die gesellschaftskritik
: Apple zahlt Millionen, CDU erstattet Anzeige
Die CDU hat eine Aktivistin des Chaos Computer Clubs angezeigt, nachdem diese den Behörden gravierende Sicherheitslücken der Wahlkampf-App meldete. Nun wurde die Anzeige zurückgezogen
Das Berliner LKA ermittelt gegen die ehrenamtliche IT-Sicherheitsforscherin Lilith Wittmann. Die CDU hatte Anzeige erstattet, diese aber nach massivem öffentlichem Druck wieder zurückgezogen und sich bei der IT-Expertin entschuldigt.
Im Mai 2021 hatte Wittmann in der CDU-Wahlkampf-App „CDUconnect“ gravierende Sicherheitslücken entdeckt und diese an die zuständigen Behörden weitergeleitet. Daraufhin habe CDU-Bundesgeschäftsführer Stefan Hennewig sie angerufen und ihr einen Beratungsvertrag angeboten. Weil Wittmann nicht für die CDU habe arbeiten wollen, habe Hennewig mit einem Strafverfahren gedroht. Zwar hat die CDU die Anzeige mittlerweile zurückgezogen, es ist aber unklar, ob auch das Verfahren eingestellt wird. Wittmann sammelt deshalb Gelder für ihre Strafverteidigung.
Die CDU nutzt CDUconnect, um den Haustürwahlkampf digital zu koordinieren. Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht und wie die politischen Meinungen zur CDU im jeweiligen Haushalt waren. Mit ein paar Kniffen konnte Wittmann auf den Datensatz zugreifen. So waren Daten von 18.500 Wahlkampfhelfer:innen mit Fotos und Mailadressen, bei 1.350 CDU-Unterstützer:innen sogar die Adressen, Geburtstage und Interessen ungeschützt einsehbar. In Googles Play Store verzeichnet CDUconnect eine Wertung von 1,4 von 5 Sternen. „Die App zeigt perfekt die Kompetenz der CDU im Internet“, schreibt ein User.
Die Partei verstoße gegen das Prinzip der responsible disclosure, kritisiert Linus Neumann vom Chaos Computer Club. Es ist üblich, dass Entdecker:innen Sicherheitslücken an die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, wenn sie behoben sind. Normalerweise wird den Entdecker:innen gedankt, bei Apple sogar in Millionenhöhe. Nicht bei der CDU.
„Das macht die CDU nicht nur in diesem Fall, sondern auch mit der Digitalisierung und anderen wichtigen politischen Problemfeldern“, sagt Neumann. Um künftige rechtliche Auseinandersetzungen mit der CDU zu vermeiden, will der CCC nun auf das Melden von Sicherheitslücken bei der CDU verzichten. Für künftige IT-Probleme wünscht Neumann der Partei viel Glück.
Denis Gießler
