Security

IT-Sicherheitslücke

CDU Deutschland entschuldigt sich bei Sicherheitsforscherin

05.08.2021
Die CDU Deutschland hat sich bei einer Sicherheitsforscherin aus dem Umfeld des Chaos Computer Clubs (CCC) entschuldigt, die wegen einer Strafanzeige der Partei ins Visier der Strafverfolgungsbehörden geraten war.
In der App "CDUconnect", die die Partei für den Wahlkampf verwendet, waren persönliche Daten für jeden einsehbar.
In der App "CDUconnect", die die Partei für den Wahlkampf verwendet, waren persönliche Daten für jeden einsehbar.
Foto: Electric Egg - shutterstock.com

Die Software-Entwicklerin Lilith Wittmann hatte im Mai 2021 in einer App der CDU für den Haustürwahlkampf eklatante Sicherheitslücken gefunden und diese der CDU, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Berliner Datenschutzbehörde gemeldet. Am Dienstag, den 4. August 2021, berichtete Wittmann auf Twitter, dass sie vom Landeskriminalamt kontaktiert worden sei, wie sie in diesem Fall als "Beschuldigte geführt" werde.

CDU-Bundesgeschäftsführer Stefan Hennewig erklärte nun auf Twitter, die Partei habe vor einigen Wochen Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App erstattet. "Unsere Anzeige richtet sich NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann." Bei diesem Verfahren melden Entwicklerinnen und Entwickler die Schwachstelle den Firmen oder Institutionen und berichten öffentlich erst dann darüber, wenn die Gefahr für die Betroffenen gebannt ist. Diese Verfahren seien ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen, und ein wichtiger Baustein, um IT-Sicherheit zu erhöhen, betonte der CDU-Politiker.

Im Zusammenhang mit der Sicherheitslücke der App sei es aber angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte gekommen, erklärte Hennewig weiter. "Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen."

Zuvor hatte der CCC angekündigt, Wissen über Sicherheitslücken künftig nicht mehr mit der CDU zu teilen. "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", kündigte Club-Sprecher Linus Neumann an.

Wittmann hatte im Mai herausgefunden, dass in der App "CDUconnect", die im Haustür-Wahlkampf verwendet wird, vertrauliche Daten frei abrufbar waren. Neben den Personaldaten von Wahlkampfhelfern und CDU-Unterstützer waren auch Aussagen der besuchten Bürgerinnen und Bürger in Kombination mit der Altersgruppe frei einsehbar. Die CDU hatte nach dem Hinweis von Wittmann offline gestellt und die Sicherheitslücke geschlossen. (dpa/rw)

Zur Startseite