf Twitter an, dass diese Strafverfolgung sich vor allem gegen Whistleblower richte.

"Gesellschaftlicher Vertrag gebrochen"

Im sogenannten "Responsible Disclosure"-Verfahren suchen Sicherheitsforscher wie Wittmann – meist auf eigenem Antrieb – nach Sicherheitslücken und melden diese an offizielle Stellen wie Datenschutzbehörden sowie den Betreibern. Die Lücken werden im besten Fall schnell geschlossen und erst danach öffentlich gemacht. Die IT-Experten erhalten je nach Unternehmen oder Betreiber auch eine Belohnung, wenn die ein sogenanntes Bug-Bounty-Programm anbieten.

Eine andere Methode wäre die "Full Disclosuere", wo Experten Sicherheitslücken sofort öffentlich machen, ohne dass Hersteller Zeit haben, sie zu beheben. Wittmann kritisiert im Gespräch mit t-online, dass die CDU durch die Klage einen "gesellschaftlichen Vertrag" gebrochen habe: "Eigentlich läuft das so: Wir Sicherheitsforscher melden Lücken und werden dafür nicht angeklagt", sagt Wittmann. "Mit der Einführung des Hackerparagrapgen hat die Regierung aber schon damals gezeigt, dass sie sich nicht für gängige Standards in der IT-Sicherheit interessieren. Jetzt wissen wir Sicherheitsforscher*innen auch ganz offiziell, woran wir sind."

Wittmann wünscht sich von der Politik Reformen: "Die einzige sinnvolle Maßnahme wäre es, den Hackerparagraphen abzuschaffen und das IT-Sicherheitsrecht zu reformieren", sagt Wittmann. "Wir müssen weg vom Gedanken "Shoot the messenger", sondern brauchen ein sinnvolles IT-Sicherheitsgesetz mit beispielsweise Produkhaftung. Es müssen die Leute bestraft werden, die Sicherheitslücken erstellen und nicht die, die sie finden."

Chaos Computer Club will CDU nicht mehr helfen

Ähnlich äußert sich auch Ulf Buermeyer, Jurist und Vorsitzender der Gesellschaft für Freiheitsrechte. Auf Twitter bezeichnet Buermeyer den Vorfall als "bitteres Beispiel für unser dysfunktionales IT-Strafrecht: Eigentlich sollte es die IT-Sicherheit verbessern! Bestraft werden sollten die, die persönliche Daten tausender Menschen in Gefahr bringen - aber nicht die, die Sicherheitslücken finden & verantwortungsvoll offenlegen."

Auch der Chaos Computer Club (CCC) kritisiert in einem Beitrag auf ihrer Website das Vorgehen und erwähnt hier explizit die CDU. Laut dem CCC habe die Partei das "implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt". CCC-Sprecher Linus Neumann schreibt zudem: "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten."

Sicherheitsforscherin Wittmann lässt sich von Anzeige zumindest nicht davon abbringen, allgemein weiter nach Schwachstellen zu suchen und diese zu melden. "Ich habe natürlich weiterhin ein Interesse, die Digitalisierung in Deutschland sicherer zu gestalten", sagt Wittmann. "Der CDU werde ich aber auch keine Lücken mehr melden. Das ist ja irgendwie logisch."

Hintergrund zum Beitrag

Wittmann begrüßt diesen Schritt: Es ist die einzige logische Schlussfolgerung daraus: Wenn mir als Sicherheitsforscher*in droht, für das Melden einer Lücke in den Knast zu gehen, werde das im Zweifel natürlich nicht mehr tun.

Ich hoffe, dass die CDU auf die Idee kommt, das von sich aus zurückzuziehen

Wittmann wünscht sich von der Politik darum, eine entsprechende Anpassung des Hackerparagraphens. "Die CDU wurde schon damals hingewiesen, dass sie keinen Schutz für Sicherheitsforscher*innen eingebaut hat", sagt Wittman. "Die einzige sinnvolle Maßnahme wäre es darum, den Hackerparagraphen abzuschaffen und das IT-Sicherheitsrecht zu reformieren. Wir müssen Weg von dem Gedankengang "Shoot the messenger", sondern brauchen ein sinnvolles IT-Sicherheitsgesetz mit beispielsweise Produkhaftung. Es müssen die Leute bestraft werden, die Sicherheitslücken kreeieren und nicht die, die welche finden."

Wittmann wird auch in Zukunft weiter nach Sicherheitslücken suchen – jedoch auch nicht für die CDU, sagt die Sicherheitsexpertin "Das ist ja irgendwie logisch", sagt Wittmann.

Habe weiterhin Interesse daran, die Digitalisierung in Deutschland sicherer zu gestalten.