Aktualisierung vom 5. August 2021:
Der Bundesgeschäftsführer der CDU Stefan Hennewig hat sich gestern bei der Programmiererin Lilith Wittmann entschuldigt. Demnach war die Nennung ihres Namens in der Anklage ein Fehler, die CDU hat die Anklage bereits zurückgezogen.
Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe. Beim LKA habe ich die Anzeige gegen sie zurückgezogen. (4/5)
— Stefan Hennewig (@StefanHennewig) August 4, 2021
Den Kollegen von “Spiegel” hatte Wittman dagegen erklärt, die CDU wollte nach Veröffentlichung der Lücke einen Beratungsauftrag mit ihr abschließen, den sie jedoch abgelehnt hat. Die Partei hat ihr daraufhin mit Klage gedroht.
Dass die Anklage zurückgezogen wurde, bedeutet aber nicht automatisch, dass das Verfahren bei dem LKA eingestellt wird. Laut Wittmann benötige sie nach wie vor eine Strafverteidigung im laufenden Verfahren.
Gerade Anzahlung für meine Strafverteidigung geleistet. Denn was @StefanHennewig in seinem Thread nicht erwähnte: Nur weil die #CDU die Anzeige zurückzieht, wird ja noch nicht das Verfahren eingestellt.
— Lilith Wittmann (@LilithWittmann) August 4, 2021
Da Menschen das finanziell unterstützen wollten: https://t.co/y5Kc4KlM4T
Ursprüngliche Meldung vom 4. August 2021
Die Vorgeschichte dieser Meldung ereignete sich noch im Mai: Lilith Wittmann, freiberufliche Programmiererin und Hackerin, hat in einer Wahlkampf-App der CDU eine Sicherheitslücke entdeckt. Über den App-Code hat sie herausgefunden, wie sie an die Informationen über die potenziellen oder aktiven Wahlkampfhelfer herankommt. Betroffen waren die Daten von etwas weniger als 20.000 Personen inklusive E-Mails, Adresse, Fotos, teilweise Facebook-Profilen. Wittmann meldete die gefundene Lücke beim CERT-Bund, kurze Zeit darauf noch den Datenschutzbeauftragten der CDU. Die App wurde daraufhin offline genommen, betroffene Nutzer per Mail benachrichtigt.
Gestern Abend wurde bekannt , dass das LKA in Berlin Wittmann als Beschuldigte in einem Ermittlungsverfahren wegen der CDU Connect, also der gehackten CDU-App, vorladen will. Die Mail wurde von der LKA-Abteilung 724 verschickt, das Dezernat 72 in Berlin beschäftigt sich mit Cyberkrime . Den Kollegen von Netzpolitik hat die Behörde auf die Anfrage bestätigt , dass das Verfahren gegen Wittman eröffnet ist, jedoch nicht spezifiziert, was genau der Programmiererin vorgeworfen wird. Laut Wittmann hat man ihr aus den CDU-Reihen bereits angedeutet, rechtliche Schritte einleiten zu wollen.
Cdu hatte mir gegenüber schon angedeutet, das sie das zur Anzeige bringen wollen.
— Lilith Wittmann (@LilithWittmann) August 3, 2021
Wittmann hat die Lücke in der App in einem sogenannten Responsible-Disclosure-Verfahren gemeldet: Den Fehler zunächst dem Betreiber gemeldet und abgewartet, bis dieser behoben wird, erst dann ihre Ergebnisse auf Medium veröffentlicht. Nicht wenige IT-Unternehmen, unter anderem auch Apple, haben spezielle Belohnungsprogramme für Finder solcher Schwachstellen: So wird sichergestellt, dass die Lücken nicht von böswilligen Angreifern ausgenutzt werden, wie zuletzt im Fall Pegasus. Chaos Computer Club hat als Reaktion auf Ermittlungsverfahren gegen Wittmann angekündigt, keine Sicherheitslücken mehr an die CDU zu melden . Laut CCC steigt somit das Risiko anonymer Veröffentlichung der Zero-Day-Schwachstellen in der CDU-Infrastruktur, also Bekanntmachung ohne Kenntnis des Betreibers.
Autor: Halyna Kubiv, Redakteurin
Halyna Kubiv ist seit 2010 bei der Macwelt. Nicht nur Apple-Produkte sind ihre Leidenschaft, sondern auch Themen rund um Fitness und Gesundheit.