Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre.
Wenn sie nicht gerade hackt, ist Lilith Wittmann gerne draußen. Hier sitzt sie auf dem Dach der taz Foto: Erik Irmer
taz am wochenende: Lilith, am Sonntag hast du Geburtstag. Was wünschst du dir?
Lilith Wittmann: Am liebsten hätte ich eine rot-rot-grüne Regierung. Das wird zwar immer unwahrscheinlicher, aber die Hoffnung stirbt zuletzt. Dann wären da wenigstens zwei Parteien, mit denen ich leben könnte.
Eine Regierung zum Geburtstag, das ist sehr politisch. Vor einigen Monaten hast du für Aufsehen gesorgt, weil du die Wahlkampf-App der CDU untersucht und dabei Sicherheitslücken gefunden hast. Danach wurdest du sogar von der CDU angezeigt. Hast du auch bei den Linken und den Grünen nach Sicherheitslücken in ihren Wahlkampf-Apps gesucht?
Die Wahlkampf-App der Grünen habe ich mir kurz nach der CDU angeschaut. Sie ist zwar technisch nicht so gut, erfasst aber keine personenbezogenen Daten. Sie ist schon okay.
Die CDU hingegen hat viele personenbezogene Daten erfasst, unter anderem sogar politische Präferenzen der Leute, die sie an der Haustür besucht haben, und Protokolle ihrer Aussagen. Was findest du daran besonders problematisch?
Wähler*innendaten an der Haustür zu erfassen ist eine abstruse, eine gefährliche Idee. Wenn man in einer großen Stadt wie Berlin einfach mal so Daten zu ein paar Hunderttausend Haushalten hat, kann man damit wunderschön Wahlbezirke neu schneiden, sodass die CDU sie möglichst alle gewinnt. Gerrymandering nennt man das in den USA. Da wird ständig an den Wahlkreisen rumgeschnitten.
Die Gefahr sind also nicht die Daten an sich, sondern deren Nutzung, besonders auf politischer Ebene.
Die Daten sind auch generell, ohne diese Nutzung, hochsensibel. Besonders wenn sie an der Haustür erfasst werden, ohne dass ich weiß, dass sie in eine Datenbank kommen. Aber Letzteres ist natürlich auch ein Problem. In einem Kreis war zum Beispiel erfasst worden, dass eine bestimmte Person sich gerne ein Grundstück im Neubaugebiet sichern würde. Das geht niemanden etwas an. In dem Kreis gab es eine besonders große Datensammlung. Das ist beängstigend und verstörend.
Andererseits geben wir unsere Daten ja ohnehin ganz bereitwillig an unterschiedliche soziale Medien, auf denen uns die Parteien dann gezielt mit ihrer Wahlwerbung attackieren können.
Aber dort entscheide ich selber, ob ich meine Daten hergebe. Und es gibt auch immer noch eine ganze Menge Leute, die sind einfach nicht in sozialen Medien.
25, ist Hackerin und Aktivistin für Datensicherheit. Neben ihrer Arbeit und dem Hacking studiert sie Politikwissenschaften, Soziologie und Verwaltungswissenschaften. Um die Open-Data-Strategie der Bundesregierung zu verbessern, hat sie im August eine Bundesstelle für Open Data erfunden.
Der eigentliche Skandal jedoch war, dass diese Daten nicht mal gut geschützt waren. Und genau darauf bist du gestoßen. Wie bist du überhaupt darauf gekommen, dort nach Sicherheitslücken zu suchen?
Meistens lese oder sehe ich etwas in den sozialen Medien, das mir komisch vorkommt. Auf die CDU-connect-App bin ich in Youtube-Videos gestoßen. Eine App für den Haustürwahlkampf? Das schaue ich mir mal an. Normalerweise lade ich mir die App dann erst mal runter, so wie jede*r andere das auch machen würde. Der einzige Unterschied ist: Während der Nutzung der App überwache ich an meinem Laptop, was die so macht.
Du tippst ganz normal auf deinem Handy, und das, was im System passiert, wenn du einzelne Menüpunkte anwählst, siehst du dann auf deinem Laptop?
