Eine Softwareentwicklerin hatte in einer Wahlkampf-App der CDU sicherheitsrelevante Mängel gefunden und diese gemeldet. Dennoch erstattete die CDU Anzeige gegen die Frau. Ein Strafverfahren wurde eingeleitet. Erst nach einem Proteststurm im Internet gab die Partei klein bei und zog ihre Anzeige zurück.
Die 25-Jährige IT-Spezialistin Lilith Wittmann ist in der IT-Security-Szene kein unbeschriebenes Blatt. Erst vor Kurzem half sie dabei, das Programm “Visavid” sicherer zu machen. Visavid ist die Videosoftware, die in allen bayerischen Schulen Microsoft Teams ablösen soll. Und bereits im Mai entdeckte Wittmann in der Wahlkampf-App der CDU Sicherheitslücken. Diese meldete sie der CDU und informierte zudem den Berliner Datenschutzbeauftragten.
Responsible Disclosure Verfahren
Das gefiel der CDU überhaupt nicht. Die Partei erstattete Strafanzeige gegen Wittmann. Und das, obwohl die IT’lerin die Lücken der CDU selbst gemeldet hatte und erst an die Öffentlichkeit ging, nachdem die Fehler behoben waren (sog. “Responsible Disclosure”-Verfahren). Das Problem: Das Verfahren ist ein Gentleman-Agreement und nicht mit dem deutschen Strafrecht abgestimmt. Grundsätzlich gibt es für Whistleblower:innen in einem solchen Fall in Deutschland keine Rechtssicherheit. Wer ehrenamtlich IT-Lücken aufdeckt, kann von den Behörden bezichtigt werden, Daten auszuspähen (§ 202a StGB).
Die CDU-connect-App soll der Partei bei ihrem Haustürwahlkampf helfen. Sie speichert unter anderem, wo Wahlkampfhelfer:innen bereits geklingelt haben und ob geöffnet wurde. Wittmann konnte als Externe auf über 18.000 Datensätze zugreifen und unter anderem auch Gesprächsinhalte mit Wähler:innen einsehen. Die Lücke soll seit dem Bundestagswahlkampf 2017 bestanden haben. Statt der IT-Spezialistin für ihren Hinweis dankbar zu sein, fiel der Partei nichts besseres ein, als sie anzuzeigen. Und sich damit im Netz zu blamieren. Inzwischen stellten sich nicht nur viele Internetnutzer:innen – unter ihnen Politiker:innen und Jurist:innen – auf die Seite Wittmanns. Auch der Chaos Computer Club gab bekannt, keine Sicherheitslücken mehr an die CDU zu melden. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten.”
CDU noch nicht im 21. Jahrhundert angekommen
Erst nach dem Aufschrei im Internet erklärte der CDU-Bundesgeschäftsführer Stefan Hennewig auf Twitter, dass die CDU die Anzeige gegen Wittmann zurückgezogen habe. Angeblich habe man Wittmann versehentlich angezeigt. “Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen.” Wie man “ausversehen” eine Person anzeigen kann, erklärte der CDUler nicht. Mausgerutscht? Der Vorfall zeigt einmal mehr, dass das Internet und die voranschreitende Digitalisierung für die konservative Volkspartei “Neuland” ist. Die Politiker:innen der CDU scheinen größtenteils noch nicht im 21. Jahrhundert angekommen zu sein. Das merkt man nicht nur an ihrem Umgang mit Sicherheitslücken, sondern auch an ihrer Politik.
Wittmann selbst schreibt dazu: “Insgesamt ist es bedenklich, das eine App mit solchen eklatanten Sicherheitsmängeln über Jahre hinweg öffentlich verfügbar war, insbesondere im Kontext dessen, das [sic!] ein solcher Mangel den Entwickler*innen eigentlich bekannt sein müsste. Die CDU hat hier bewiesen, dass sie nicht nur in den Parlamenten, sondern auch mit ihren eigenen digitalen Produkten für Unsicherheit im Netz sorgt. Wieder einmal hat sie gezeigt, warum das Massenhafte, für die Gesellschaft völlig nutzlose Sammeln von Daten eine Gefahr für uns alle darstellt. Wenn eine Partei nicht fähig ist, ihre eigene Wahlkampf-App sicher und verantwortungsbewusst zu entwickeln, wie soll sie das dann mit der IT-Infrastruktur eines ganzen Landes hinbekommen?”
Fundstelle: https://lilithwittmann.medium.com/
Fundstelle: https://www.br.de/
