Auf die Meldung mehrerer Schwachstellen in einer Wahlkampf-App reagierte die CDU mit Strafantrag. Der CCC wird CDU-Schwachstellen künftig nicht mehr melden.
Um ihren Haustür-Wahlkampf effizient zu koordinieren, unterhält die CDU eine App mit dem Namen CDUconnect. In dieser App sammeln christdemokratische Klinkenputzerinnen Daten über Personen, die sie in ihrem Heim aufgesucht haben.
Die CCC-Aktivistin Lilith Wittmann widmete dieser App im Mai 2021 ein paar Stunden ihrer Aufmerksamkeit. Das Ergebnis: Nicht nur die persönlichen Daten von 18.500 Wahlkampfhelferinnen, mit E-Mail-Adressen & Photos, sondern auch die persönlichen Daten von 1.350 Unterstützerinnen der CDU inklusive Adresse, Geburtsdatum und Interessen waren ungeschützt und frei über das Netz zugänglich. Natürlich durfte auch die halbe Million Datensätze über politische Einstellungen kontaktierter Personen nicht fehlen.
Die Schwachstellen meldete sie verantwortungsbewusst den verantwortlichen Stellen der CDU, dem Bundesamt für Sicherheit in der Informationstechnik und der Berliner Datenschutzbeauftragten.
Die unsichere Datenbank wurde kurz danach abgeschaltet, und die CDU gelobte Besserung.
So weit, so alltäglich (leider).
Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell: Die Meldung der Schwachstelle ist eine kostenlose Nachhilfe in IT-Sicherheit und dient dem Schutz der fast 20.000 betroffenen Personen.
In der IT-Sicherheitskultur hat sich für solche Fälle das Verfahren des responsible disclosure etabliert: Die Entdeckerinnen melden die Schwachstelle, erhalten keinerlei Kompensation und berichten öffentlich über die Schwachstelle, wenn die Gefahr für die Betroffenen gebannt ist.
Leider erweist sich die CDU als äußerst undankbar für die ehrenamtliche Nachhilfe. Sie hat nun beim LKA Strafantrag gegen die CCC-Aktivistin gestellt. „Shooting the Messenger" wird die dysfunktionale Strategie genannt, nicht das Problem zu lösen, sondern jene anzugreifen, die darauf hinweisen.
“Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern. Insofern ist dieses destruktive Vorgehen nur konsequent”, sagte Linus Neumann, Sprecher des Chaos Computer Clubs.
Leider hat die CDU damit das implizite Ladies-and-Gentlemen-Agreement des responsible disclosure einseitig aufgekündigt. “Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten”, kündigte Neumann an.
Der CCC bedauert ausdrücklich, dass damit das Risiko anonymer Full-Disclosure-Veröffentlichungen für die CDU und ihre freiwilligen Unterstützerinnen steigt. Die Verantwortung für zukünftige derartige Veröffentlichungen weisen wir vorsorglich von uns.