Genau. Dort beobachte ich dann, wie die App arbeitet. Es geht dabei vor allem darum, wie die App mit dem Server kommuniziert. Dafür muss ich manchmal zuerst noch einige Sicherheitsmechanismen aushebeln, aber in der Regel kann ich der App relativ schnell bei der Kommunikation mit dem Server des Anbieters zuschauen.
Was musstest du machen, um dann an die personenbezogenen Daten zu kommen?
Ich habe herausgefunden, wie die Anfrage an den Server aussieht, eine ganz einfache Webadresse mit ein paar Zusätzen, mit denen man sich authentifiziert. Wenn man dann an diese Adresse noch kleine Zusätze ranschreibt, hatte man alles, was man von der Datenbank wollte.
Wenn du Apps untersuchst, sitzt du dann nachts wie eine Klischee-Hackerin im Hoodie vor deinem riesigen Rechner und trinkst Energydrinks?
Selten. In der Regel mache ich das in der Mittagspause oder ich setze mich abends in den Park. Oder es ist ein Samstagmorgen und ich sitze im Café. Letztens haben Freund*innen und ich uns eine App bei einem kleinen Sommerfest im Park vorgenommen.
Warum machst du das eigentlich?
Responsible Disclosure macht mir Spaß. Also das Aufspüren von Sicherheitslücken, die man danach dem Unternehmen meldet, damit es sich darum kümmert. Menschen wollen Probleme lösen. Manche spielen deswegen Sudoku. Ich hacke. Während Corona hat es noch mehr zugenommen, weil ich nicht mehr zum Bouldern konnte. Normalerweise löse ich nämlich dreimal die Woche Probleme an der Wand. Ich bin ein Draußenmensch und eine Hackerin. Auf das Hacken konnte ich also als Ersatzhandlung ausweichen. Responsible Disclosure ist aber auch gesellschaftlich wichtig.
Obwohl es die CDU betrifft, der du kritisch gegenüber eingestellt bist?
Auch dann. Klar habe ich mich im ersten Moment gefreut über die schiere Datenmenge. Damit könnte man krassen Scheiß machen!
Hast du aber nicht.
Nein, ich habe den Großteil der Daten nicht mal abgerufen. Ich halte mich an den klassischen Hacker*innen-Grundsatz: Öffentliche Daten nützen, private Daten schützen. Für mich war also völlig klar, was ich jetzt mache: Ich dokumentiere die Lücke, schreibe eine E-Mail an das BSI und versuche den Hersteller, also die CDU, zu kontaktieren. Ich habe nie darüber nachgedacht, die Daten zu nutzen.
Vor Kurzem wurde das digitale Leben von Attila Hildmann veröffentlicht. 2016 diverse Daten von Menschen, die den AfD-Parteitag besucht haben. Wo verläuft da die Grenze? Was ist erlaubt und was nicht?
Die Frage ist, ob ein öffentliches Interesse an diesen Daten besteht. Das sehe ich bei Attila Hildmann schon.
Und bei der AfD?
Ich glaube, aus antifaschistischer Perspektive ist es okay, diese Leute in bestimmten Fällen zu outen. Bei der CDU hätte man natürlich genauso argumentieren können. Trotzdem war für mich relativ klar, dass ich das in dieser Situation nicht machen werde und dass es sich für mich sowohl politisch als auch persönlich besser anfühlt zu sagen: Ich bleibe bei meinem Grundsatz. Und um ehrlich zu sein, ich wüsste nicht, wie ich reagieren würde, wenn es eine AfD-App gewesen wäre. Es ist für mich als Antifaschistin ein Dilemma, vielleicht hätte ich anders entschieden.
Du hast nach der CDU-Anzeige gegen dich auf Twitter geschrieben, dass man die Daten der CDU vielleicht „mal befreien“ müsste, damit „sie es endlich lernen“. Das klang wütend.
Ich war an dem Tag sehr frustriert, weil die App wieder online gegangen ist, ohne dass alle Sicherheitslücken geschlossen worden sind. Ich wollte der CDU damit nur zeigen: Ich habe euch noch im Blick, bitte kümmert euch endlich. Ich habe auch nicht mehr nach weiteren Lücken gesucht. Ich bin durch mit der CDU.
