Das Berliner Landeskriminalamt 724, zuständig für Cybercrime, ermittelt gegen Lilith Wittmann im Zusammenhang mit den von ihr gefundenen Sicherheitslücken in der App „CDU Connect“. Die IT-Sicherheitsforscherin hatte im Mai dieses Jahres die Wahlkampf-App der CDU untersucht und auf Anhieb gravierende Sicherheitslücken gefunden.
Durch die Sicherheitslücken waren laut Wittmann die persönlichen Daten von 18.500 Wahlkampfhelfer:innen samt Mailadressen und Photos, die persönlichen Daten von 1.350 CDU-Unterstützer:innen inklusive Adresse, Geburtsdatum und Interessen sowie hunderttausende Datensätze, die im Rahmen von Haustürgesprächen erhoben wurden, öffentlich im Netz zugänglich. Im Interview mit netzpolitik.org hat Wittmann damals den Hack und die Reaktionen der CDU erklärt.
Neben der CDU waren auch die CSU und die österreichische ÖVP von den Sicherheitslücken betroffen, weil sie die gleiche App in anderem Design nutzten. Entwickelt wurde sie von der PXN GmbH, einer Firma, die von CDU-Mitgliedern gegründet worden war. Alle drei Parteien schalteten als Reaktion die App damals ab. CSU und ÖVP jedoch erst, als die Öffentlichkeit erfuhr, dass auch ihre Apps betroffen waren.
Hat die CDU Wittmann angezeigt?
Bislang ist nicht bekannt, was Wittmann vorgeworfen wird. Das LKA wollte sich gegenüber netzpolitik.org aus Datenschutz- und Persönlichkeitsschutzgründen nicht äußern. Denkbar ist, dass gegen Wittmann wegen des sogenannten Hacker-Paragrafen ermittelt wird.
Bleibt die Frage, wer Lilith Wittmann angezeigt hat oder ob die Ermittlungen aus öffentlichem Interesse geschehen. Die Agentur PXN, die für die App verantwortlich ist, hat auf die Anfrage von netzpolitik.org gesagt, dass sie keine rechtlichen Schritte eingeleitet hat.
Wir haben die CDU-Bundesgeschäftsstelle gefragt, ob sie hinter einer möglichen Anzeige gegen die IT-Sicherheitsforscherin steckt. Doch die CDU hat bislang nicht auf unsere schon gestern gestellte schriftliche Anfrage geantwortet. Am Telefon wollte eine Pressesprecherin nichts zum Thema sagen, bestätigte nur, dass es „ganz viele“ Anfragen zum Thema gäbe.
Nach Informationen von netzpolitik.org hatte ein hochrangiger Vertreter der CDU allerdings schon früher gegenüber Lilith Wittmann angekündigt, Anzeige erstatten zu wollen.
Das ist vor dem Hintergrund erstaunlich, dass die 25-jährige Wittmann die gravierende Sicherheitslücke in einem Responsible-Disclosure-Verfahren an die Partei gemeldet hatte, so dass diese die Chance hatte, die Sicherheitslücke zu schließen oder andere Maßnahmen zu ergreifen, bevor sie öffentlich bekannt wird.
CCC wünscht CDU viel Glück bei zukünftigen Schwachstellen
Leider habe die CDU mit ihrem Vorgehen das implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt, schreibt der Chaos Computer Club in einer Pressemitteilung. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten”, so CCC-Sprecher Neumann.
Leider erweise sich die CDU als äußerst undankbar für die ehrenamtliche Nachhilfe. „Shooting the Messenger“ werde die Strategie genannt, nicht das Problem zu lösen, sondern jene anzugreifen, die darauf hinweisen. “Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern. Insofern ist dieses destruktive Vorgehen nur konsequent”, so Neumann weiter.
Kritik auch von der GFF
Doch nicht nur der CCC ist sauer. Ulf Buermeyer von der Gesellschaft für Freiheitsrechte (GFF) kritisiert: „Der Fall Lilith Wittmann ist ein bitteres Beispiel für unser dysfunktionales IT-Strafrecht. Wenn man die IT-Sicherheit verbessern will, dann sollten diejenigen bestraft werden, die persönliche Daten tausender Menschen in Gefahr bringen – aber doch nicht die Menschen, die Sicherheitslücken finden und verantwortungsvoll offenlegen.“
Auch die betroffene Wittmann sieht die Gesetzgebung als das Problem: „CDU und SPD haben trotz vielfacher Hinweise in Bezug auf die Folgen für die zivilgesellschaftliche Sicherheitsforschung den Hackerparagrafen beschlossen. Es ist nun zwar schade, aber nicht wirklich unerwartet, dass die CDU für sie unangenehme Sicherheitsforscher*innen – wie mich selbst – auf Basis dieses Paragrafs verfolgt.”
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires