Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

CDU: IT-Expertin findet Lücke in Partei-App "Connect" – LKA ermittelt

LKA ermittelt  

IT-Expertin entdeckt Lücke in CDU-App – und wird angezeigt

04.08.2021, 16:27 Uhr
CDU: IT-Expertin findet Lücke in Partei-App "Connect" – LKA ermittelt. Das Logo der CDU (Symbolbild): Eine Sicherheitsforscherin fand im Mai Sicherheitslücken in der App CDU Connect.  (Quelle: imago images/Winfried Rothermel)

DaEine Sicherheitsforscherin fand im Mai Sicherheitslücken in der App CDU Connect. (Quelle: Winfried Rothermel/imago images)

Die Sicherheitsforscherin Lilith Wittmann hatte im Mai Sicherheitslücken in der CDU-App "Connect" entdeckt. Jetzt ermittelt das LKA Berlin gegen sie. Als Urheber wird die CDU vermutet.

Update 14.44 Uhr:

Mittlerweile hat sich die CDU für die Anzeige entschuldigt. Mehr dazu lesen Sie in diesem Artikel.

Das Landeskriminalamt Berlin ermittelt gegen die IT-Sicherheitsexpertin Lilith Wittmann. Wittmann ist unter anderem dafür bekannt, dass sie im Mai Sicherheitslücken in der CDU-Wahlkampf-App Connect entdeckt hatte. Wittmann konnte damals 20.000 Datensätze mit persönlichen Daten einsehen. 18.500 davon beinhalteten die persönlichen Daten von Wahlkampfhelfern: Namen, E-Mail-Adressen, Fotos.

Wittmann hatte die Lücke den entsprechenden Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik und der CDU gemeldet. Die App wurde als Folge offline genommen. Mehr dazu lesen Sie hier.

Urheber ist noch unbekannt

Wie Wittmann am Dienstag auf Twitter mitteilte, bearbeitet die Cybercrime-Abteilung des LKA Berlin ein Ermittlungsverfahren gegen die IT-Expertin, das die "CDU Connect Applikation" betrifft, und bittet um ihre ladungsfähige Anschrift.

Wer hinter der Anzeige steckt, ist noch unklar. Die Polizei Berlin schrieb auf Anfrage, dass sie sich "zu Einzelpersonen aus Datenschutz- und Persönlichkeitsschutzgründen" nicht äußern darf. Der Betreiber der App – die Union Betriebs-GmbH – und der Entwickler – die PXN GmbH – teilten auf Anfrage von t-online mit, dass sie keine rechtlichen Schritte unternommen hätten. 

Die CDU selbst hat auf eine Anfrage von t-online von Dienstagabend bisher nicht geantwortet. t-online ist jedoch bekannt, dass ein hochrangiger Vertreter der CDU kurz nach Entdeckung der Sicherheitslücke mitgeteilt hatte, dass er gegen Wittmann Anzeige erstatten werde. 

Ermittlung wegen Hackerparagrafen?

Wittmann wäre laut eigener Aussage nicht überrascht, wenn wirklich die CDU hinter dem Ermittlungsverfahren stecke. Im Gespräch mit t-online sagt die Sicherheitsforscherin: "Es ist nicht wirklich ein Schock: Die CDU und die SPD haben damals den Hackerparagrafen trotz besseren Wissens beschlossen", sagt Wittmann. "Darum ist es nicht hundert Prozent unerwartet, wenn die CDU ihn gegen Sicherheitsforscher*innen einsetzt. Es ist aber trotzdem traurig."

Unter dem Hackerparagrafen wird umgangssprachlich der Paragraf 202c des Strafgesetzbuches bezeichnet: "Vorbereiten des Ausspähens und Abfangens von Daten". Der wurde 2007 vom Bundestag mit den Stimmen der Union, SPD, FDP und den Grünen beschlossen. Zusammen mit Paragraf 202a und 202b machte die Regierung damit unter anderem den unbefugten Zugriff auf Daten Mithilfe von beispielsweise Computerprogrammen strafbar.