Auch der CCC, also der Chaos Computer Club, hat bekanntgegeben, bei der CDU kein Responsible Disclosure mehr zu betreiben. Aber die Daten der Menschen sind doch weiterhin in Gefahr – und sie können nichts für das Verhalten der CDU.
Die CDU hat gezeigt, dass sie kein Interesse hat an zivilgesellschaftlicher Sicherheitsforschung. Die Partei hat mich angezeigt, um ihre Ruhe zu haben. Sie glaubt, dass das der richtige Weg ist. Das bedeutet aber im Umkehrschluss, ich kann Sicherheitslücken in ihren Systemen gar nicht mehr suchen und melden, sonst habe ich sofort wieder die Staatsanwaltschaft am Hals.
Die Ermittlungen wurden inzwischen eingestellt. Auf welchem Vorwurf basierte die Anzeige eigentlich?
Auf dem sogenannten Hacker-Paragraf 202 StGB. Der verbietet seit 2007 unter anderem, Sicherheitshürden durch das Hacken von Passwörtern oder aber durch selbstgeschriebene Programme zu überwinden.
Das hast du ja aber nicht gemacht.
Die Staatsanwältin hat das Verfahren eingestellt, weil sie zu der Meinung gelangt ist, dass ich keine Sicherheitshürden überwunden habe – weil die Daten eben nicht geschützt wurden und ich einfach nur ein technisches Problem gefunden habe. Mein Anwalt und ich waren trotzdem überrascht, denn es gab in Deutschland schon Fälle, in denen ganz anders entschieden wurde. Der Hacker-Paragraf ist ein totaler Gummiparagraf.
Das bedeutet, er tritt sowohl in Kraft, wenn man auf eine Lücke aufmerksam macht, als auch wenn man über diese Lücke Daten für kriminelle Zwecke absaugt.
Deswegen besitzen wir in Deutschland keine Kultur der Responsible Disclosure. In anderen Ländern gibt es sogar Belohnungen, wenn man Sicherheitslücken meldet. Da bekommt man manchmal 5.000 Euro. In Deutschland gibt es das nicht. In den Niederlanden gibt es T-Shirts, die man bekommt, auf denen dann steht, dass man eine Sicherheitslücke gefunden hat. Das finde ich niedlich. Wäre vielleicht auch für hier etwas. Aber in Deutschland ist nicht mal das Rechtssystem auf Responsible Disclosure ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke finde, eine Straftat. Ob das dann tatsächlich so angesehen wird, hängt aber vom technischen Verständnis und der Interpretation der Staatsanwaltschaft ab.
Welche Vorkehrungen treffen Hacker*innen, um möglichst wenige dieser Schwellen zur Kriminalität zu überschreiten?
Ich schaue nur so tief in Sachen rein, bis ich weiß, dass es eine Lücke gibt. Ich speicher so gut es geht keine Daten und dokumentiere jeden Schritt im Detail. Außerdem mache ich das alles nicht anonym. Ich verschleiere meine Identität nicht. Wenn ich mir bei einer App einen Account erstellen muss, gebe ich teilweise sogar meinen echten Namen an, nur um sicherzugehen. Das mache ich auch, wenn ich in andere Systeme reinschaue, um klarzustellen: Ich will euch nicht kaputt machen, ich will mich einfach etwas umsehen.
Fällst du damit nicht gelegentlich auf, bevor du wirklich loslegen kannst?
Bei der Suche nach Sicherheitslücken nicht, aber ich analysiere auch sehr gerne staatliche Infrastrukturen. Manche Behörden kennen mich deswegen auch schon und schreiben mir dann eine nette Mail.
Erinnerst du dich noch daran, was du als Erstes gehackt hast?
Das war eine total dumme Aktion: Ich war noch gut minderjährig und wir haben eine Website eines Pommesherstellers gehackt. Zu dem Zeitpunkt hatten sie dort eine Kampagne: „Pommes im Ofen – Zeit für Fritz“. In meinem Umfeld gab es einen Fritz und wir haben überall auf der Seite den Text geändert: „Fritz im Ofen – Zeit für Pommes“. Es ist total lächerlich und unpolitisch, aber es hat uns irre Spaß gemacht. Heute würde ich es aber trotzdem nicht mehr machen.
