Update: Die CDU hat die Strafanzeige zurückgezogen. Auf Twitter bat CDU-Bundesgeschäftsführer Stefan Hennewig die Software-Entwicklerin um Entschuldigung. “Die Nennung ihres Namens in der Anzeige war ein Fehler”, heißt es in dem besagten Tweet. Die Strafanzeige beziehe sich nicht auf die Entdeckung der Sicherheitslücke, sondern auf die Veröffentlichung persönlicher Daten, mit der Lilith Wittmann jedoch nichts zu tun habe. Oder anders gesagt: Man habe aus Versehen die falsche Person angezeigt. Die Anwaltskosten muss die Software-Entwicklerin dennoch tragen. “Nur weil die #CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt”, äußerte sie sich auf Twitter.
Eine Softwareentwicklerin des Chaos Computer Clubs (CCC) machte die CDU auf eine gravierende Sicherheitslücke in ihrer “connect-App” aufmerksam. Anstelle einer Danksagung flatterte ihr nun allerdings ein Strafantrag ins Haus. Der CCC zeigt sich wenig begeistert von der Reaktion und zieht Konsequenzen.
Worum geht es?
Bereits im Mai hatte die Softwareentwicklerin Lilith Wittmann die CDU-connect-App unter die Lupe genommen und eine nicht unerhebliche Sicherheitslücke ausfindig machen können. Sie entdeckte, dass persönliche Daten von rund 18.500 Wahlkampfhelferinnen und Wahlkampfhelfern frei im Netz zugänglich waren. Unter anderem betraf es die E-Mail-Adressen und Fotos der Personen.
Wittmann meldete diese Sicherheitslücke der CDU, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie den Berlinern Datenschutzbeauftragten. Die CDU reagierte schnell und schaltete die besagte Datenbank ab. “Der CDU Deutschlands tut der Vorfall sehr leid und wir bitten für die entstandenen Unannehmlichkeiten um Entschuldigung”, äußerte man sich gegenüber dem Nachrichtenportal Spiegel Online.
Strafverfahren eingeleitet
Die Sache schien erledigt zu sein. Doch nun, etwa drei Monate nach der Entdeckung der Sicherheitslücke, wurde die Softwareentwicklerin vom Cyber-Landeskriminalamt Berlin kontaktiert. Sie sei als Beschuldigte in einem Ermittlungsverfahren geführt und ein Strafverfahren wurde eingeleitet, heißt es in der Mitteilung, die Wittmann schließlich auf Twitter publik machte.
Hey #Jurabubbel jemand zufällig Zeit für ein bisschen #cyber #Strafrecht? #cduconnect #dawareineHackerindrin
— Lilith Wittmann (@LilithWittmann) August 3, 2021
Und ja die #CDU hat genau so viel Ehre wie erwartet. pic.twitter.com/D3SZOFmHCr
Von wem das Verfahren eingeleitet wurde, geht aus der kurzen Nachricht nicht hervor. Die Vermutung liegt jedoch nahe, dass die CDU selbst dahinter stecken könnte. Dem CCC zufolge habe die Unionspartei bereits im Mai rechtliche Schritte in Aussicht gestellt. Für die Sicherheitsforscher nicht nachvollziehbar.“Die Meldung der Schwachstelle ist eine kostenlose Nachhilfe in IT-Sicherheit und dient dem Schutz der fast 20.000 betroffenen Personen”, äußert sich der CCC in einer Stellungnahme.
“Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten”, erklärt CCC-Sprecher Linus Neumann. Man wünsche der CDU viel Glück bei zukünftigen Schwachstellen.
Quelle: CCC
Das sind schon Knalltüten, den Schabernack kann sich doch nur der Amthor ausgedacht haben, der alte Zer5tör3r 😉
Ist halt Neuland…
Einfach nur dämlich eine Sicherheitslücke nicht vollständig anonym zu melden.
ehr die CDU die hier einen Fehler macht. Die sollten froh sein das es gemeldet wird und nicht die Leute Verklagen die damit verhindern wollen, das die Daten Missbraucht werden. Aber naja inzwischen ist man von denen ja nichts anderes mehr gewohnt. Ich hoffe es tut später richtig weh wenn doch mal was passiert und niemand eine solche lücke meldet, obwohl man diese schon lange vorher gefunden hat.