„…Karl-Heinz T., Parteimitglied, hat gerade Bauland gekauft“

Die Aktivistin Lilith Wittmann hat in der vergangenen Woche mehrere gravierende Sicherheitslücken in Wahlkampf-Apps gefunden. Im Interview erzählt sie, wie einfach sie tausende Datensätze mit Informationen zu Alter, Geschlecht und politischer Meinung finden konnte und was sie daran am meisten bestürzt. Übrigens: Die CDU hat ihre Wahlkampf-App erstmal offline genommen.

Haustürdaten werden in Wahlkampf-Apps gespeichert
Hinter welcher Tür steckt welche politische Meinung? Das dürfen die Apps eigentlich nicht erfassen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Christian Stahl

Schon zur Bundestagswahl 2017haben verschiedene Parteien eigene Apps für den Haustürwahlkampf eingesetzt. Darin können Wahlkampfhelfer:innen beispielsweise eintragen, an wie vielen Türen sie schon geklingelt haben und an wie vielen ihnen geöffnet wurde. In der App „CDU-connect“ ließen sich auch weitere Informationen wie Alter, Geschlecht und politische Gesinnung speichern. Seit vergangener Woche ist die App offline. Die Aktivistin und Hackerin Lilith Wittmann hatte mehrere Sicherheitslücken gefunden, die es genauso auch bei den baugleichen Wahlkampf-Apps der CSU, der Österreichischen Volksparteiund der Schweizer CVP gab.

Allein durch die Lücke in der CDU-App standen Wittmann zufolge über 100.000 Datensätze zu besuchten Personen sowie die Daten von über 18.000 Wahlkampfhelfer:innen und mehr als 1.000 potenzielle Unterstützer:innen seit vier Jahren relativ ungeschützt im Netz. Im Interview hat sie uns von den Hintergründen ihrer Recherche erzählt und erklärt, warum sie den Wahlkampf mit Daten so bedenklich findet.

„Ich hätte nicht erwartet, dass es so einfach ist“

netzpolitik.org: Die größte Sicherheitslücke, die du in der CDU-Connect-App gefunden hast, ermöglichte es dir, über die Programmierschnittstelle auf die Datensätze zu gespeicherten Hausbesuchen zuzugreifen. Warst du überrascht, als du das gemerkt hast?

Lilith Wittmann: Ich hätte nicht erwartet, dass es so einfach ist, über die Objektdatenbank an die Daten zu kommen, die dort eigentlich gar nicht gedacht waren. Als ich…

[weiter bei netzpolitk.org]