Mal politisch, mal albern, das ist auch der jährliche Kongress des Chaos Computer Clubs, der größte Hacker*innen-Kongress der Welt. Wegen Corona hat er 2020 nur digital stattgefunden. Vielleicht auch dieses Jahr. Wie schwer fällt dir diese Trennung von der Szene?
Natürlich ist das super traurig und ich habe Angst, dass irgendwann Strukturen kaputt gehen. Aber auf regionaler Ebene versuchen wir, uns gelegentlich zu sehen, egal ob Menschen aus dem CCC oder andere Hacker*innen. Ich bin in der Berliner Szene aber nicht so sehr verankert, weil ich bis zur Pandemie in Hamburg gewohnt habe. Und irgendwann habe ich mich auch einfach gefragt, ob so viel Vereinsleben eigentlich sein muss. Es hat ja doch auch immer etwas von Karnickelzüchterverein. Es ist die Frage, die viele Deutsche vermutlich kennen: Wie viel Verein kann ich in meiner Freizeit ertragen?
Und deine Freizeit ist ohnehin eher knapp, oder? Wenn du nicht gerade hackst, bist du trotzdem aktivistisch aktiv. Du warst auch zwei Monate lang im Hambi auf einem Baum.
Ich war zweimal einen Monat dort, weil mich die Bilder zu Anfang der Räumung so wütend gemacht haben, dass ich nicht anders konnte. Klar bin ich Aktivistin, denn wir haben Probleme. Wer in unserer Generation sieht das nicht? Natürlich ist es für mich keine Frage, ob es okay ist, diesen Wald zu besetzen und es RWE möglichst hart zu machen. Ich bin zwar nicht die Person, die auf Twitter akademische Diskurse über den Klimawandel führen kann, aber Klimaschutz ist mir unglaublich wichtig. Dafür gehe ich auf die Straße oder auf den Baum, dafür kommentiere ich im Livestream den Polizeieinsatz. Das war einfach eine Sache, die ich machen musste.
Sind deine Eltern stolz auf dich, weil du so bestimmt versuchst, die Welt zu verändern?
Ich habe keinen Kontakt zu meinen Eltern. Aber mein Freundeskreis findet es natürlich gut. Allerdings sind das auch alles Zecken.
Hackst du eigentlich auch beruflich?
Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im Wochenendabo. Und bei Facebook und Twitter.
Ich programmiere nicht sehr viel aktiv, sondern baue in der Regel freiberuflich Entwickler*innen-Teams auf. Ich bin eine Engineering Managerin. Meistens wenden sich Konzerne an mich, weil sie einen neuen Bereich aufbauen wollen. Und ich baue ihnen dann das Team. Früher habe ich auch beruflich Codes geschrieben, aber das mache ich jetzt nicht mehr, weil ich gemerkt habe, dass es mir tatsächlich besser geht, wenn ich mehr mit Menschen zu tun habe. Seitdem bastel ich auch wieder viel lieber in meiner Freizeit an Codes und hacke. Das hat wieder einen großen kreativen Aspekt für mich bekommen. Und ich muss nichts mehr programmieren, das halt irgendwie gerade in das System Kapitalismus passt.
Trotzdem bildest du Teams für große Konzerne.
Ja, aber die Menschen müssen dabei natürlich immer d’accord sein mit dem, was der Auftraggeber macht und wie er mit Menschen umgeht. Ich leite das Team dann, bis es mir wieder reicht mit dem Auftraggeber. Das dauert meistens zwischen fünf und sieben Monate. Ansonsten wäre ich emotional zu involviert und würde Krawall machen und anecken.
Dafür, dass du noch so jung bist, hast du schon in ganz schön vielen Bereichen gearbeitet. Wie kommt ’s?
Mit 16 habe ich die Schule abgebrochen und eine Ausbildung als Softwareentwicklerin gemacht. Mit 18 brauchte ich Kohle und habe angefangen zu freelancen. Und gemerkt: Da gibt es richtig viel Geld! Später habe ich ein eigenes kleines Unternehmen aufgebaut mit 20 Mitarbeitenden. Wir haben nur Aufträge angenommen, die wir moralisch vertretbar fanden. Bis ich die Hälfte der Firma verkauft habe, da hat es sich geändert. Für mich war dann sehr schnell klar, dass ich das nicht mehr mitmache, und ich bin wieder Freelancerin geworden. Es ist nicht mein Traumjob, aber ich bin super privilegiert, dass ich überhaupt so einen Job habe.
