Dass sich Helfen nicht immer lohnt, zeigt ein jüngstes Beispiel, das in Zeiten des Wahlkampfs nun publik geworden ist. So hat die IT-Expertin Lilith Wittmann die Christlich Demokratische Union (CDU) auf eklatante Sicherheitslücken in der ihrer parteieigenen App namens „CDU Connect“ hingewiesen. Das Herausarbeiten der bedenklichen Schwachstellen drohte jedoch zu Beginn der Woche, schwere Konsequenzen für die Frau mit sich zu bringen. So sei zwischenzeitlich gar ein Ermittlungsverfahren gegen sie eingeleitet worden. Die Volkspartei mit dem Kanzlerkandidaten Armin Laschet hat mittlerweile aber wieder zurückgerudert.
Post vom Berliner LKA
Als Lilith Wittmann Anfang der Woche einen Blick in ihr E-Mail-Postfach geworfen hatte, schaute sie sicher nicht schlecht als dort ein digitaler Brief vom LKA Berlin zu finden war. Spezielle Ermittler für den Bereich der Cyberkriminalität wiesen die junge Softwareentwicklerin in ihrem Schreiben darauf hin, dass sie Beschuldigte in einem Ermittlungsverfahren sei. Dreh- und Angelpunkt sei dabei die spezielle App „CDU Connect“. Als Wittmann die E-Mail auf dem Kurznachrichtendienst Twitter veröffentlichte, ging ein großer Aufschrei durch die Netzgemeinde.
Insbesondere der Chaos Computer Club (kurz: CCC) zeigte sich mit der IT-Expertin solidarisch. Die Ermittlungen gegen die junge Frau wurden nicht auf Initiative des LKA eingeleitet. Stattdessen räumte die CDU selbst am Mittwoch, dem 04.08.21, ein, dass die Partei Anzeige erstattet habe. So veröffentliche der Bundesgeschäftsführer der CDU, Stefan Hennewig ebenfalls auf Twitter ein Statement zu der Causa Wittmann. Hier wollte er klarstellen, dass es sich ganz eindeutig um einen Fehler gehandelt habe, die Anzeige mit dem Namen Lilith Wittmann im Fokus zu erstatten.
Wittmann ist zu Recht erbost
Es verwundert wohl kaum, dass die IT-Expertin über den gesamten Vorgang sehr erbost ist. Wittmann äußerte sich gegenüber dem Nachrichtenportal SPIEGEL mit folgenden Worten:
„Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz.“
Sie sehe die Entschuldigung der Partei als absolut nichtssagend an und bezeichnet sie gar als „Non-Apology“. Für sie selbst sei auch dieses Verhalten abermals ein Beweis dafür wie fernab die CDU von der digitalen Welt sei. Doch das verwundere sie nach eigenen Angaben kaum. Schließlich bezeichnete sie der CDU-Kanzlerkandidat Armin Laschet bereits im Mai öffentlich als Hackerin. Damals wurde das Sicherheitsleck in der CDU-App bekannt.
Digitaler Haustürwahlkampf dank App
Corona hat das gesamte gesellschaftliche Leben aufgerüttelt. Hiervon ist auch der Wahlkampf für die diesjährige Bundestagswahl betroffen. Der klassische Haustürwahlkampf wie er für Traditionsparteien a la CDU unerlässlich ist, kann nur mit äußerst hohen Hürden durchgeführt werden. Dementsprechend rief die Volkspartei im Mai ihre App „CDU Connect“ ins Leben. Hiermit wollte die Partei potentielle Wahlkämpfer rekrutieren und erfassen. Außerdem sollten erfolgreiche Haustürbesuche erfasst werden können. Die Grundidee ist durchaus nachvollziehbar, die Umsetzung sei aber äußerst bedenklich gewesen.
Und hier sind wir auch schon bei der Ursache für die Probleme, die Wittmann mit dem Berliner LKA bekommen hat. Schließlich berichtete die IT-Expertin im Mai im Rahmen eines Blog-Eintrags über eine eklatante Sicherheitslücke, die sie in der CDU-Connect-App gefunden habe. Insbesondere gefährdete diese Lücke empfindliche Personendaten der registrierten Wahlkampfhelfer. An der Zahl waren 18.500 Personen betroffen. Doch nicht nur das. Auch die Daten von über 3.000 Unterstützern der Partei, welche bereits von den Helfern registriert wurden, waren gefährdet. Personen mit krimineller Energie hätten mit diesen Personendaten schreckliche Dinge anrichten können.
Wittmann muss sich nichts vorwerfen
Deutschlands wohl bekannteste Experten für Datensicherheit und IT, der Chaos Computer Club, möchte seinerseits Konsequenzen aus dem fragwürdigen Verhalten der CDU ziehen. Dies verwundert angesichts des durch und durch korrekten Verhaltens von Lilith Wittmann wohl kaum niemanden. Schließlich wies die IT-Expertin nach Entdeckung der App-Schwachstelle neben der zuständigen Datenschutzbehörde Berlins und dem Cert-Bund auch die CDU selbst auf ihre umfangreichen Bedenken im Bezug auf die Datensicherheit hin. Erst im Anschluss daran wurde das Problem auf Twitter ihrerseits veröffentlicht.
In IT-Kreisen spricht man hier von einer sogenannten „Responsible Disclosure“ (deutsch: verantwortungsvolle Offenlegung). Ethisch korrekte IT-Experten halten sich an genau diese Reihenfolge, um mögliche kriminelle Hacker davon abzuhalten schnell zu reagieren. Dementsprechend stellte Hennewig von der CDU bei seinem Twitter-Statement auch klar, dass Wittmann selbst nichts mit der Anzeige seitens der CDU zu tun habe. Es handle sich vielmehr um eine strafrechtliche Ermittlung gegen andere Personen, die diese Datenlücke ausnutzten und empfindliche Daten aus der App veröffentlichten.
CCC versagt der CDU zukünftige Hilfe
Die CDU hat sich mit ihrem Vorgehen möglicherweise selbst geschadet. Schließlich hat der bekannte CCC in einem Statement vom Mittwoch die CDU für ihr Vorgehen in der Angelegenheit attackiert und Konsequenzen angekündigt.
„Leider hat die CDU damit das implizite Ladies-and-Gentlemen-Agreement der Responsible Disclosure einseitig aufgekündigt.“
Das bedeutet, dass der Chaos Computer Club die Partei in Zukunft auf keine entsprechenden Datenlecks mehr hinweisen werde. Angesichts des fragwürdigen Verhaltens der CDU ist dies durchaus verständlich. Da die Arbeit des CCC in Sachen Datenschutz und Vorbeugen von Cyberkriminalität bundesweit anerkannt ist, zeigt sich die Volkspartei entsprechend reumütig. So ließ der auf Digitalpolitik spezialisierte CDU-Politiker Thomas Jarzombek verlautbaren, dass er den CCC respektiere und hoch ansehe. Auf Twitter schrieb er
„Responsible Disclosure sei unerlässlich für die Hygiene unserer IT-Infrastruktur und Hilfe für die Betroffenen.“