Update: Die CDU hat die Strafanzeige zurückgezogen. Auf Twitter bat CDU-Bundesgeschäftsführer Stefan Hennewig die Software-Entwicklerin um Entschuldigung. “Die Nennung ihres Namens in der Anzeige war ein Fehler”, heißt es in dem besagten Tweet. Die Strafanzeige beziehe sich nicht auf die Entdeckung der Sicherheitslücke, sondern auf die Veröffentlichung persönlicher Daten, mit der Lilith Wittmann jedoch nichts zu tun habe. Oder anders gesagt: Man habe aus Versehen die falsche Person angezeigt. Die Anwaltskosten muss die Software-Entwicklerin dennoch tragen. “Nur weil die #CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt”, äußerte sie sich auf Twitter.

Eine Softwareentwicklerin des Chaos Computer Clubs (CCC) machte die CDU auf eine gravierende Sicherheitslücke in ihrer “connect-App” aufmerksam. Anstelle einer Danksagung flatterte ihr nun allerdings ein Strafantrag ins Haus. Der CCC zeigt sich wenig begeistert von der Reaktion und zieht Konsequenzen.



Worum geht es?

Bereits im Mai hatte die Softwareentwicklerin Lilith Wittmann die CDU-connect-App unter die Lupe genommen und eine nicht unerhebliche Sicherheitslücke ausfindig machen können. Sie entdeckte, dass persönliche Daten von rund 18.500 Wahlkampfhelferinnen und Wahlkampfhelfern frei im Netz zugänglich waren. Unter anderem betraf es die E-Mail-Adressen und Fotos der Personen.

Wittmann meldete diese Sicherheitslücke der CDU, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie den Berlinern Datenschutzbeauftragten. Die CDU reagierte schnell und schaltete die besagte Datenbank ab. “Der CDU Deutschlands tut der Vorfall sehr leid und wir bitten für die entstandenen Unannehmlichkeiten um Entschuldigung”, äußerte man sich gegenüber dem Nachrichtenportal Spiegel Online.

Strafverfahren eingeleitet

Die Sache schien erledigt zu sein. Doch nun, etwa drei Monate nach der Entdeckung der Sicherheitslücke, wurde die Softwareentwicklerin vom Cyber-Landeskriminalamt Berlin kontaktiert. Sie sei als Beschuldigte in einem Ermittlungsverfahren geführt und ein Strafverfahren wurde eingeleitet, heißt es in der Mitteilung, die Wittmann schließlich auf Twitter publik machte.



Von wem das Verfahren eingeleitet wurde, geht aus der kurzen Nachricht nicht hervor. Die Vermutung liegt jedoch nahe, dass die CDU selbst dahinter stecken könnte. Dem CCC zufolge habe die Unionspartei bereits im Mai rechtliche Schritte in Aussicht gestellt. Für die Sicherheitsforscher nicht nachvollziehbar.“Die Meldung der Schwachstelle ist eine kostenlose Nachhilfe in IT-Sicherheit und dient dem Schutz der fast 20.000 betroffenen Personen”, äußert sich der CCC in einer Stellungnahme.

“Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten”, erklärt CCC-Sprecher Linus Neumann. Man wünsche der CDU viel Glück bei zukünftigen Schwachstellen.

Quelle: CCC

5 8 votes
Article Rating