Im Mai 2021 hat IT-Sicherheitsexpertin Lilith Wittmann eine Schwachstelle in der Wahlkampf-App der CDU entdeckt, gemeldet und im Anschluss gemäß sogenannter Responsible-Disclosure-Regeln Details dazu in einem Blogpost veröffentlicht. Am Dienstag hat die CDU deshalb Strafanzeige gegen die Expertin gestellt. Jetzt hat die CDU die Anzeige offenbar zurückgezogen. Auf Twitter schreibt Stefan Hennewig, Bundesgeschäftsführer der CDU, die Anzeige gegen Wittmann sei ein Fehler gewesen. Im Zusammenhang mit der Schwachstelle sei es zur Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Lücke, bevor die Information an die CDU gegangen sei, gekommen. Man habe sich entschuldigt, Wittmann habe mit beidem nichts zu tun.

Persönliche Daten von knapp 20.000 Unterstützer:innen und Wahlkampfhelfer:innen sowie eine halbe Million Datensätze über die politische Einstellung der von Wahlkampfhelfern kontaktierten Personen waren aufgrund der von Wittmann entdeckten Schwachstelle in der CDU-App ungeschützt über das Netz zugänglich. Wittmann informierte die CDU, das Bundesamt für Sicherheit in der Informationstechnik und den Berliner Datenschutzbeauftragten über die Lücke.

Die CDU gelobte Besserung und schaltete die unsichere Datenbank hinter der App ab. Eine Kompensation für ihre freiwillige Mitwirkung am Schutz der Daten von fast 20.000 Betroffenen bot die Partei der Sicherheitsforscherin nicht an. Nachdem die Datenbank offline genommen worden war, veröffentlichte Wittmann Details über die Schwachstellen in einem Blogpost. Responsible Disclosure nennen IT-Experten die Praxis, mit einer Schwachstelle erst an die Öffentlichkeit zu gehen, wenn die Gefahr für die Betroffenen gebannt ist.

Schon während des Austauschs mit der Expertin hat die CDU Wittmann aber wohl rechtliche Folgen in Aussicht gestellt. Am Dienstag hat die Partei dann offenbar tatsächlich Strafanzeige gestellt:

Jetzt hat der Chaos Computer Club sich zu dem Vorfall geäußert. Um rechtliche Auseinandersetzungen zu vermeiden, werde der CCC künftig keine Sicherheitslücken mehr an die CDU melden. Die CDU habe damit die implizite Vereinbarung der Responsible Disclosure einseitig aufgekündigt, sagte der Sprecher des CCC, Linus Neumann. Man bedauere, dass damit das Risiko für anonyme sogenannte Full-Disclosure-Veröffentlichungen, also das möglichst frühzeitige Veröffentlichen einer Lücke ohne die Betroffenen vorher zu informieren, für die Partei zunehme. Jede Verantwortung für mögliche Vorkommnisse dieser Art weist das Update des CCC vorsorglich von sich.

Auf Twitter hat sich mittlerweile ein Jurist zu dem Fall geäußert. Whistleblower wie Wittmann würden häufig auf Basis von § 202a StGB (Ausspähen von Daten) eingeschüchtert, was oft auch gut funktioniere. Nicht jede Sicherheitslücke rechtfertige beliebigen Datenzugriff. Zudem seien die unter Sicherheitsexperten geltenden Spielregeln zur Responsible Disclosure nicht mit Strafnormen abgestimmt. Das mache es mühsam, Richtern zu erklären, wer die Guten und wer die Bösen seien. Auch Reverse Engineering sei nach § 69c UrhG nur innerhalb enger Grenzen erlaubt. Die gefühlte Gerechtigkeit könne in solchen Fällen erheblich von der Rechtslage abweichen: