Die Aktivistin Lillith Wittmann vom Chaos Computer Club e.V. (CCC) meldete vor einige Zeit Sicherheitslücken in der Wahlkampf-App CDUconnect. Die CDU reagiert mit Strafantrag.
Auf Twitter wendet sich Lillith Wittmann mit der Bitte um Rechtsrat an die Jura-Bubble:
Hey #Jurabubbel jemand zufällig Zeit für ein bisschen #cyber #Strafrecht? #cduconnect #dawareineHackerindrin Und ja die #CDU hat genau so viel Ehre wie erwartet. (Twitter, @LilithWittmann)
Datenleck in der CDUconnect-App
Die CDU koordiniert ihren Haustür-Wahlkampf mit der App CDUconnect. Man will hipp und modern sein. Über das Programm sammeln die Konservativen Daten über bereits besuchte Haushalte. Einige Sicherheitslücken ermöglichen es jedoch, dass persönliche Daten von 18.500 Wahlkampfhelferinnen, mit E-Mail-Adressen und Fotos sowie die persönlichen Daten von 1.350 Unterstützerinnen der CDU inklusive Adresse, Geburtsdatum und Interessen ungeschützt und frei über das Netz zugänglich waren. Auch die kontaktierten Haushalte und deren (0,5 Millionen) Datensätze über politische Einstellungen sind Opfer des digitalisierten Wahlkampfes geworden.
Dankbarkeit der CDU für „Digitalisierungs-Nachhilfe“
Lillith Wittmann hat die Schwachstellen den verantwortlichen Stellen der CDU, dem Bundesamt für Sicherheit in der Informationstechnik und dem Berliner Datenschutzbeauftragten gemeldet. Kurz darauf wurde die unsichere Datenbank abgeschaltet und die CDU gelobte Besserung. Statt einem DANKE, wurde gegen die Aktivistin beim Landeskriminalamt (LKA) Strafantrag gestellt. Juristisch wird dies auf das Ausspähen von Daten (§ 202a StGB) gestützt. Insofern unterscheidet deutsches Strafrecht zulasten von Whistleblowern nicht zwischen „guten“ und „bösen“ Hackern.
Linus Linus Neumann vom CCC kündigte an, zukünftig auf solche IT-Nachhilfe zu verzichten:
Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten.
Die (Selbst) Zerstörung der CDU
Nach der Zerstörung der CDU durch Rezo (YouTube) schießt sich die CDU mit dieser Aktion selbst in Bein. Juristisch mag die Partei aufgrund von § 202a StGB etwaig Recht bekommen. Gleichsam verwehrt sie sich damit zukünftig kostenloser Nachhilfe in IT-Sicherheit („responsible disclosure“) und bringt die Daten von Betroffene in Gefahr. Wer ohne (finanzielle) Kompensation auf einen Missstand hinweist und dazu noch verklagt wird, wird es sich zweimal überlegt, ob man seine gut gemeinte Hilfe kostenlos andient und darüber öffentlich berichtet. Eine Form von positivem Lobbyismus, dem man sich verweigert (apropos Lobbyismus: CDU-Tik-Tok-Affäre).
Der CCC spricht von „Shooting the Messenger“. Eine dysfunktionale Strategie, bei der nicht das Problem gelöst wird, sondern jene angegriffen werden, die darauf hinweisen. Dieses Verhalten sei auch mit der Digitalisierung und anderen politischen Problemfeldern zu beobachten. In der Folge reagiert der Chaos Computer Club e.V. (CCC) auf die einseitige Aufkündigung des Ladies-and-Gentlemen-Agreement der responsible disclosure seitens der CDU mit Konsequenzen.
Wie bei einer Kündigung und dem danach ausgestellten Arbeitszeugnis eines Arbeitgebers wünscht man der CDU viel Glück für die Zukunft, allen voran bei zukünftigen Schwachstellen.
Leider hat die CDU damit das implizite einseitig aufgekündigt. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten”, kündigte Neumann an. Der CCC bedauert ausdrücklich, dass damit das Risiko anonymer Full-Disclosure-Veröffentlichungen für die CDU und ihre freiwilligen Unterstützerinnen steigt. Die Verantwortung für zukünftige derartige Veröffentlichungen weisen wir vorsorglich von uns. (Quelle: Chaos Computer Club)
In der Zukunft wird der Spieß umgedreht: Anzeige der CDU wegen Datenschutz-Verstößen.
Die CDU zeigt sich einsichtig und nimmt die Anzeige beim LKA zurück. DANKE Lillith Wittmann!
LG Mr. Datenschutz – die Adresse für Datenschutz und Freiheit