CDU kriminalisiert Sicherheitsforscherin – Digitalcourage solidarisiert sich mit Lilith Wittmann

Die CDU kriminalisiert eine "Responsible Disclosure"-Meldung.

Datum: 04.08.2021

Text: Konstantin Macher

Im Mai wurde bekannt, dass die CDU-Wahlkampf-App, „CDU connect-App“, sowohl eine Sicherheitslücke als auch ein fragwürdiges Datenschutzkonzept hatte. Aufgedeckt wurde das von der Sicherheitsforscherin Lilith Wittmann. Sie meldete die Sicherheitslücke sowohl an die Parteizentrale der CDU als auch dem Bundesamt für Sicherheit in der Informationstechnik.

Jetzt wird gegen Wittmann ermittelt, wie sie selbst auf Twitter öffentlich machte. Das ist völlig verfehlte Digitalpolitik der Union und riskiert die gesamte IT-Sicherheitslandschaft zu schwächen. Es ist Ausdruck einer guten IT-Sicherheitskultur, dass „Responsible Disclosure“-Meldeverfahren möglich sind. Dabei melden Entdecker.innen einer Sicherheitslücke diese zunächst, damit diese geschlossen werden kann, und berichten danach öffentlich über ihre Forschungsergebnisse.

Als Reaktion auf das Ermittlungsverfahren gegen Wittmann hat der Chaos Computer Club (CCC) angekündigt, keine Sicherheitslücken mehr an die CDU zu melden. Auf der Seite des CCC heißt es:

„Leider hat die CDU damit das implizite Ladies-and-Gentlemen-Agreement der responsible disclosure einseitig aufgekündigt. ‚Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten‘, kündigte [Linus] Neumann an.
Der CCC bedauert ausdrücklich, dass damit das Risiko anonymer Full-Disclosure-Veröffentlichungen für die CDU und ihre freiwilligen Unterstützerinnen steigt. Die Verantwortung für zukünftige derartige Veröffentlichungen weisen wir vorsorglich von uns.“

Die Gesellschaft für Freiheitsrechte hat außerdem Kontakt aufgenommen, um Wittmann zu unterstützen.
Digitalcourage solidarisiert sich mit der Sicherheitsforscherin Lilith Wittmann und fordert von der CDU, ihren Fehler umgehend zurückzunehmen. Responsible Disclosure zu kriminalisieren gefährdet die gesamte IT-Sicherheitskultur. Und jetzt erstmal die Software von CDU und ihren Unterstützer.innen.

Update: CDU zieht Anzeige zurück

Update: 04.08.2021, 15:00 Uhr

Der öffentliche Druck auf die Partei hat gewirkt. Wie netzpolitik.org berichtet, hat die CDU nachgegeben und ihren Fehler korrigiert:

"Die CDU hat jetzt in einer Erklärung zugegeben, dass sie die Sicherheitsforscherin angezeigt hatte. Die Partei hat die Anzeige auf öffentlichen Druck beim LKA zurückgezogen und sich bei der Hackerin entschuldigt. In der Erklärung des Bundesgeschäftsführers Stefan Hennewig heißt es, dass sich die Anzeige nicht gegen das Responsible Disclosure Verfahren von Wittmann richte und dass die Nennung ihres Namen ein Fehler gewesen sei."

Update: Staatsanwaltschaft stellt Verfahren ein

Update: 20.09.2021, 11:00 Uhr

Wie Lilith Wittmann in ihrem Blog berichtet, hat die Staatsanwaltschaft das Verfahren gegen die Sicherheitsforscherin eingestellt. Begründung dafür sei ausgerechnet, dass die "CDU connect"-App überhaupt nicht gegen Datenzugriffe geschützt sei. Sie erklärt:

"Die CDU zog den Strafantrag aufgrund des krassen medialen Drucks zurück. Die Staatsanwaltschaft stellte ihre Ermittlungen allerdings ein, weil aufgrund des nicht vorhandenen Zugriffsschutzes auf die Daten der CDU keine Straftat begangen wurde.."

Diese fehlende Absicherung der Daten von Bürger.innen, welche in der App erfasst wurden, ist aktuell Gegenstand einer Prüfung durch die Berliner Datenschutzbehörde. Was bleibt ist ein Vertrauensverlust und damit ein Schaden für die deutsche IT-Sicherheitslandschaft. Responsible Disclosure ist wichtig und Sicherheitsforscher.innen sollten geschützt werden, statt sie zu kriminalisieren. Als Lehre aus dem Debakel sollte die nächste Bundesregierung den Hackerparagraf (202 a-c StGB), welcher die Grundlage für das Verfahren gegen Wittmann darstellte, in dieser Form endlich abschaffen.

Newsletter abonnieren

Drei Schritte: Link anklicken, E-Mail-Adresse eintragen, Bestätigungsmail beantworten.

Bücher, Gadgets, Infomaterial, Hoodies, …
Im Digitalcourage-Shop gibt es (fast) alles, was das Aktivist.innenherz begehrt.
Hier geht es zum Shop! 

Über uns

Digitalcourage e.V. engagiert sich seit 1987 für Grundrechte, Datenschutz und eine lebenswerte Welt im digitalen Zeitalter. Wir sind technikaffin, doch wir wehren uns dagegen, dass unsere Demokratie „verdatet und verkauft“ wird. Seit 2000 verleihen wir die BigBrotherAwards. Digitalcourage ist gemeinnützig, finanziert sich durch Spenden und lebt von viel freiwilliger Arbeit. Mehr zu unserer Arbeit.

Veröffentlicht am 04.08.2021

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld