CDU-connect-App: Entdeckung einer Sicherheitslücke wird mit Strafverfahren belohnt [Update]

Update: Die CDU hat die Strafanzeige zurückgezogen. Auf Twitter bat CDU-Bundesgeschäftsführer Stefan Hennewig die Software-Entwicklerin um Entschuldigung. „Die Nennung ihres Namens in der Anzeige war ein Fehler“, heißt es in dem besagten Tweet. Die Strafanzeige beziehe sich nicht auf die Entdeckung der Sicherheitslücke, sondern auf die Veröffentlichung persönlicher Daten, mit der Lilith Wittmann jedoch nichts zu tun habe. Oder anders gesagt: Man habe aus Versehen die falsche Person angezeigt. Die Anwaltskosten muss die Software-Entwicklerin dennoch tragen. „Nur weil die #CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt“, äußerte sie sich auf Twitter.

Eine Softwareentwicklerin des Chaos Computer Clubs (CCC) machte die CDU auf eine gravierende Sicherheitslücke in ihrer „connect-App“ aufmerksam. Anstelle einer Danksagung flatterte ihr nun allerdings ein Strafantrag ins Haus. Der CCC zeigt sich wenig begeistert von der Reaktion und zieht Konsequenzen.



Worum geht es?

Bereits im Mai hatte die Softwareentwicklerin Lilith Wittmann die CDU-connect-App unter die Lupe genommen und eine nicht unerhebliche Sicherheitslücke ausfindig machen können. Sie entdeckte, dass persönliche Daten von rund 18.500 Wahlkampfhelferinnen und Wahlkampfhelfern frei im Netz zugänglich waren. Unter anderem betraf es die E-Mail-Adressen und Fotos der Personen.

Wittmann meldete diese Sicherheitslücke der CDU, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie den Berlinern Datenschutzbeauftragten. Die CDU reagierte schnell und schaltete die besagte Datenbank ab. „Der CDU Deutschlands tut der Vorfall sehr leid und wir bitten für die entstandenen Unannehmlichkeiten um Entschuldigung“, äußerte man sich gegenüber dem Nachrichtenportal Spiegel Online.

Strafverfahren eingeleitet

Die Sache schien erledigt zu sein. Doch nun, etwa drei Monate nach der Entdeckung der Sicherheitslücke, wurde die Softwareentwicklerin vom Cyber-Landeskriminalamt Berlin kontaktiert. Sie sei als Beschuldigte in einem Ermittlungsverfahren geführt und ein Strafverfahren wurde eingeleitet, heißt es in der Mitteilung, die Wittmann schließlich auf Twitter publik machte.



Von wem das Verfahren eingeleitet wurde, geht aus der kurzen Nachricht nicht hervor. Die Vermutung liegt jedoch nahe, dass die CDU selbst dahinter stecken könnte. Dem CCC zufolge habe die Unionspartei bereits im Mai rechtliche Schritte in Aussicht gestellt. Für die Sicherheitsforscher nicht nachvollziehbar.„Die Meldung der Schwachstelle ist eine kostenlose Nachhilfe in IT-Sicherheit und dient dem Schutz der fast 20.000 betroffenen Personen“, äußert sich der CCC in einer Stellungnahme.

“Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten”, erklärt CCC-Sprecher Linus Neumann. Man wünsche der CDU viel Glück bei zukünftigen Schwachstellen.

Quelle: CCC

5 8 votes
Article Rating
guest
4 Comments
neuste
älteste beste Bewertung
Inline Feedbacks
View all comments
Mario
Mario
2 Monate her

Das sind schon Knalltüten, den Schabernack kann sich doch nur der Amthor ausgedacht haben, der alte Zer5tör3r 😉

Hypnos
Hypnos
2 Monate her

Ist halt Neuland…

drr
drr
2 Monate her

Einfach nur dämlich eine Sicherheitslücke nicht vollständig anonym zu melden.

Nik
Nik
2 Monate her
Reply to  drr

ehr die CDU die hier einen Fehler macht. Die sollten froh sein das es gemeldet wird und nicht die Leute Verklagen die damit verhindern wollen, das die Daten Missbraucht werden. Aber naja inzwischen ist man von denen ja nichts anderes mehr gewohnt. Ich hoffe es tut später richtig weh wenn doch mal was passiert und niemand eine solche lücke meldet, obwohl man diese schon lange vorher gefunden hat.

Last edited 2 Monate her by Nik