Die Staatsanwaltschaft Berlin hat das Verfahren gegen die Entwicklerin und Sicherheitsforscherin Lilith Wittmann eingestellt, schreibt die Betroffene in einem Blogbeitrag. Zuletzt war bekannt geworden, dass die CDU Wittmann angezeigt hatte, die Cybercrime-Abteilung des Berliner Landeskriminalamts ermittelte wegen Verstoß gegen den sogenannten Hackerparagrafen. Nach lauten Protesten und zahlreichen Medienberichten hatte die CDU dann den Strafantrag zurückgezogen.
Die Anzeige gegen Wittmann hatte für Verwunderung gesorgt, weil sie Sicherheitslücken in der Wahlkampf-Software CDU Connect aufgedeckt hatte, die Lücken aber nach dem Responsible-Disclosure-Verfahren verantwortungsvoll meldete. Durch die Sicherheitslücke waren tausende personenbezogene Daten offen abrufbar. Im Zuge des Protests gegen die Anzeige der CDU hatte der Chaos Computer Club angekündigt, in Zukunft keine Sicherheitslücken mehr an die CDU zu melden.
150 Seiten starke Ermittlungsakte
Wittmann zitiert nun in ihrem Blog aus der 150 Seiten starken Ermittlungsakte und veröffentlicht Teile aus dieser. Daraus geht hervor, dass die Datenschutzbeauftragte der CDU die Anzeige gegen Wittmann gestellt hatte. Aus den Akten geht auch hervor, dass die CDU die umfangreichen mit der Wahlkampf-App gespeicherten (persönlichen) Daten noch nie ausgewertet hatte, sondern diese einfach nur sammelte. Gleichzeitig stellten die Ermittler fest, was Wittmann bereits dargelegt hatte, nämlich dass die Daten in der CDU-App überhaupt nicht gesichert waren. In der Akte heißt es: „Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar.“
Dort, wo es keinen Schutz vor unberechtigtem Zugriff gibt, dort greift auch kein Hackerparagraf. Laut den Akten stellte die Staatsanwaltschaft das Verfahren deswegen ein und nicht wegen der Rücknahme des Strafantrages durch die CDU.
Wittmann ist sauer auf den Umgang der CDU mit ihr. Es fühle sich für sie nach Machtmissbrauch durch die Partei an:
Menschen dadurch zu unterdrücken, dass man sie als zweitgrößte Partei Deutschlands einfach erst mal anzeigt. Denn eine Anzeige bedeutet in unserem Rechtssystem immer ein Risiko für weitere Repressionsmaßnahmen wie Hausdurchsuchungen, Festnahmen, …. Eine Anzeige bedeutet natürlich auch eine Menge verschwendete Zeit, Rechtsanwaltskosten und einfach nur Stress. Und all das führt dazu, dass immer mehr Menschen in Deutschland den Prozess eines Responsible-Disclosure-Verfahrens scheuen werden. Aber all das war der CDU scheinbar egal. Anders kann ich mir jedenfalls nicht erklären, dass ich bis heute weder eine Zusage für die Erstattung der durch sie angefallenen Kosten noch eine ordentliche Entschuldigung bekam.
Wittmann spricht sich deswegen unter anderem für die Abschaffung des Hackerparagrafen aus, weil er „gefährlicher Quatsch“ sei. Auch Carsten Hoenig, der Anwalt von Wittmann, bewertet gegenüber Spiegel Online den Paragrafen 202a des Strafgesetzbuchs als „handwerklich einfach schlecht gemacht.“ Die Regelung drohe, Sicherheitsforschung zu kriminalisieren und sei auch schlicht zu vage formuliert, so Hoenig weiter.
Prüfverfahren gegen die CDU
Der CDU steht nun selbst ein Verfahren ins Haus. Die Berliner Datenschutzbehörde prüft Verstöße gegen die Datenschutzgrundverordnung (DSGVO) im Rahmen der Wahlkampf-App CDU Connect und den Umgang mit personenbezogenen Daten durch die CDU. Dass die Daten jetzt auch von einer weiteren Stelle als ungeschützt und aus „technischer Sicht öffentlich abrufbar“ bezeichnet werden, verbessert die Position der CDU in diesem Verfahren sicherlich nicht.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires