CDU-connect-App CDU entschuldigt sich für Anzeige gegen Sicherheitsforscherin
Sicherheitsforscherin Lilith Wittmann »Öffentlich negativ als Hackerin bezeichnet«
Foto: PrivatDieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
Die Softwareentwicklerin Lilith Wittmann hatte im Mai Schwachstellen in der Wahlkampf-App »CDU Connect« entdeckt und öffentlich gemacht. An diesem Dienstag bekam sie deswegen Post von Cybercrime-Ermittlern des Berliner Landeskriminalamts: Sie sei Beschuldigte in einem Ermittlungsverfahren wegen der CDU App, heißt es in der Mail, die Wittmann auf Twitter öffentlich machte .
Am Mittwochnachmittag hat die CDU eingeräumt, Anzeige gegen Wittmann beim LKA erstattet zu haben und sich gleichzeitig für den Vorgang entschuldigt. Stefan Hennewig, Bundesgeschäftsführer der Partei schrieb auf Twitter, dass es ein Fehler gewesen sei, Wittmanns Namen in der Anzeige zu nennen.
»Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz«, sagt Wittmann dem SPIEGEL. Die Entschuldigung sei eine »absolute Non-Apology«. Sie habe leider »angesichts der Fehlerkultur und des Unverständnisses der Partei für die digitale Welt« genau so ein Verhalten von der CDU erwartet. »Das ganze passt in das Bild, dass Armin Laschet mich damals öffentlich negativ als Hackerin bezeichnete«, so Wittmann in Bezug auf ein Interview, in dem Laschet sich im Mai zur Sicherheitslücke bei der App äußerte.
Die App CDU Connect soll den Haustürwahlkampf der Partei unterstützen. In dem Programm sollen Wahlkämpferinnen und Wahlkämpfer erfassen können, wer in welcher Straße unterwegs war und wo von Bürgerinnen oder Bürgern die Tür geöffnet wurde.
Wittmann berichtet im Mai in einem Blog-Beitrag von einer Sicherheitslücke in der App, die es Angreifern ermöglichte »die persönlichen Daten von 18.500 Wahlkampfhelfern, mit E-Mail-Adressen, Fotos, teilweise Facebook-Tokens« abzurufen. Auch »die persönlichen Daten von 1350 Unterstützer*innen, die angeworben wurden, der CDU im Wahlkampf zu helfen, inklusive Adresse, Geburtsdatum und Interessen« seien gefährdet gewesen. (Lesen Sie hier mehr über die Schwachstelle in der App.)
Chaos Computer Club will CDU nicht mehr helfen
Die Anzeige gegen Wittmann ist auch deshalb ein erstaunlicher Vorgang, weil Wittman die Berliner Datenschutzbehörde, die für Sicherheitslücken verantwortliche offizielle Stelle Cert-Bund und die Partei selbst laut ihren Angaben auf die Probleme hingewiesen hatte, bevor sie sie öffentlich machte. Dieser Vorgang wird in der IT-Sicherheitsforschung »Responsible Disclosure« genannt und soll dafür sorgen, dass Schwachstellen geschlossen werden und nicht von kriminellen Hackern in böser Absicht ausgenutzt werden können.
»Unsere Anzeige richtet sich nicht gegen das Responsible-Disclosure-Verfahren von Lilith Wittmann«, stellt Hennewig am Mittwoch auf Twitter klar. Außerhalb dieses Verfahrens sei es im Zusammenhang mit der Sicherheitslücke angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte gekommen, schrieb Hennewig und deutete damit eine mögliche Begründung für die Anzeige an. Er habe mit Wittmann telefoniert und sie um Entschuldigung gebeten, schrieb Hennewig.
Der Chaos Computer Club (CCC) hat die CDU am Mittwoch in einer Stellungnahme scharf kritisiert für die Anzeige. »Leider hat die CDU damit das implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt«, schrieb der CCC in einer Stellungnahme. Der Club werde der CDU als Konsequenz in Zukunft keine Schwachstellen mehr melden.
CDU-Digitalpolitiker Thomas Jarzombek betonte, dass er großen Respekt vor der wichtigen Arbeit des CCC habe. »Ich bin dankbar, dass ich seit Jahren auch immer wieder beim #CCC um Rat fragen durfte.« Responsible Disclosure sei unerlässlich für die Hygiene unserer IT-Infrastruktur und Hilfe für die Betroffenen, so Jarzombek auf Twitter.
