Berlin. Nach dem Fund einer gravierenden Sicherheitslücke in einer CDU-App war eine Hackerin angezeigt worden. So reagiert die Partei jetzt.

Eigentlich wollte Lilith Wittmann nur auf eine Schwachstelle in der CDU-Wahlkampf-App hinweisen. Dann wurde gegen die Hackerin des Chaos Computer Clubs eine Strafanzeige gestellt. Nachdem Wittmann dies öffentlich machte, hat die CDU die Anzeige laut eigenen Angaben zurückgezogen. Wittmanns Nennung sein ein Fehler gewesen.

Im Mai dieses Jahres hatte die IT-Sicherheitsforscherin die App „CDUconnect“ untersucht – und auf Anhieb gravierende Sicherheitslücken gefunden. Wittmann, die als Hackerin für den Chaos Computer Club (CCC) tätig ist, meldete diesen Fehler an die Partei. Die CDU entschuldigte sich zwar zuerst und nahm die App sogar offline.

Chaos Computer Club: Sicherheitslücke bei "CDUconnect"

Offenbar war die Sache damit aber nicht vom Tisch: Wie Wittmann auf ihrem privaten Twitter-Profil mitteilte, hat das Cyber-Landeskriminalamt Berlin ein Strafverfahren gegen sie eingeleitet. Dieses betreffe die „CDU Connect Applikation“ heißt es in einer E-Mail des LKA, die Wittmann an ihren Tweet anhängte.

Empfohlener externer Inhalt
An dieser Stelle befindet sich ein externer Inhalt von X, der von unserer Redaktion empfohlen wird. Er ergänzt den Artikel und kann mit einem Klick angezeigt und wieder ausgeblendet werden.
Externer Inhalt
Ich bin damit einverstanden, dass mir dieser externe Inhalt angezeigt wird. Es können dabei personenbezogene Daten an den Anbieter des Inhalts und Drittdienste übermittelt werden. Mehr dazu in unserer Datenschutzerklärung

Mit der App koordiniert die CDU ihren Haustür-Wahlkampf, bei der letzten Bundestagswahl 2017 kam sie bereits zum Einsatz. Über die Handy-Software werden Besuche dokumentiert und Informationen dazu gespeichert.

Bei ihrem Hack fiel Wittmann auf, dass über die App persönliche Daten wie E-Mail-Adressen und Bilder von über 18.500 Wahlkämpferinnen und Wahlkämpfern frei im Internet zugänglich waren. Auch waren von der Sicherheitslücke die persönlichen Informationen von 1350 Unterstützerinnen und Unterstützern der CDU betroffen. Dabei handelte es sich um Interessen, Adressen und Geburtstage. Betroffen waren auch die Wahlkampf-Apps der CSU und der österreichischen Volkspartei (ÖVP).

"CDUconnect"-App: CCC-Hackerin meldete Problem an Partei und offizielle Stellen

Laut CCC meldete Lilith Wittmann die Schwachstellen der App an die CDU, aber auch an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Berliner Datenschutzbeauftragten. In einer Mitteilung des CCC vom Mittwochmorgen hieß es: „Die unsichere Datenbank wurde kurz danach abgeschaltet und die CDU gelobte Besserung.“

Auf Nachfrage bestätigte die Partei damals auch die Sicherheitslücke, sprach aber von Daten von 17.000 registrierten Wahlkampfhelfern sowie den Adressdaten von rund 1300 Bürgerinnen und Bürgern. Genüber dem "Spiegel" erklärte die CDU im Mai, man sei dabei, alle potenziell betroffenen Nutzerinnen und Nutzer zu informieren. Nach einem Update sind die Apps wieder im Apple- und Google-Store verfügbar.

Die CDU profitierte also von der Meldung der Schwachstelle durch Wittman. Trotzdem seien schon „im Austausch mit der Sicherheitsforscherin“ von der Partei „rechtliche Schritte in Aussicht“ gestellt worden. Darüber, dass das juristische Nachspiel nun tatsächlich stattfinden sollte, zeigte sich der CCC empört.

Lesen Sie auch: Corona-App: Warum der Chaos Computer Club keine Empfehlung abgeben will

Chaos Computer Club will keine Sicherheitslücken mehr an CDU melden

Der Verein, der eine wichtige Nichtregierungsorganisation in allen Fragen der IT-Sicherheit ist, zieht harte Konsequenzen. Der CCC wird künftig keine Sicherheitslücken mehr an die CDU melden. Das geht aus der Mitteilung des Vereins zu der Causa von Mittwochmorgen hervor.

„Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten“, sagte der Sprecher des Vereins, Linus Neumann.

CCC wünscht CDU "viel Glück" bei künftigen Sicherheitsproblemen

Bisher hatte der CCC im Verfahren der sogenannten „Responsible Disclosure“ Informationen zu gefundenen Sicherheitslücken an die Partei weitergegeben. Bei einer solchen impliziten Vereinbarung könnten Cyber-Schwachstellen gemeldet werden, ohne dass die Entdeckerinnen und Entdecker rechtliche Konsequenzen befürchten müssen. Da die CDU sich aber einseitig nicht mehr an diese Vereinbarung halte, werde sich auch der CCC nicht mehr beteiligen. Der Verein wünsche der Partei „viel Glück bei zukünftigen Schwachstellen“.

CDU spricht von Fehler bei der Anzeige – Entschuldigung bei Wittmann

Am Mittwochnachmittag äußerte sich der Bundesgeschäftsführer der CDU, Stefan Hennewig, zu der Angelegenheit. Er twitterte, die Partei habe vor einigen Wochen Anzeige im Zusammenhang mit der Sicherheitslücke der App erstattet. „Unsere Anzeige richtet sich NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann.“ Vielmehr seien solche Verfahren seien ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen, und ein wichtiger Baustein, um IT-Sicherheit zu erhöhen, betonte der CDU-Politiker.

Im Zusammenhang mit der Sicherheitslücke der App sei es aber angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte gekommen, erklärte Hennewig weiter. „Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen.“

(mit dpa)