Berlin Nachdem eine Hackerin des Chaos Computer Clubs eine große Schwachstelle in einer CDU-App entdeckt hatte, wird nun gegen sie ermittelt.

Eigentlich wollte sie nur auf eine Schwachstelle in der CDU-Wahlkampf-App hinweisen. Nun ist gegen die verantwortliche Hackerin des Chaos Computer Clubs eine Strafanzeige gestellt worden. Aus der wurden zuvor rechtliche Schritte angekündigt.

Im Mai dieses Jahres hatte die IT-Sicherheitsforscherin Lilith Wittmann die App „CDUconnect“ untersucht – und fand auf Anhieb gravierende Sicherheitslücken. Wittmann, die als Hackerin für den Chaos Computer Club (CCC) tätig ist, meldete diesen Fehler an die Partei. Die CDU entschuldigte sich zwar zuerst und nahm die App sogar offline.

Chaos Computer Club: Sicherheitslücke bei "CDUconnect"

Offenbar war die Sache damit aber nicht vom Tisch: Wie Wittmann auf ihrem privaten Twitter-Profil mitteilte, hat das Cyber-Landeskriminalamt Berlin ein Strafverfahren gegen sie eingeleitet. Dieses betreffe die „CDU Connect Applikation“ heißt es in einer E-Mail des LKA, die Wittmann an ihren Tweet anhängte.

Mit der App koordiniert die CDU ihren Haustür-Wahlkampf, bei der letzten Bundestagswahl 2017 kam sie bereits zum Einsatz. Über die Handy-Software werden Besuche dokumentiert und Informationen dazu gespeichert.

Bei ihrem Hack fiel Wittmann auf, dass über die App persönliche Daten wie E-Mail-Adressen und Bilder von über 18.500 Wahlkämpferinnen und Wahlkämpfern frei im Internet zugänglich waren. Auch waren von der Sicherheitslücke die persönlichen Informationen von 1350 Unterstützerinnen und Unterstützern der CDU betroffen. Dabei handelte es sich um Interessen, Adressen und Geburtstage. Betroffen waren auch die Wahlkampf-Apps der CSU und der österreichischen Volkspartei (ÖVP).

"CDUconnect"-App: CCC-Hackerin meldete Problem an Partei und offizielle Stellen

Laut CCC meldete Lilith Wittmann die Schwachstellen der App an die CDU, aber auch an das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Berliner Datenschutzbeauftragten. In einer Mitteilung des CCC vom Mittwochmorgen hieß es: „Die unsichere Datenbank wurde kurz danach abgeschaltet und die CDU gelobte Besserung.“

Auf Nachfrage bestätigte die Partei damals auch die Sicherheitslücke, sprach aber von Daten von 17.000 registrierten Wahlkampfhelfern sowie den Adressdaten von rund 1300 Bürgerinnen und Bürgern. Genüber dem "Spiegel" erklärte die CDU im Mai, man sei dabei, alle potenziell betroffenen Nutzerinnen und Nutzer zu informieren. Nach einem Update sind die Apps wieder im Apple- und Google-Store verfügbar.

Die CDU profitierte also von der Meldung der Schwachstelle durch Wittman. Trotzdem seien schon „im Austausch mit der Sicherheitsforscherin“ von der Partei „rechtliche Schritte in Aussicht“ gestellt worden. Darüber, dass das juristische Nachspiel nun tatsächlich stattfindet, zeigte sich der CCC empört.

Chaos Computer Club will keine Sicherheitslücken mehr an CDU melden

Der Verein, der eine wichtige Nichtregierungsorganisation in allen Fragen der IT-Sicherheit ist, zieht harte Konsequenzen. Der CCC wird künftig keine Sicherheitslücken mehr an die CDU melden. Das geht aus der Mitteilung des Vereins zu der Causa von Mittwochmorgen hervor.

„Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten“, sagte der Sprecher des Vereins, Linus Neumann.

CCC wünscht CDU "viel Glück" bei künftigen Sicherheitsproblemen

Bisher hatte der CCC im Verfahren der sogenannten „Responsible Disclosure“ Informationen zu gefundenen Sicherheitslücken an die Partei weitergegeben. Bei einer solchen impliziten Vereinbarung könnten Cyber-Schwachstellen gemeldet werden, ohne dass die Entdeckerinnen und Entdecker rechtliche Konsequenzen befürchten müssen. Da die CDU sich aber einseitig nicht mehr an diese Vereinbarung halte, werde sich auch der CCC nicht mehr beteiligen. Der Verein wünsche der Partei „viel Glück bei zukünftigen Schwachstellen“.

Was genau Lilith Wittmann vorgeworfen wird, ist bisher unklar. Ebenso, von wem die Strafanzeige ausgeht. Es ist daher auch nicht erwiesen, dass der Antrag von Seiten der CDU gestellt wurde. Laut der Seite "netzpolitik.org" teilte aber die externe Agentur PXN, die für die App verantwortlich ist, bereits mit, keine rechtlichen Schritte eingeleitet zu haben.