• Home
  • Digital
  • Internet & Sicherheit
  • CDU-Wahlkampf-App Connect: Expertin findet Sicherheitslücke


Schlagzeilen
AlleAlle anzeigen

Symbolbild für einen TextFeuer im Grunewald brennt weiterSymbolbild für einen TextFDP-Kritik an Corona-PaketSymbolbild für einen Text"Magnum"-Star ist totSymbolbild für einen TextUmstrittene RBB-Chefin tritt zurückSymbolbild für einen TextWeitere Leiche in US-Stausee gefundenSymbolbild für einen TextHalle Berry überrascht mit neuem LookSymbolbild für einen TextErstes Spiel für ManCity: Haaland überragtSymbolbild für einen TextSchiri-Entscheidungen: Schalke sauerSymbolbild für einen TextPink-Floyd-Star sorgt für EmpörungSymbolbild für einen TextBayern-Stars feiern an Currywurst-BudeSymbolbild für einen TextMann verlässt Kneipe – MesserangriffSymbolbild für einen Watson TeaserHeftiger Eklat um Star-DJ Robin SchulzSymbolbild für einen TextMit Kult-Loks durch Deutschland reisen – jetzt spielen

Datenpanne im Wahlkampf der CDU

  • Lars Wienand
Von Ali Vahid Roodsari, Lars Wienand

Aktualisiert am 13.05.2021Lesedauer: 3 Min.
CDU: Eine Sicherheitsforscherin hat in der Wahlkampf-App der Partei eine Sicherheitslücke entdeckt.
CDU: Eine Sicherheitsforscherin hat in der Wahlkampf-App der Partei eine Sicherheitslücke entdeckt. (Quelle: Rolf Kremming/imago-images-bilder)
Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo

Für ihren Wahlkampf setzt die CDU auf die App "CDU Connect". Eine Sicherheitsexpertin hat entdeckt, dass durch eine Lücke Daten Tausender Nutzer einsehbar waren.

Die Sicherheitsforscherin und Entwicklerin Lilith Wittmann hat in der App "CDU Connect" eine Sicherheitslücke gefunden. Laut der Expertin war es möglich, hunderttausende Datensätze zu Personen und Gesprächen einzusehen. Das schreibt Wittmann in einem Beitrag auf ihrer Website.

Empfohlener externer Inhalt
Twitter

Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen Twitter-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren Twitter-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unseren Datenschutzhinweisen.

Wittmann hat nach eigenen Angaben die Lücke am Dienstagabend entdeckt und sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Datenschutzbehörde in Berlin und die Datenschutzstelle der CDU informiert. Auf Twitter bestätigte die CDU die Lücke:

Empfohlener externer Inhalt
Twitter

Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen Twitter-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren Twitter-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.

Philipp Stroh, juristischer Referent der Berliner Beauftragten für den Datenschutz, sagte auf Anfrage von t-online zudem, dass die Bundesgeschäftsstelle der CDU innerhalb der vorgegebenen Frist nach Datenschutzgrundverordnung (DSGVO) die Lücke gemeldet habe. Unternehmen müssen demnach spätestens nach 72 Stunden Lücken melden, die persönliche Daten betreffen. "Inwieweit hier möglicherweise über das gemeldete Datenleck hinaus personenbezogene Daten in unrechtmäßiger Weise verarbeitet wurden, kann derzeit noch nicht abschließend bewertet werden", so Stroh.

ANZEIGEN
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Meistgelesen
Chinesische Kriegsschiffe überqueren Grenze – Taiwan schickt Kampfjets
Ein bewaffnetes taiwanesisches Kampfflugzeug startet, um chinesische Flugzeuge abzufangen: nach dem Besuch von Nancy Pelosi spitz sich die Lage im Taiwan-Konflikt zu.


Welche Daten waren abgreifbar?

Die App "CDU Connect" soll vor allem Wahlkampfhelfern der CDU dabei unterstützen, Wähler von der Partei zu überzeugen. Wenn Wahlkampfhelfer beispielsweise von Tür zu Tür gehen, können sie in der App angeben, ob die Tür geöffnet wurde, was für eine Person an der Tür stand, wie die Meinung zur CDU war oder was das Thema des Gesprächs war.

Wie Wittmann auf ihrer Website beschreibt, konnte die Entwicklerin wegen mangelnder Sicherheitsmechanismen auf die Programmierschnittstelle zugreifen und durch Hinzufügen eines bestimmten Parameters auch zu Bereichen gelangen, die normale Nutzer eigentlich nicht zu sehen bekommen sollten. So konnte Wittmann detaillierte Informationen zu Besuchen der Wahlkampfhelfer einsehen, beispielsweise auch die Themen der Gesprächsinhalte.