War die Zeit, in der du die Anzeige von der CDU bekommen hast, trotzdem besonders anstrengend für dich?
Sagen wir so: Ich habe nicht das erste Mal in meinem Leben Post von der Polizei bekommen. Aber ich wurde tatsächlich noch nie wegen Hacking angezeigt. Bis die CDU kam.
Leser*innenkommentare
ruebenmaster
Danke für dieses lesenswerte Interview, Danke dass es solche Leute bei uns gibt, die auch sehen dürfen, wie die CDU mit den Menschen in ihrem Land umgeht. Egal ob Datenmissbrauch oder das lachende vehöhnen der Flutopfer.
Danke Lilith für Deinen Mut und Deinen Einsatz.
Rainer B.
@ruebenmaster Schließe mich an.
Bullsh_itdetector
Eine kleine Anekdote mehr oder weniger in Anlehnung an diese Geschichte:
Könnt ihr euch noch an die vielen Legenden und Geschichten aus den 90ern und frühen 00ern erinnern über all die Hacker, die irgendwelche (Finanz-)Behörden und/oder großen Firmen gehackt, daraufhin vom FBI oder ähnlichen anderen Inlandsbehörden geschnappt und für ein üppiges Gehalt rekrutiert wurden?
Tja, für die allermeisten dieser Geschichten gibt es eigentlich keinen Beleg und es wird mittlerweile davon ausgegangen, dass ein Großteil dieser Geschichten gezielt gestreute Gerüchte der Behörden selbst waren, um potenziell blauäugige Hacker beispielsweise zu einem Bewerbungsgespräch zu ködern (wie mehrmals geschehen bei Valve), bloß dass sie dort, anstatt von einem Personaler und/oder IT-Experten in Empfang genommen zu werden, auf die gegen sie ermittelnden Beamten gestoßen sind, die ihnen dann natürlich den passenden Schmuck verpassten.
udo123
Appel zahlt für jeden, der eine Sicherheitslücke findet und diese an Appel meldet. So herum wird dann auch ein Schuh daraus.
Die Anzeige der CDU war ja wohl daneben, statt sich zu freuen, das eine Sicherheitslücke bekannt wird, bevor schaden entsteht.
Aeglasin
Zu dem ganzen habe ich 2 Fragen:
1. Wenn die CDU Haustürbefragungen macht, wo unterscheidet sich das dann dazu wenn ich auf Facebook und Co alles raus gebe? Für mich sind die Leute selbst schuld wenn sie an der Tür beispielsweise das mit dem Hauswunsch äußern. Ich erzähl dem Postboten doch auch nicht welche Stellungen im Bett ich bevorzuge???
Das landet dann vielleicht nicht in einer Elektronischen Datenbank, aber sicher im Postklatsch xD
2. Ehrlich gemeinte Frage rein aus Interesse: Warum nicht ERST um erlaubnis bitten und DANN die App untersuchen? Wenn jemand auf meinem Grundstück rumläuft um "zu schauen ob da keine Sicherheitslücke ist" wäre ich privat auch nicht ungeneigt die Polizei zu informieren, auch wenn der betreffende im Nachgang bei mir klingt und das mitteilt. Da wüsste ich auch nicht ob er mir alles gesagt hat, oder nicht vielleicht etwas ausgespaart hat das er im nächsten Urlaub ausnutzen könnte.
Dokumentation ist schön und gut, das erfordert aber vertrauen in die Ehrlichkeit. Bei einer Doku habe ich nur unzureichende Möglichkeiten diese auf vollständigkeit zu prüfen.
Nicht falsch verstehen, ich finde es gut solche Probleme aufzudecken und den betreffenden zu melden. Besser fände ich aber erst um erlaubnis und nicht im Nachhinein nur um Verzeihung zu bitten.
kditd
@Aeglasin 2. Es gibt sowas, Leute die das beruflich machen, nennt man Penetration Tester.
