Von Wahlkampf-Apps und Hackern: Wie Armin Laschet mit Unwissenheit glänzt
Die CDU betreibt seit dem Bundestagswahlkampf 2017 eine App namens CDU-Connect. Sie unterstützt Wahlkampfhelfer der Partei, indem sie Daten zu Haustürgesprächen, potenziellen Unterstützenden und Kritikern erfasst und auswertet. Dazu gehören etwa Alter und Geschlecht der Gesprächspartner, die Zeit und der Ort des Gesprächs, die Einstellung zur CDU und worüber allgemein gesprochen wurde. Die Entwicklerin Lilith Wittmann hat die App vergangene Woche überprüft und festgestellt, dass die App entgegen der Aussage des Connect-Teams nicht nur personenbezogene Daten sammelt, sondern diese Datensätze aufgrund einer Sicherheitslücke auch noch öffentlich zugänglich waren.
In der Konsequenz wurde die App vorübergehend offline genommen, die CDU hat ein Statement veröffentlicht und sich entschuldigt.
Nur Armin Laschet hat das alles offenbar nicht mitgeschnitten. Im Prosieben-Interview mit Linda Zervakis am Montag auf die App angesprochen, behauptet er, ein Hacker habe Probleme verursacht, die App sei mittlerweile wieder online.
Wie bitte? Erst geht die CDU mit einem Angebot an den Start, das inhaltlich und technisch ein Desaster ist, kommt damit seit 2017 ungeschoren durch, dann weisen Menschen, die sich damit auskennen, auf die eklatanten Mängel hin. Aber anstatt das anzuerkennen und Danke zu sagen, fällt dem Kanzlerkandidaten der CDU nichts anderes ein, als das Versagen des eigenen Entwicklerteams vor Millionenpublikum im Fernsehen auf einen Hacker zu schieben: „Da gab’s ein Problem. Ein Hacker.“ Aha.
Gängige Security-Praktiken nicht befolgt
Fakt ist: „Der Hacker“ – Lilith Wittmann – hat aufgezeigt, dass das Entwicklerteam um die App gängige Security-Praktiken nicht befolgt hat. Sie war nicht das Problem, sondern hat der CDU – und allen Menschen, deren Daten über die Connect-App gesammelt wurden – einen Gefallen getan. Große IT-Konzerne belohnen das Finden von Software-Sicherheitslücken oft monetär – eine Bug-Bounty wird eine solche Belohnung auch genannt. Falls noch nicht geschehen, könnte die CDU die im Nachgang ja noch ausloben. Übrigens: „Hackerin“ nach Laschets Verständnis wäre vielleicht ein angemessener Begriff, hätte die Entwicklerin die Lücke aus niederen Motiven ausgenutzt, anstatt die CDU darüber zu informieren.
„Wenn eine Partei nicht fähig ist, ihre eigene Wahlkampf-App sicher und verantwortungsbewusst zu entwickeln, wie soll sie das dann mit der IT-Infrastruktur eines ganzen Landes hinbekommen?“, fragt Wittmann zum Abschluss ihres Blogposts. Nach dem Auftritt Laschets bei Prosieben stellt sich zudem die Frage, ob der Vorsitzende und Kanzlerkandidat dieser Partei entweder gar nicht mitbekommen hat, was eigentlich los war, oder absichtlich lügt. Und weil die Moderatorin Linda Zervakis am Montag einfach gar nichts weiter dazu sagte, bleibt die Abwägung, was schlimmer wäre, auch leider einfach so im Raum stehen.
Bug-Bounty oder Hacking… gehüpft gesprungen…
Geld sollte es für sowas nicht geben. Ein Dankeschön wäre jedoch angebracht.
Wieso sollte es dafür kein Geld geben? Auf Sicherheitslücken hinzuweisen führt zur verbesserter Cybersicherheit und schützt damit unsere Daten! Man braucht eben Hacker, um sich gegen Hacker schützen zu können.
Es spricht nichts dagegen Cybersecurity als Service anzubieten. Wenn ich allerdings erst „arbeite“ und dann im Nachhinein Geld dafür möchte, muss ich damit rechnen, dass die Lücke kurzerhand geschlossen wird und ich nichts dafür bekomme.
Und nein es braucht keine Hacker, um sich gegen Hacker zu schützen. Jeder 10-jährige kann CSS-Attacken ausführen. Alles was es braucht ist ein bisschen mehr Zeit in der Entwicklung und im Testing. Jedoch kommt es auf Grund der Profitorientiertheit der Unternehmen leider nur selten dazu. Sorry aber zu behaupten man würde Hacker brauchen ist in etwa so wie zu sagen man würde Mücken brauchen.
Das ist jedenfalls meine persönliche Meinung. Es steht jedem frei anders darüber zu denken.
Hacken vs Cracken?
Da hat Laschet die Wahrheit fast besser getroffen als t3n.