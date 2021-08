Lilith Wittmann findet eine Sicherheitslücke in der Wahlkampf-App der CDU. Der Bundesgeschäftsführer bietet ihr einen Beratungsvertrag an. Die IT-Expertin lehnt ab - drei Monate später ermittelt das LKA.

Von Simon Hurtz, Berlin

Es hätte eine harmlose Posse bleiben können: Eine IT-Expertin findet eine Sicherheitslücke in einer Wahlkampf-App der CDU, die Partei nimmt die App schnell offline, behebt die Schwachstelle und entschuldigt sich. Alle schmunzeln über die Union, die sich als Partei der Digitalisierung inszeniert, aber nicht in der Lage ist, die Daten der eigenen Wahlkampfhelfer richtig zu schützen. Deutschland, digitales Entwicklungsland, kennt man ja.

Es ist keine harmlose Posse geblieben. Wegen der Sicherheitslücke ermittelt das Berliner Landeskriminalamt - aber nicht etwa gegen die CDU, sondern gegen Lilith Wittmann, die im Mai auf das Problem aufmerksam gemacht hatte. "Damals hat mich Bundesgeschäftsführer Stefan Hennewig angerufen und mir einen Beratungsvertrag angeboten", sagt Wittmann. Nachdem sie deutlich gemacht habe, dass sie nicht beabsichtige, für die CDU zu arbeiten, habe Hennewig mit einem Strafverfahren gedroht.

Die App, um die es geht, heißt "CDU Connect" und wurde von der Agentur PXN GmbH für den Bundestagswahlkampf 2017 entwickelt. Auch CSU und die ÖVP in Österreich setzen Apps ein, die auf demselben Software-Gerüst beruhen. Wer für eine der Parteien an Haustüren klingelt und um Stimmen wirbt, kann damit detailliert Daten erfassen: Wer hat wann in welcher Straße geöffnet? Wie alt war die Person und was hält sie von der CDU? Für jeden Eintrag erhalten die Wahlkampfhelfer Punkte und klettern in einer internen Bestenliste. Im Frühjahr 2021 waren persönliche Daten und Fotos von mehr als 18 000 Menschen hinterlegt, die für die CDU um die Häuser zogen und an Hunderttausenden Türen klingelten. Hinzu kam ein Datensatz mit 1350 Angeworbenen, der deren Adresse, Geburtsdatum und Interessen umfasste.

"Das ist schon unverantwortlich"

Diese Details sind bekannt, weil Wittmann im Mai entdeckte, dass sie über simple Abfragen an der Programmierschnittstelle auf alle Daten zugreifen konnte. Es gab kein Passwort oder andere technische Hürden. "Das ist schon unverantwortlich", sagt Witmann. "Diese sensiblen Daten und die politische Meinung zu erfassen, ohne sich Gedanken zu machen, wie man sie schützt. Offenbar hat die CDU wirklich null Verständnis für IT-Sicherheit."

Sie informierte das Bundesamt für Sicherheit in der Informationstechnik und den Berliner Datenschutzbeauftragten, parallel wies sie die CDU auf die Schwachstelle hin. Nachdem die Partei die App aus dem Netz genommen und Betroffene informiert hatte, veröffentlichte Wittmann einen Blogeintrag, in dem sie ihr Vorgehen beschrieb.

Diese Schritte folgen dem Prinzip des "Responsible Disclosure". Wer eine Sicherheitslücke entdeckt, kontaktiert zuerst die Entwickler der App und setzt zuständige Behörden in Kenntnis. Man geht erst an die Öffentlichkeit, wenn die Schwachstelle geschlossen ist oder keine akute Gefahr mehr besteht. Das soll verhindern, dass Kriminelle die Lücke ausnutzen. Dieser Weg hat sich in der IT-Community etabliert. Gutwillige Hacker halten sich daran, und Unternehmen reagieren nicht mit Klagen, sondern zahlen teils sogar Geld für die Hinweise, die Schlimmeres verhindern.

Der Streisand-Effekt schlägt zu

Die CDU verweist auf Anfrage nur auf mehrere Twitter-Nachrichten, die Bundesgeschäftsführer Hennewig am Mittwoch absetzte. Darin schreibt er unter anderem, es sei ein Fehler gewesen, Wittmanns Namen in der Anzeige zu erwähnen. Deshalb habe er die Anzeige zurückgezogen und sich telefonisch bei ihr entschuldigt. Die wundert sich über die Stellungnahme. Ihr Name sei in der Anzeige nicht nur "erwähnt" worden, wie Hennewigs Tweets suggerierten: "In der Überschrift steht: 'Anzeige gegen Lilith Wittmann und unbekannt'. So viel dazu."

Für die IT-Expertin ist klar, dass die CDU mit der Entschuldigung nur versucht, negative Schlagzeilen zu verhindern. "Die Partei hat intern gedroht und mich öffentlich diskreditiert. Armin Laschet hat im Fernsehen von einer Hackerin gesprochen. Die Anzeige war definitiv kein Versehen." Dass es sich die CDU nun doch anders überlegt habt, verdanke sie ihrer medialen Reichweite, glaubt Wittmann. Unter anderem der Chaos Computer Club (CCC) machte den Fall öffentlich und stellte sich hinter Wittmann. Die CDU habe nun offenbar Angst vor dem Streisand-Effekt bekommen habe: Der Versuch, eine unliebsame Information zu unterdrücken, schlägt ins Gegenteil um. Genau das ist durch die Anzeige geschehen.

Dabei weiß Wittmann nicht mal, was die CDU ihr vorwarf. Sie vermutet, dass sie beschuldigt wurde, gegen den sogenannten Hacker-Paragrafen verstoßen zu haben. Den führte die CDU 2007 selbst zusammen mit der SPD ein. Demnach droht für das "Vorbereiten des Ausspähens und Abfangens von Daten" eine Geld- oder Freiheitsstrafe von bis zu zwei Jahren, wenn man dafür Passwörter knackt oder Computerprogramme schreibt, umgangssprachlich also hackt.

CCC will keine Schwachstellen an CDU melden

"CDU und SPD haben das damals gegen heftige Kritik durchgeboxt, so ein Fall war absehbar", sagt Wittmann. 2007 warnten zahlreiche Verbände, dass der Paragraf auch IT-Sicherheitsforscherinnen und gutwillige Hacker bedrohe, die verhindern wollen, dass Schwachstellen ausgenutzt werden. "Jetzt hat ausgerechnet die CDU selbst bestätigt, wie gerechtfertigt diese Befürchtungen waren", sagt sie.

Bundesgeschäftsführer Hennewig behauptet, er halte das Responsible-Disclosure-Verfahren "für einen wichtigen Baustein, um IT-Sicherheit zu erhöhen". Es sei ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen. Angeblich habe die CDU nur Anzeige erstatte, weil es "auch zu einer Veröffentlichung personenbezogener Daten durch Dritte" gekommen sei. Zudem sei öffentlich auf die Lücke hingewiesen worden, bevor die Partei informiert worden sei. Erst durch ein Telefonat mit IT-Expertin Wittmann habe er erfahren, dass die damit nichts zu tun habe.

Erst anzeigen, dann informieren - der Chaos Computer Club hat daraus bereits Konsequenzen gezogen. "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", sagt Sprecher Linus Neumann. Statt das Problem zu lösen, greife die Partei jene an, die darauf hinweisen. "Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern. Insofern ist dieses destruktive Vorgehen nur konsequent."