Die CDU, Connect-App und die Hackerin: Was war da los?

Ein Moment Ihrer Zeit für die Wahrheit.

In einer Welt voller Fehlinformationen und Fake News ist es unser Auftrag bei Mimikama.org, Ihnen zuverlässige und geprüfte Informationen zu liefern. Tag für Tag arbeiten wir daran, die Flut an Desinformation einzudämmen und Aufklärung zu betreiben. Doch dieser Einsatz für die Wahrheit benötigt nicht nur Hingabe, sondern auch Ressourcen. Heute wenden wir uns an Sie: Wenn Sie die Arbeit schätzen, die wir leisten, und glauben, dass eine gut informierte Gesellschaft für die Demokratie essentiell ist, bitten wir Sie, über eine kleine Unterstützung nachzudenken. Schon mit wenigen Euro können Sie einen Unterschied machen.

Stellen Sie sich vor, jeder, der diese Zeilen liest, würde sich mit einem kleinen Beitrag beteiligen – gemeinsam könnten wir unsere Unabhängigkeit sichern und weiterhin gegen Fehlinformationen ankämpfen.

So kannst Du unterstützen:

PayPal: Für schnelle und einfache Online-Zahlungen.
Steady oder Patreon: für regelmäßige Unterstützung.

Autor: Ralf Nowotny

Die CDU, Connect-App und die Hackerin: Was war da los?
Artikelbild: Twitter Screenshots

Eine Aktivistin des Chaos Computer Clubs (CCC) weist die CDU auf eine Sicherheitslücke in deren Wahlkampf-App hin – und bekommt daraufhin eine Anzeige.

Da sorgte die CDU wohl unfreiwillig für hohe Wellen: Eine Aktivistin des CCC entdeckt eine Sicherheitslücke in der Wahlkampf-App, informiert die CDU darüber und bekommt statt einem Dank eine Anzeige. Doch laut der CDU war die Anzeige ein Irrtum.

Lilith Wittmann ist das, was allgemein als „Hackerin“ bezeichnet wird, jedoch sitzt sie wohl eher weniger mit schwarzem Hoodie vor einem Laptop, wie man es gerne auf Symbolbildern sieht. Der Begriff „Sicherheitsforscherin“ ist da angebrachter, denn sie dringt nicht etwa böswillig in fremde Systeme ein, wie es sich viele unter „hacken“ vorstellen, sondern forscht nach Sicherheitslücken und weist die Unternehmen dann darauf hin.

Dies tat sie auch mit Connect-App, der Wahlkampf-App der CDU, bekam aber kurz darauf eine Strafanzeige mit Anfrage der Adresse per Mail geschickt.

Die Vorgeschichte

Am 12. Mai berichtete Lilith Wittmann auf ihrem Blog (siehe HIER) über die Sicherheitslücke. Die App namens CDU-connect-App wird seit 2017 von Wahlkampfhelfern genutzt, um Daten von Haustürgesprächen, potenziellen Unterstützern und Kritikern erfasst.

Laut dem CDU Connect-Team erfasst die App keine personenbezogenen Daten, jedoch wollte die Aktivistin es genauer wissen: Sie lud sich die App runter und entdeckte in ihr nicht nur signifikante Verstöße gegen übliche Sicherheitsrichtlinien, sondern konnte auch mit einigen Kniffen auf die kompletten, erfassten Daten zugreifen.

Zwar wurden tatsächlich keine direkten, personenbezogenen Daten erfasst, doch aufgrund der anderen Daten wie Straße, Koordinaten, Geschlecht und Alter konnte man sehr einfach die erfassten Aussagen auf Einzelpersonen zurückführen.

Wittmann meldete daraufhin die Bedenken beim CERT-Bund, dem Berliner Datenschutzbeauftragten, am nächsten Tag auch noch dem Datenschutz der CDU. Die App wurde daraufhin vorerst offline genommen, um die Sicherheitslücken zu schließen.

Die Responsible Disclosure

Bei der „Responsible Disclosure“ (zu Deutsch: Verantwortungsvolle Offenlegung) handelt es sich um ein Verfahren in der IT-Sicherheit, welche auch auf diesen Fall zutrifft:

Entdecker einer Sicherheitslücke melden diese an die betroffene Organisation oder das Unternehmen, diese bekommen genug Zeit, die Schwachstellen zu beseitigen, danach darf der Entdecker oder die Entdeckerin öffentlich über die Schwachstelle informieren. Im Normalfall werden die Entdecker nicht vergütet, eine Strafanzeige erfolgt auch nie – schließlich war das im Prinzip eine kostenlose Lektion für die IT-Sicherheit eines Unternehmens.

Die Anzeige

Normalerweise wäre die Sache damit erledigt – wenn Lilith Wittmann nicht plötzlich eine Mail erhalten hätte, in der ihr bezüglich der Connect-App eine Strafanzeige angekündigt wurde.

Sie sei als Beschuldigte in einem Ermittlungsverfahren betreffend der CDU Connect Application geführt, man benötige allerdings noch eine ladungsfähige Anschrift.

Dem Chaos Computer Club (CCC), für den die Aktivistin tätig ist, gefiel ein solcher Verstoß gegen die Responsible Disclosure-Regelung natürlich gar nicht: In einem Blog-Beitrag (siehe HIER) verkünden sie, der CDU keine Sicherheitslücken mehr zu melden, da sie ja nun damit rechnen müssen, jedes Mal eine Strafanzeige zu erhalten.

Die CDU rudert zurück

Der Bundesgeschäftsführer der CDU, Stefan Hennewig, berichtet in einem Thread auf Twitter (siehe HIER), dass die Anzeige gegen Lilith Wittmann nicht aufgrund der nachträglichen Veröffentlichung der Sicherheitslücke erfolgte, sondern weil es angeblich auch zu einer Veröffentlichung von personenbezogenen Daten kam.

Hennewig habe die Anzeige gegen Lilith Wittmann beim LKA zurückgezogen. Ob diese Rücknahme aber überhaupt so einfach möglich ist, steht noch offen:

So kann eine Strafanzeige nach § 158 StPO nicht zurückgenommen werden, die Behörden müssen weiter ermitteln (Legalitätsprinzip. Ein Strafantrag gemäß den §§ 77 StGB, den nur Geschädigte stellen können (in dem Fall also die CDU), kann jedoch zurückgenommen werden, das Verfahren wird dann aber nur in Ausnahmefällen beendet (Quelle).

Fazit

Man schießt nicht auf die Botin! Eine schnelle Anzeige gegen die Person, die sie auf die Sicherheitslücke aufmerksam machte, weil angeblich Daten aus der App geleakt wurden und sie ja vielleicht die Täterin gewesen sein könnte, zeugt eher von einem sehr übereilten und trotzigem Verhalten.

Man bedenke, dass die App seit 2017 eingesetzt wird und Wittmann die Sicherheitslücke eher aus reiner Neugier entdeckte. In der Zeit könnten böswillige Hacker schon längst die Daten eingesehen und geleakt haben – doch stattdessen wird auf die Botin geschossen, die erste Person, die die CDU auf die Sicherheitslücke hinwies.

Auch interessant:
Im Allgemeinen als jene Gestalten bekannt, die auf Bildern oft mit Sturmhaube oder Kapuzenpulli (gerne auch mit Sonnenbrille) im Dunkeln vor dem PC sitzen und Daten stehlen.
Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.