CDUconnect & CCC · Die (Selbst-) Zerstörung der CDU

Die Aktivistin Lillith Wittmann vom Chaos Computer Club e.V. (CCC) meldete vor einige Zeit Sicherheitslücken in der Wahlkampf-App CDUconnect. Die CDU reagiert mit Strafantrag.

Auf Twitter wendet sich Lillith Wittmann mit der Bitte um Rechtsrat an die Jura-Bubble:

Hey #Jurabubbel jemand zufällig Zeit für ein bisschen #cyber #Strafrecht? #cduconnect #dawareineHackerindrin Und ja die #CDU hat genau so viel Ehre wie erwartet. (Twitter, @LilithWittmann)

Datenleck in der CDUconnect-App

Die CDU koordiniert ihren Haustür-Wahlkampf mit der App CDUconnect. Man will hipp und modern sein. Über das Programm sammeln die Konservativen Daten über bereits besuchte Haushalte. Einige Sicherheitslücken ermöglichen es jedoch, dass persönliche Daten von 18.500 Wahlkampfhelferinnen, mit E-Mail-Adressen und Fotos sowie die persönlichen Daten von 1.350 Unterstützerinnen der CDU inklusive Adresse, Geburtsdatum und Interessen ungeschützt und frei über das Netz zugänglich waren. Auch die kontaktierten Haushalte und deren (0,5 Millionen) Datensätze über politische Einstellungen sind Opfer des digitalisierten Wahlkampfes geworden.

Dankbarkeit der CDU für „Digitalisierungs-Nachhilfe“

Lillith Wittmann hat die Schwachstellen den verantwortlichen Stellen der CDU, dem Bundesamt für Sicherheit in der Informationstechnik und dem Berliner Datenschutzbeauftragten gemeldet. Kurz darauf wurde die unsichere Datenbank abgeschaltet und die CDU gelobte Besserung. Statt einem DANKE, wurde gegen die Aktivistin beim Landeskriminalamt (LKA) Strafantrag gestellt. Juristisch wird dies auf das Ausspähen von Daten (§ 202a StGB) gestützt. Insofern unterscheidet deutsches Strafrecht zulasten von Whistleblowern nicht zwischen „guten“ und „bösen“ Hackern.

Linus Linus Neumann vom CCC kündigte an, zukünftig auf solche IT-Nachhilfe zu verzichten:

Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten.

Die (Selbst) Zerstörung der CDU

Nach der Zerstörung der CDU durch Rezo (YouTube) schießt sich die CDU mit dieser Aktion selbst in Bein. Juristisch mag die Partei aufgrund von § 202a StGB etwaig Recht bekommen. Gleichsam verwehrt sie sich damit zukünftig kostenloser Nachhilfe in IT-Sicherheit („responsible disclosure“) und bringt die Daten von Betroffene in Gefahr. Wer ohne (finanzielle) Kompensation auf einen Missstand hinweist und dazu noch verklagt wird, wird es sich zweimal überlegt, ob man seine gut gemeinte Hilfe kostenlos andient und darüber öffentlich berichtet. Eine Form von positivem Lobbyismus, dem man sich verweigert (apropos Lobbyismus: CDU-Tik-Tok-Affäre).

Der CCC spricht von „Shooting the Messenger“. Eine dysfunktionale Strategie, bei der nicht das Problem gelöst wird, sondern jene angegriffen werden, die darauf hinweisen. Dieses Verhalten sei auch mit der Digitalisierung und anderen politischen Problemfeldern zu beobachten. In der Folge reagiert der Chaos Computer Club e.V. (CCC) auf die einseitige Aufkündigung des Ladies-and-Gentlemen-Agreement der responsible disclosure seitens der CDU mit Konsequenzen.

Wie bei einer Kündigung und dem danach ausgestellten Arbeitszeugnis eines Arbeitgebers wünscht man der CDU viel Glück für die Zukunft, allen voran bei zukünftigen Schwachstellen.

Leider hat die CDU damit das implizite einseitig aufgekündigt. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten”, kündigte Neumann an. Der CCC bedauert ausdrücklich, dass damit das Risiko anonymer Full-Disclosure-Veröffentlichungen für die CDU und ihre freiwilligen Unterstützerinnen steigt. Die Verantwortung für zukünftige derartige Veröffentlichungen weisen wir vorsorglich von uns. (Quelle: Chaos Computer Club)

In der Zukunft wird der Spieß umgedreht: Anzeige der CDU wegen Datenschutz-Verstößen.

Update: Statement vom CDU-Bundesgeschäftsführer

Vor einigen Wochen haben wir Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App erstattet. […] Unsere Anzeige richtet sich NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann. RD-Verfahren sind ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen. Ich halte diese Verfahren für einen wichtigen Baustein, um IT-Sicherheit zu erhöhen. Allerdings kam es im Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns – außerhalb des RD. Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen. Mit @LilithWittmann habe ich besprochen, dass ich die Klarstellung und Entschuldigung hier auf Twitter veröffentliche.

Die CDU zeigt sich einsichtig und nimmt die Anzeige beim LKA zurück. DANKE Lillith Wittmann!


LG Mr. Datenschutz – die Adresse für Datenschutz und Freiheit

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.