2602881

CDU zieht "Hacker"-Klage zurück, Verfahren läuft weiter

05.08.2021 | 10:50 Uhr | Halyna Kubiv

Die Diskussion um entdeckte Sicherheitslücken in einer Wahlkampf-App der CDU geht weiter. Die Partei hat die Klage zurückgezogen.

Aktualisierung vom 5. August 2021:

Der Bundesgeschäftsführer der CDU Stefan Hennewig hat sich gestern bei der Programmiererin Lilith Wittmann entschuldigt. Demnach war die Nennung ihres Namens in der Anklage ein Fehler, die CDU hat die Anklage bereits zurückgezogen.

Den Kollegen von "Spiegel" hatte Wittman dagegen erklärt, die CDU wollte nach Veröffentlichung der Lücke einen Beratungsauftrag mit ihr abschließen, den sie jedoch abgelehnt hat. Die Partei hat ihr daraufhin mit Klage gedroht.

Dass die Anklage zurückgezogen wurde, bedeutet aber nicht automatisch, dass das Verfahren bei dem LKA eingestellt wird. Laut Wittmann benötige sie nach wie vor eine Strafverteidigung im laufenden Verfahren.

Ursprüngliche Meldung vom 4. August 2021

Die Vorgeschichte dieser Meldung ereignete sich noch im Mai: Lilith Wittmann, freiberufliche Programmiererin und Hackerin, hat in einer Wahlkampf-App der CDU eine Sicherheitslücke entdeckt. Über den App-Code hat sie herausgefunden, wie sie an die Informationen über die potenziellen oder aktiven Wahlkampfhelfer herankommt. Betroffen waren die Daten von etwas weniger als 20.000 Personen inklusive E-Mails, Adresse, Fotos, teilweise Facebook-Profilen. Wittmann meldete die gefundene Lücke beim CERT-Bund, kurze Zeit darauf noch den Datenschutzbeauftragten der CDU. Die App wurde daraufhin offline genommen, betroffene Nutzer per Mail benachrichtigt.

Gestern Abend wurde bekannt , dass das LKA in Berlin Wittmann als Beschuldigte in einem Ermittlungsverfahren wegen der CDU Connect, also der gehackten CDU-App, vorladen will. Die Mail wurde von der LKA-Abteilung 724 verschickt, das Dezernat 72 in Berlin beschäftigt sich mit Cyberkrime . Den Kollegen von Netzpolitik hat die Behörde auf die Anfrage bestätigt , dass das Verfahren gegen Wittman eröffnet ist, jedoch nicht spezifiziert, was genau der Programmiererin vorgeworfen wird. Laut Wittmann hat man ihr aus den CDU-Reihen bereits angedeutet, rechtliche Schritte einleiten zu wollen.

Wittmann hat die Lücke in der App in einem sogenannten Responsible-Disclosure-Verfahren gemeldet: Den Fehler zunächst dem Betreiber gemeldet und abgewartet, bis dieser behoben wird, erst dann ihre Ergebnisse auf Medium veröffentlicht. Nicht wenige IT-Unternehmen, unter anderem auch Apple, haben spezielle Belohnungsprogramme für Finder solcher Schwachstellen: So wird sichergestellt, dass die Lücken nicht von böswilligen Angreifern ausgenutzt werden, wie zuletzt im Fall Pegasus. Chaos Computer Club hat als Reaktion auf Ermittlungsverfahren gegen Wittmann angekündigt, keine Sicherheitslücken mehr an die CDU zu melden . Laut CCC steigt somit das Risiko anonymer Veröffentlichung der Zero-Day-Schwachstellen in der CDU-Infrastruktur, also Bekanntmachung ohne Kenntnis des Betreibers.

Macwelt Marktplatz

2602881