Sicherheitsexperten kritisieren jedoch, dass solche schwammig gehaltenen Gesetze verantwortungsvolle Sicherheitsforscher gefährdeten, da sie selbst angezeigt werden könnten. Im Fall von Wittmann wird vermutet, dass gegen die Sicherheitsforscherin wegen des Hackerparagrafen ermittelt wird. Auch der IT-Rechtsanwalt Chan-jo-Jun merkt auf Twitter an, dass diese Strafverfolgung sich vor allem gegen Whistleblower richte.

"Gesellschaftlicher Vertrag gebrochen"

Im sogenannten "Responsible Disclosure"-Verfahren suchen Sicherheitsforscher wie Wittmann – meist auf eigenem Antrieb – nach Sicherheitslücken und melden diese an offizielle Stellen wie Datenschutzbehörden sowie den Betreibern. Die Lücken werden im besten Fall schnell geschlossen und erst danach öffentlich gemacht. Die IT-Experten erhalten je nach Unternehmen oder Betreiber auch eine Belohnung, wenn die ein sogenanntes "Bug-Bounty-Programm" anbieten. 

Eine andere Methode wäre die "Full Disclosure", bei der Experten Sicherheitslücken sofort öffentlich machen, ohne dass Hersteller Zeit haben, sie zu beheben. Wittmann kritisiert im Gespräch mit t-online, dass die CDU durch die Klage einen "gesellschaftlichen Vertrag" gebrochen habe: "Eigentlich läuft das so: Wir Sicherheitsforscher melden Lücken und werden dafür nicht angeklagt", sagt Wittmann. "Mit der Einführung des Hackerparagraphs hat die Regierung aber schon damals gezeigt, dass sie sich nicht für gängige Standards in der IT-Sicherheit interessieren. Jetzt wissen wir Sicherheitsforscher*innen auch ganz offiziell, woran wir sind."

Wittmann wünscht sich von der Politik Reformen: "Die einzige sinnvolle Maßnahme wäre es, den Hackerparagraphen abzuschaffen und das IT-Sicherheitsrecht zu reformieren", sagt Wittmann. "Wir müssen weg vom Gedanken "shoot the messenger", sondern brauchen ein sinnvolles IT-Sicherheitsgesetz mit beispielsweise Produkthaftung. Es müssen die Leute bestraft werden, die Sicherheitslücken fabrizieren und nicht die, die sie finden."

Chaos Computer Club will CDU nicht mehr helfen

Ähnlich äußert sich auch Ulf Buermeyer, Jurist und Vorsitzender der Gesellschaft für Freiheitsrechte. Auf Twitter bezeichnet Buermeyer den Vorfall als "bitteres Beispiel für unser dysfunktionales IT-Strafrecht: Eigentlich sollte es die IT-Sicherheit verbessern! Bestraft werden sollten die, die persönliche Daten tausender Menschen in Gefahr bringen – aber nicht die, die Sicherheitslücken finden & verantwortungsvoll offenlegen."

Auch der Chaos Computer Club (CCC) kritisiert in einem Beitrag auf seiner Website das Vorgehen und erwähnt hier explizit die CDU. Laut dem CCC habe die Partei das "implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt". CCC-Sprecher Linus Neumann schreibt zudem: "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten."

Sicherheitsforscherin Wittmann lässt sich von der Anzeige zumindest nicht davon abbringen, allgemein weiter nach Schwachstellen zu suchen und diese zu melden. "Ich habe natürlich weiterhin ein Interesse, die Digitalisierung in Deutschland sicherer zu gestalten", sagt Wittmann. "Der CDU werde ich aber auch keine Lücken mehr melden. Das ist ja irgendwie logisch."

Verwendete Quellen:

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Media Markttchibo.deOTTOWeltbildbonprix.deLIDLBabistadouglas.deMadeleine

shopping-portal

Hinweis:

Der Internet Explorer wird nicht länger von t-online unterstützt!

Um sicherer und schneller zu surfen, wechseln Sie jetzt auf einen aktuellen Browser.

Wir empfehlen unseren kostenlosen t-online-Browser: