Die deutsche Kanzlerpartei CDU hat eine IT-Sicherheitsforscherin des Chaos Computer Club (CCC) angezeigt, nachdem diese die Partei auf ein Datenleck in einer Wahlkampf-App hingewiesen hat. Beim CCC ist man bestürzt über die Klage und will die CDU künftig nicht mehr auf Sicherheitsprobleme hinweisen, sollten welche entdeckt werden. Erst nach dem Aufschrei folgte eine Entschuldigung und die Anzeige wurde zurückgezogen.
Es gibt gute und weniger gute Hacker: Sogenannte White-Hat-Hacker decken Sicherheitslücken auf, damit der Betroffene sie schließen kann. Black-Hat-Hacker schlagen dagegen Kapital aus solchen Funden und missbrauchen sie für kriminelle Machenschaften.
Lilith Wittmann vom Chaos Computer Club zählt zur ersten Kategorie: Die IT-Sicherheitsforscherin jagt im Netz nach Schwachstellen und teilt diese den betroffenen Institutionen mit, damit diese nachbessern können.
Datenleck in Wahlkampf-App entdeckt
So auch bei der deutschen Kanzlerpartei: Diese hat mit der Handy-App CDU Connect eine Anwendung entwickelt, mit der sich CDU-Wahlkämpfer beim Haustür-Wahlkampf koordinieren. Mit der App sammelt man unter anderem Daten über besuchte Personen.
Wittmann entdeckte mehrere Sicherheitslücken: Sie konnte persönliche Daten von mehr als 18.000 Wahlkampfhelfern zugreifen und auch Informationen zu den besuchten CDU-Unterstützern zugreifen - inklusive heikler persönlicher Infos wie der politischen Einstellung.
Der CCC betont, dass Wittmann die Lücken „verantwortungsbewusst den verantwortlichen Stellen der CDU, dem Bundesamt für Sicherheit in der IT und dem Berliner Datenschutzbeauftragten“ gemeldet habe. Die CDU deaktivierte die löchrige Datenbank und kündigte an, nachzubessern. Dann folgte etwas, womit die White-Hat-Sicherheitsforscherin nicht gerechnet hatte: Die CDU erstattete Strafanzeige.
Die Meldung der Schwachstelle ist eine kostenlose Nachhilfe in IT-Sicherheit und dient dem Schutz der fast 20.000 betroffenen Personen.
Stellungnahme des CCC
Beim CCC war man einigermaßen erstaunt und erklärt: „Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell: Die Meldung der Schwachstelle ist eine kostenlose Nachhilfe in IT-Sicherheit und dient dem Schutz der fast 20.000 betroffenen Personen.“ Doch die Partei beharrte zunächst auf dem Strafverfahren gegen die Sicherheitsforscherin, das Landeskriminalamt hat Kontakt zu Wittmann aufgenommen.
Beim CCC will man die notwendigen Konsequenzen ziehen. Künftig werde man, wenn man eine Sicherheitslücke in einem IT-Angebot der Kanzlerpartei endecke, diese nicht mehr darauf hinweisen. „Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten“, sagt CCC-Sprecher Linus Neumann.
Erst nach den scharfen Worten des Chaos Computer Club ruderte die CDU zurück: Die Anzeige wurde fallen gelassen, Bundesgeschäftsführer Stefan Hennewig bat Wittman auf Twitter um Entschuldigung. Dass ihr Name in der Anzeige stand, sei ein Fehler gewesen.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.