Das nächste Fettnäpfchen

CDU Connect-App: Peinliche Anzeige – Partei noch nicht reif für das Internet

  • Adrienne Murawski
    VonAdrienne Murawski
    schließen

Mit einer Anzeige wollte die CDU wohl eine IT-Sicherheitsexpertin einschüchtern, die Fehler in der CDU-Connect-App gefunden hat. Das ging mächtig nach hinten los.

Berlin – Wir befinden uns in der heißen Phase des Wahlkampfs. Am 26. September findet die Wahl zum 20. Deutschen Bundestag statt und die Politiker:innen scheinen sich eine wahre Schlammschlacht zu liefern. Ein Skandal nach dem nächsten kommt ans Tageslicht. Bei der CDU häufen sich nun aber die Vorfälle. Der Kanzlerkandidat der Partei muss sich nicht nur mit Plagiatsvorwürfen, sondern nun auch mit Sicherheitsproblemen bei der Wahlkampf-App CDU Connect auseinandersetzen.

NameCDU-Connect
HerausgeberUnion Betriebs - GmbH
PlattformiOS, Android
Alter4+ (iOS), 13+ (Android)
SprachenDeutsch, Englisch, Französisch, Italienisch, Niederländisch, Portugiesisch
KategorieProduktivität, Effizienz

CDU Connect: IT-Sicherheitsexpertin findet Sicherheitslücken und weist Partei auf diese hin

Softwareentwicklerin Lilith Wittmann wollte nur helfen und hat dafür nun eine Anzeige kassiert. Im Mai dieses Jahres schaute sich die IT-Expertin die Wahlkampf-App CDU Connect einmal genauer an. Die App kann man sich bereits seit 2017 auf sein Handy herunterladen, um die CDU damit beim Wahlkampf zu unterstützen. Mithilfe von CDU Connect kann erfasst werden, welche Helfer:innen wann an welcher Haustür geklingelt hat, welches Alter und Geschlecht die Bewohner:innen haben, wie die Person zur CDU steht und vieles mehr.

In Großstädten mit Hochhäusern mögen diese Daten allein nicht reichen, um die befragte Person zu identifizieren, in Kleinstädten oder Dörfern reicht das jedoch durchaus. Im Mai fragten sich dann verschiedene Twitter-Nutzer:innen, wie die Datenerfassung dem Datenschutz standhält. Laut CDU Connect würden in der Regel keine personenbezogenen Daten erfasst werden. Auftritt Wittmann. Sie hat sich kurzerhand die App heruntergeladen und einmal genau unter die Lupe genommen.

CDU Connect: Partei mit nächstem Fehltritt – Das Internet ist wirklich Neuland

Wie Lilith Wittmann bereits im Vorfeld erwartet hatte, fand sie gravierende Sicherheitslücken ohne die App dabei jemals hacken zu müssen. Sie warf lediglich einen Blick in den Code der App und bemerkte schnell, dass gängige Sicherheitspraktiken nicht umgesetzt wurden. Außerdem stellte Wittmann fest, dass jede:r ohne Probleme auf die gesammelten Daten zu den Hausbesuchen und den Wahlkampfhelfer:innen zugreifen konnte. Das meldete sie umgehend sowohl der Landesdatenschutzbehörde in Berlin als auch der Partei selber.

Damit hatte Wittmann die Regeln für ein sogenanntes Responsible Disclosure erfüllt, bevor sie ihre Erkenntnisse auf ihrem eigenen Blog teilte. Kurz darauf teilte der Twitter-Account von CDU Connect auch mit, dass die App vorerst offline genommen wurde. Das ist sie auch bis heute.

CDU Connect: IT-Expertin Wittmann erhält Strafanzeige trotz Responsible Disclosure

Damit hätte die Sache eigentlich erledigt sein sollen. Schließlich sind Organisationen, die von Sicherheitslücken betroffen sind und darauf hingewiesen werden, den Hinweisgebenden dankbar und verzichten auf mögliche rechtliche Schritte. Aber nicht die CDU. Wie Lilith Wittmann am 3. August auf Twitter mitteilte, hat sie Post vom Landeskriminalamt bezüglich eines Strafverfahrens zur CDU Connect App erhalten. Darin wird Wittmann als Beschuldigte aufgeführt. Eine offizielle Begründung zur Anzeige gibt es vorerst nicht, der Bundesgeschäftsführer der CDU, Stefan Hennewig, hat sich jedoch zum Vorfall geäußert:

Unsere Anzeige richtet sich NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann. RD-Verfahren sind ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen. Ich halte diese Verfahren für einen wichtigen Baustein, um IT-Sicherheit zu erhöhen. Allerdings kam es im Zusammenhang mit der Sicherheitslücke unserer App angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns - außerhalb des RD.

