Wahlkampf-App-Fail: CDU zieht Anzeige gegen Sicherheitsexpertin offenbar zurück
Das war passiert
Persönliche Daten von knapp 20.000 Unterstützer:innen und Wahlkampfhelfer:innen sowie eine halbe Million Datensätze über die politische Einstellung der von Wahlkampfhelfern kontaktierten Personen waren aufgrund der von Wittmann entdeckten Schwachstelle in der CDU-App ungeschützt über das Netz zugänglich. Wittmann informierte die CDU, das Bundesamt für Sicherheit in der Informationstechnik und den Berliner Datenschutzbeauftragten über die Lücke.
Die CDU gelobte Besserung und schaltete die unsichere Datenbank hinter der App ab. Eine Kompensation für ihre freiwillige Mitwirkung am Schutz der Daten von fast 20.000 Betroffenen bot die Partei der Sicherheitsforscherin nicht an. Nachdem die Datenbank offline genommen worden war, veröffentlichte Wittmann Details über die Schwachstellen in einem Blogpost. Responsible Disclosure nennen IT-Experten die Praxis, mit einer Schwachstelle erst an die Öffentlichkeit zu gehen, wenn die Gefahr für die Betroffenen gebannt ist.
CDU stellt offenbar Strafanzeige
Schon während des Austauschs mit der Expertin hat die CDU Wittmann aber wohl rechtliche Folgen in Aussicht gestellt. Am Dienstag hat die Partei dann offenbar tatsächlich Strafanzeige gestellt:
Jetzt hat der Chaos Computer Club sich zu dem Vorfall geäußert. Um rechtliche Auseinandersetzungen zu vermeiden, werde der CCC künftig keine Sicherheitslücken mehr an die CDU melden. Die CDU habe damit die implizite Vereinbarung der Responsible Disclosure einseitig aufgekündigt, sagte der Sprecher des CCC, Linus Neumann. Man bedauere, dass damit das Risiko für anonyme sogenannte Full-Disclosure-Veröffentlichungen, also das möglichst frühzeitige Veröffentlichen einer Lücke ohne die Betroffenen vorher zu informieren, für die Partei zunehme. Jede Verantwortung für mögliche Vorkommnisse dieser Art weist das Update des CCC vorsorglich von sich.
Das sagt ein Jurist
Auf Twitter hat sich mittlerweile ein Jurist zu dem Fall geäußert. Whistleblower wie Wittmann würden häufig auf Basis von § 202a StGB (Ausspähen von Daten) eingeschüchtert, was oft auch gut funktioniere. Nicht jede Sicherheitslücke rechtfertige beliebigen Datenzugriff. Zudem seien die unter Sicherheitsexperten geltenden Spielregeln zur Responsible Disclosure nicht mit Strafnormen abgestimmt. Das mache es mühsam, Richtern zu erklären, wer die Guten und wer die Bösen seien. Auch Reverse Engineering sei nach § 69c UrhG nur innerhalb enger Grenzen erlaubt. Die gefühlte Gerechtigkeit könne in solchen Fällen erheblich von der Rechtslage abweichen:
Das ist sehr unhöflich von der CDU. Ich bin langjähriger Wähler dieser Partei und die Reaktion mit dem Strafantrag irritiert mich. Das ist aus meiner Sicht keine würdige und vertrauenserweckende Reaktion. Ich werde den Fall bis zur Bundestagswahl weiter beobachten.
Einmal mehr beweist die CDU ihre Feindseligkeit gegenüber offener Kommunikation und technischen Gegebenheiten. Traurig, dass sie immer noch an konservativen Werten festhalten und sich gegen das „Neuland“ wehren.
Das ist immer so. Wenn jemand etwas nicht versteht, wehrt man sich dagegen.
„Neuland“, Klimakrise, ….
Nachtrag: Schön, dass die CDU eingelenkt hat. Jeder macht mal Fehler und ich finde es gut, dass sie dazu stehen.