Auf die Meldung mehrerer Schwachstellen in einer Wahlkampf-App reagierte die CDU mit einem Strafantrag gegen die Hinweisgeberin. Die Folge: Der CCC wird CDU-Schwachstellen künftig nicht mehr der Partei melden.

Um ihren Haustür-Wahlkampf effizient zu koordinieren, unterhält die CDU eine App mit dem Namen CDUconnect. In dieser App sammeln christdemokratische Klinkenputzerinnen Daten über Personen, die sie in ihrem Heim aufgesucht haben.

Die CCC-Aktivistin Lilith Wittmann widmete dieser App im Mai 2021 ein paar Stunden ihrer Aufmerksamkeit. Das Ergebnis: Nicht nur die persönlichen Daten von 18.500 Wahlkampfhelferinnen, mit E-Mail-Adressen & Photos, sondern auch die persönlichen Daten von 1.350 Unterstützerinnen der CDU inklusive Adresse, Geburtsdatum und Interessen waren ungeschützt und frei über das Netz zugänglich. Natürlich durfte auch die halbe Million Datensätze über politische Einstellungen kontaktierter Personen nicht fehlen.

Die Schwachstellen meldete sie verantwortungsbewusst den verantwortlichen Stellen der CDU, dem Bundesamt für Sicherheit in der Informationstechnik und den Berliner Datenschutzbeauftragten. Die unsichere Datenbank wurde kurz danach abgeschaltet und die CDU gelobte Besserung. So weit, so alltäglich (leider).

Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell: Die Meldung der Schwachstelle ist eine kostenlose Nachhilfe in IT-Sicherheit und dient dem Schutz der fast 20.000 betroffenen Personen.

In der IT-Sicherheitskultur hat sich für solche Fälle das Verfahren der responsible disclosure etabliert: Die Entdeckerinnen melden die Schwachstelle, erhalten keinerlei Kompensation und berichten öffentlich über die Schwachstelle, wenn die Gefahr für die Betroffenen gebannt ist.

Leider erweist sich die CDU als äußerst undankbar für die ehrenamtliche Nachhilfe. Sie hat nun beim LKA Strafantrag gegen die CCC-Aktivistin gestellt. „Shooting the Messenger“ wird die dysfunktionale Strategie genannt, nicht das Problem zu lösen, sondern jene anzugreifen, die darauf hinweisen.

“Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern. Insofern ist dieses destruktive Vorgehen nur konsequent.” sagte Linus Neumann, Sprecher des Chaos Computer Clubs.

Leider hat die CDU damit das implizite Ladies-and-Gentlemen-Agreement der responsible disclosure einseitig aufgekündigt. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten”, kündigte Neumann an.

Der CCC bedauert ausdrücklich, dass damit das Risiko anonymer Full-Disclosure-Veröffentlichungen für die CDU und ihre freiwilligen Unterstützerinnen steigt. Die Verantwortung für zukünftige derartige Veröffentlichungen weisen wir vorsorglich von uns.


(Quelle: PM CCC)

„…Karl-Heinz T., Parteimitglied, hat gerade Bauland gekauft“

Die Aktivistin Lilith Wittmann hat in der vergangenen Woche mehrere gravierende Sicherheitslücken in Wahlkampf-Apps gefunden. Im Interview erzählt sie, wie einfach sie tausende Datensätze mit Informationen zu Alter, Geschlecht und politischer Meinung finden konnte und was sie daran am meisten bestürzt. Übrigens: Die CDU hat ihre Wahlkampf-App erstmal offline genommen.

Haustürdaten werden in Wahlkampf-Apps gespeichert
Hinter welcher Tür steckt welche politische Meinung? Das dürfen die Apps eigentlich nicht erfassen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Christian Stahl

Schon zur Bundestagswahl 2017haben verschiedene Parteien eigene Apps für den Haustürwahlkampf eingesetzt. Darin können Wahlkampfhelfer:innen beispielsweise eintragen, an wie vielen Türen sie schon geklingelt haben und an wie vielen ihnen geöffnet wurde. In der App „CDU-connect“ ließen sich auch weitere Informationen wie Alter, Geschlecht und politische Gesinnung speichern. Seit vergangener Woche ist die App offline. Die Aktivistin und Hackerin Lilith Wittmann hatte mehrere Sicherheitslücken gefunden, die es genauso auch bei den baugleichen Wahlkampf-Apps der CSU, der Österreichischen Volksparteiund der Schweizer CVP gab.

Allein durch die Lücke in der CDU-App standen Wittmann zufolge über 100.000 Datensätze zu besuchten Personen sowie die Daten von über 18.000 Wahlkampfhelfer:innen und mehr als 1.000 potenzielle Unterstützer:innen seit vier Jahren relativ ungeschützt im Netz. Im Interview hat sie uns von den Hintergründen ihrer Recherche erzählt und erklärt, warum sie den Wahlkampf mit Daten so bedenklich findet.

„Ich hätte nicht erwartet, dass es so einfach ist“

netzpolitik.org: Die größte Sicherheitslücke, die du in der CDU-Connect-App gefunden hast, ermöglichte es dir, über die Programmierschnittstelle auf die Datensätze zu gespeicherten Hausbesuchen zuzugreifen. Warst du überrascht, als du das gemerkt hast?

Lilith Wittmann: Ich hätte nicht erwartet, dass es so einfach ist, über die Objektdatenbank an die Daten zu kommen, die dort eigentlich gar nicht gedacht waren. Als ich…

[weiter bei netzpolitk.org]