CDU will Strafe – „erster Impuls aus Frustration und Inkompetenz“

5. August 2021

Auf die Meldung mehrerer Schwachstellen in einer Wahlkampf-App reagierte die CDU mit einem Strafantrag gegen die Hinweisgeberin. Die Folge: Der CCC wird CDU-Schwachstellen künftig nicht mehr der Partei melden.

Um ihren Haustür-Wahlkampf effizient zu koordinieren, unterhält die CDU eine App mit dem Namen CDUconnect. In dieser App sammeln christdemokratische Klinkenputzerinnen Daten über Personen, die sie in ihrem Heim aufgesucht haben.

Die CCC-Aktivistin Lilith Wittmann widmete dieser App im Mai 2021 ein paar Stunden ihrer Aufmerksamkeit. Das Ergebnis: Nicht nur die persönlichen Daten von 18.500 Wahlkampfhelferinnen, mit E-Mail-Adressen & Photos, sondern auch die persönlichen Daten von 1.350 Unterstützerinnen der CDU inklusive Adresse, Geburtsdatum und Interessen waren ungeschützt und frei über das Netz zugänglich. Natürlich durfte auch die halbe Million Datensätze über politische Einstellungen kontaktierter Personen nicht fehlen.

Die Schwachstellen meldete sie verantwortungsbewusst den verantwortlichen Stellen der CDU, dem Bundesamt für Sicherheit in der Informationstechnik und den Berliner Datenschutzbeauftragten. Die unsichere Datenbank wurde kurz danach abgeschaltet und die CDU gelobte Besserung. So weit, so alltäglich (leider).

Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell: Die Meldung der Schwachstelle ist eine kostenlose Nachhilfe in IT-Sicherheit und dient dem Schutz der fast 20.000 betroffenen Personen.

In der IT-Sicherheitskultur hat sich für solche Fälle das Verfahren der responsible disclosure etabliert: Die Entdeckerinnen melden die Schwachstelle, erhalten keinerlei Kompensation und berichten öffentlich über die Schwachstelle, wenn die Gefahr für die Betroffenen gebannt ist.

Leider erweist sich die CDU als äußerst undankbar für die ehrenamtliche Nachhilfe. Sie hat nun beim LKA Strafantrag gegen die CCC-Aktivistin gestellt. „Shooting the Messenger“ wird die dysfunktionale Strategie genannt, nicht das Problem zu lösen, sondern jene anzugreifen, die darauf hinweisen.

“Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern. Insofern ist dieses destruktive Vorgehen nur konsequent.” sagte Linus Neumann, Sprecher des Chaos Computer Clubs.

Leider hat die CDU damit das implizite Ladies-and-Gentlemen-Agreement der responsible disclosure einseitig aufgekündigt. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten”, kündigte Neumann an.

Der CCC bedauert ausdrücklich, dass damit das Risiko anonymer Full-Disclosure-Veröffentlichungen für die CDU und ihre freiwilligen Unterstützerinnen steigt. Die Verantwortung für zukünftige derartige Veröffentlichungen weisen wir vorsorglich von uns.


(Quelle: PM CCC)

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.