Zudem konnte Wittmann knapp 20.000 Datensätze mit persönlichen Daten einsehen. 18.500 davon beinhalteten die persönlichen Daten von Wahlkampfhelfern: Namen, E-Mail-Adressen, Fotos.

Ebenso einsehbar waren die persönlichen Daten von 1.350 Unterstützern, die von den Wahlkampfhelfern geworben und registriert worden waren. Wittmann schreibt dazu: "Insgesamt ist es bedenklich, dass eine App mit solchen eklatanten Sicherheitsmängeln über Jahre hinweg öffentlich verfügbar war, insbesondere im Kontext dessen, dass ein solcher Mangel den Entwickler*innen eigentlich bekannt sein müsste."

CDU: Keine hunderttausende Daten abgeflossen

Die CDU hat laut eigenen Angaben die App nach dem Hinweis vom Netz genommen, "um einen Datenabfluss zu verhindern". Eine Sprecherin bestätigte t-online, dass die Daten von "ca. 17.000 registrierten Wahlkämpferinnen und Wahlkämpfer sowie Adressdaten von ca. 1.300 Bürgerinnen und Bürger einsehbar waren, die Fragen gestellt haben." Die CDU bitte für die entstandenen Unannehmlichkeiten um Entschuldigung.

Allerdings seien nicht hunderttausende personenbezogener Daten von besuchten Bürgern abgeflossen: "Die Daten, auf die sich Frau Wittmann bezieht, werden anonymisiert gespeichert. Sie werden im Block am Straßenmittelpunkt ohne Hinweis auf Namen oder Hausnummern erfasst und sind somit nicht zu einzelnen Personen rückverfolgbar", so die Sprecherin. "Diese Vorgehensweise entspricht dem Datenschutzrecht und ist bereits in vergangenen Wahlkämpfen von mehreren Landesdatenschutzbehörden geprüft worden", so die Sprecherin. Wenn allerdings beispielsweise bei sieben besuchten Haushalten in einer Straße nur eine Person älter als 70 Jahre ist und das so vermerkt wurde, könnten sich in solchen Fällen Rückschlüsse ziehen lassen.

Passwörter seien nicht betroffen, diese seien nicht im Klartext sondern verschlüsselt in den Datenbanken abgelegt. Die App werde zudem bald in einer überarbeiteten Form verfügbar sein. "Die von Frau Wittmann beschriebene Vorgehensweise für einen unerlaubten Datenzugriff ist bereits seit heute Mittag nicht mehr nutzbar", so die Sprecherin.

Die CDU dürfte zumindest froh sein, dass die Lücke jetzt aufgefallen ist: Derzeit ist die App kaum im Einsatz, weil einerseits nur in Sachsen-Anhalt eine Wahl unmittelbar bevorsteht und es andererseits wegen der Corona-Beschränkungen keinen Haustürwahlkampf gibt. Zu anderen Zeiten nutzen Tausende CDU-Wahlkämpfer die App gleichzeitig.

Update 13.05.2021: In einem neuen Beitrag am Donnerstag macht Wittmann darauf aufmerksam, dass sie mit der gleichen Vorgehensweise auch auf Daten der Wahlkampf-App der CSU und der österreichischen "Neue Volkspartei Wien" zugreifen konnte. Die Apps wurden vom gleichen Unternehmen entwickelt und nutzen den gleichen Code, schreibt Wittmann in ihrem Beitrag. Zudem entdeckte Wittmann nach eigenen Angaben eine neue Lücke, bei der sie sich zum Admin machen konnte. Die Apps sind aktuell in den App-Stores nicht mehr verfügbar.

Facebook LogoTwitter LogoPinterest LogoWhatsApp Logo
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...

ShoppingANZEIGEN

Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
CDUTwitter

t-online - Nachrichten für Deutschland
t-online folgen
FacebookTwitterInstagram

Das Unternehmen
Ströer Digital PublishingJobs & KarrierePresseWerbenKontaktImpressumDatenschutzhinweiseDatenschutzhinweise (PUR)Jugendschutz



Telekom
Telekom Produkte & Services
KundencenterFreemailSicherheitspaketVertragsverlängerung FestnetzVertragsverlängerung MobilfunkHilfeFrag Magenta


TelekomCo2 Neutrale Website