Sich die Datenpakete anzuschauen, die das eigene Handy verschickt, ist aber nicht verboten. Eine Anfrage an eine Internet-Datenbank zu schicken, für die man sowieso schon den Login hat, auch nicht! Nicht mit Tresor vergleichbar, höchstens mit einem, der sperrangelweit offensteht.
Lleyn
@Aeglasin 1. Die Leute der Haustürbefragung wussten ja nicht, dass die CDU ihre Daten protokolliert, die wurden nicht gefragt, das ist ja der eigentliche Skandal. Name und Adresse kann man an der Haustür ablesen, und der Rest wurde dann wahrscheinlich per Gedächtnis-Protokoll in die App geschrieben. Deutsche Gründlichkeit eben, erinnert mich ungut an das 3. Reich und die DDR.
2. Ihr Vergleich ist schief. Die App war frei herunterladbar (die CDU hat sie also eingeladen, auf deren Grundstück rumzulaufen), und da wohl kaum eine Firma / ein Verein / eine Partei sich gerne Fehler nachweisen lässt, glaube ich kaum, dass sie bei einem Erlaubnis-Ersuchen dieses auch gegeben hätten. Da die Sicherheitslücken ja anscheinend auch nach der Bekanntmachung noch nicht gänzlich geschlossen waren, wäre in solch einem Fall zu befürchten, dass sie es vertuschen und weitermachen wie vorher.
Aeglasin
@Lleyn Naja, wenn ich nicht weiß mit wem ich an der Haustür rede erzähle ich doch erst recht nicht etwas über irgendwelche privaten Pläne.
Zum 2ten Fall: Naja, stimmt die App ist frei herunterladbar, aber auch in einer Bank bei der der Empfangsbereich frei begehbar ist darf man nicht einfach so "aus neugier und um Sicherheitsprobleme aufzudecken" mal in den Tresor spazieren. Selbes gilt für jedes öftliche Gebäude, Ich darf in einem Museum auch nicht "um zu prüfen ob die Sicherheit was taugt" versuchen ein Gemälde einzuschieben. Versuchen sie das mal :)
und zum Nachwort bezüglich "dann hätten sie die Lücke sicher nicht geschlossen" wer sagt denn das sie es jetzt getan haben?
Bullsh_itdetector
@Aeglasin "Dokumentation ist schön und gut, das erfordert aber vertrauen in die Ehrlichkeit. Bei einer Doku habe ich nur unzureichende Möglichkeiten diese auf vollständigkeit zu prüfen."
Da gibt es diese neue und hippe Erfindung namens "Informationen gegenprüfen... idealerweise von einem unabhängigen oder angestellten Experten"
tomás zerolo
Jo. §202a StGB muss in der Form weg.
Wie steht eigentlich... die FDP dazu?
Knudsenkarl
Bin nun kein ausgewiesener Experte, aber denke, dass hierzulande die Gefahr von Gerrymandering zu vernachlässigen ist. Denn letzten Endes haben wir ein sehr unterschiedliches Wahlsystem zu den USA.
Wahrscheinlich ist die CDU wirklich eher auf die Big Data aus, um ihre Kampagnen zu steuern.
Bernd Berndner
@Knudsenkarl Ein bisschen Gerrymandering gibt es auch in Deutschland:
de.wikipedia.org/w...dering#Deutschland
Christian Lange
So coole Socken braucht die Welt!
Alles Gute.
Karl Kraus
Die lassen aber auch nichts aus, oder? Passop: Irgendwann muss dann doch der Verfassungsschutz diese Spezialistenpartei ins Visier nehmen.
Fallmanagerin
Tolles Interview! Vielen Dank dafür.
fritz
Attilla war nicht gehackt worden, sein Root hatte sich nur selbstständig gemacht. Das war schon mehr als eine schlechte App. Gerrymandering, guter Gedanke. Der Staat muss nicht alles wissen. Was wollen wir wissen? Pressefreiheit und das Verbot anlassloser Videoüberwachung im Fussballstadion in Köln und bei Fridays an der Strasse in Freiburg. Das Recht auf das eigene Bild.