Stefan Hennewig via Twitter

Es scheint so als hätte die CDU die Anzeige gestellt, weil die personenbezogenen Daten aus der CDU Connect App, die bereits seit Jahren ungeschützt im Web standen, „durch Dritte“ veröffentlicht wurden. Diese Daten hat Lilith Wittmann jedoch nicht veröffentlicht, sondern lediglich ihren Vorgang bei der Findung der Sicherheitslücken aufgeführt. Auch Hennewig gibt zu, dass Wittmann mit diesen Vorgängen nichts zu tun hat und die „Nennung ihres Namens in der Anzeige [...] ein Fehler [war]“.

CDU Connect: Twitter und Reddit solidarisieren sich mit Wittmann – CDU entschuldigt sich, zieht Strafanzeige zurück

Hennewig habe sich persönlich bei Wittmann entschuldigt und die Strafanzeige zurückgezogen. Nur liegt die Entscheidungsgewalt bei der Staatsanwaltschaft, die trotzdem weiter gegen Wittmann vorgehen könnte. Auf Twitter und Reddit reichen die Reaktionen von Zynismus über Fassungslosigkeit bis hin zu blankem Hohn. Erzaehlmirnix hat einen treffenden Comic zum Thema erstellt, Edu Do Scerveza postet ein Bild von Verkehrsminister Andi Scheuer, der sich von der Sicherheit der CDU Connect App mithilfe eines Kinder-Laptops überzeugt und Oliver Kalkofe vergleicht die Anzeige der CDU mit dem Hinweis auf einen Einbruch beim Nachbarn, für den man angezeigt wird, weil man den Nachbarn beobachtet habe.

Auch auf Reddit schießen die meisten gegen die CDU und stellen sich auf die Seite von Lilith Wittmann:

  • FippsiAmthor: „Das war kein Versehen. Es soll ganz bewusst um Abschreckung gehen. Beschissene IT ist der CDU egal solange niemand mitbekommt wie scheiße sie ist. Und wenn da jemand draufzeigt, dann zeigt man den direkt an sodass der/die nächste sich überlegt ob er/sie Bock auf den Stress hat.
  • PizzaScout: „Sie [Wittmann, Anm. d. Red.] hat doch nicht Mal ein Passwort knacken müssen? Jeder Affe hätte zufällig die richtige URL eingeben können und die Daten erhalten können.“
  • payl0ad: „Ja, Schaden ist halt angerichtet, niemand wird der CDU mehr Bescheid sagen wenn ihre IT Scheiße ist. Statt dessen wird jetzt jede Sicherheitslücke durchschlagen und echte Schäden verursache .Kein Mitleid, hat man sich bei der CDU so ausgesucht, dann kriegen sie das auch so.“
  • jelindrael: „Und die CDU soll sich Digitalisierung auf die Fahne geschrieben haben? Diese Partei ist schlichtweg digitalisierungsfeindlich.

Mit dieser Vorgehensweise hat sich die CDU wohl das nächste Eigentor geschossen. Nach den Gamer:innen, die Philipp Amthor‘s Twitch Gaming-Event als „peinliche Propaganda“ bezeichneten, sind die Technikaffinen nun wohl auch nicht mehr sehr gut auf die Partei zu sprechen. Wieder einmal zeigt die CDU, dass das Internet tatsächlich Neuland für sie ist. Nicht zuletzt auch bei der Absage von Kanzlerkandidat Laschet gegenüber des Kanzler-Triells von Rezo auf Twitch. Generell scheint der Wahlkampf von Laschet bisher nur schwer anzulaufen*. *tz.de ist ein Angebot von IPPEN.MEDIA.

Rubriklistenbild: © cdu-connect.de/Montage

Das könnte Sie auch interessieren

Mehr zum Thema

Kommentare