- Die CDU hat sich bei einer Sicherheitsforscherin entschuldigt, die wegen einer Strafanzeige der Partei ins Visier der Strafverfolgungsbehörden geraten war.
- Die Betroffene selbst ist mit der Reaktion der Partei alles andere als zufrieden.
Die Softwareentwicklerin Lilith Wittmann aus dem Umfeld des Chaos Computer Clubs (CCC) hatte im vergangenen Mai in einer App der CDU für den Haustür-Wahlkampf eklatante Sicherheitslücken gefunden und diese der CDU, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Berliner Datenschutzbehörde gemeldet.
Am Dienstag berichtete Wittmann auf Twitter, dass sie vom Landeskriminalamt kontaktiert worden sei, weil sie in diesem Fall als "Beschuldigte geführt" werde.
CDU-Bundesgeschäftsführer Stefan Hennewig erklärte nun auf Twitter, die Partei habe vor einigen Wochen Anzeige im Zusammenhang mit der Sicherheitslücke der Connect App erstattet. Die Anzeige richte sich aber "NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann".
Bei diesem Verfahren melden Entwicklerinnen und Entwickler die Schwachstelle den Firmen oder Institutionen und berichten öffentlich erst dann darüber, wenn die Gefahr für die Betroffenen gebannt ist. Diese Verfahren seien ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen, und ein wichtiger Baustein, um IT-Sicherheit zu erhöhen, betonte der CDU-Politiker.
Betroffene Wittmann kritisiert CDU-Entschuldigung
Im Zusammenhang mit der Sicherheitslücke der App sei es aber angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte gekommen, erklärte Hennewig weiter in dem Tweet: "Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen."
Wittmann selbst kritisiert das Vorgehen der CDU. "Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz", sagte die Sicherheitsforscherin dem "Spiegel".
Die Entschuldigung sei für sie keine. "Angesichts der Fehlerkultur und des Unverständnisses der Partei für die digitale Welt" habe sie genau so ein Verhalten von der CDU erwartet, bemerkte Wittmann mit Blick auf eine Aussage von CDU-Chef Armin Laschet. Der Kanzlerkandidat hatte Wittmann im Mai als "Hackerin" bezeichnet, nachdem sie auf ihrem Blog auf massive Sicherheitslücken in der Partei-App hingewiesen hatte.
Chaos Computer Club teilt CDU keine Sicherheitslücken mehr mit
Bereits am Mittwochmorgen hatte der CCC angekündigt, Wissen über Sicherheitslücken künftig nicht mehr mit der CDU zu teilen. "Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", kündigte Club-Sprecher Linus Neumann an.
Wittmann hatte herausgefunden, dass in der App "CDUconnect", die im Haustür-Wahlkampf verwendet wird, vertrauliche Daten frei abrufbar waren. Neben den Personaldaten von Wahlkampfhelfern und CDU-Unterstützern waren auch Aussagen der besuchten Bürgerinnen und Bürger in Kombination mit der Altersgruppe frei einsehbar. Die CDU hatte die App nach dem Hinweis von Wittmann offline gestellt und die Sicherheitslücke geschlossen. © dpa
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.