Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre.
taz am wochenende: Lilith, am Sonntag hast du Geburtstag. Was wünschst du dir?
Lilith Wittmann: Am liebsten hätte ich eine rot-rot-grüne Regierung. Das wird zwar immer unwahrscheinlicher, aber die Hoffnung stirbt zuletzt. Dann wären da wenigstens zwei Parteien, mit denen ich leben könnte.
Eine Regierung zum Geburtstag, das ist sehr politisch. Vor einigen Monaten hast du für Aufsehen gesorgt, weil du die Wahlkampf-App der CDU untersucht und dabei Sicherheitslücken gefunden hast. Danach wurdest du sogar von der CDU angezeigt. Hast du auch bei den Linken und den Grünen nach Sicherheitslücken in ihren Wahlkampf-Apps gesucht?
Die Wahlkampf-App der Grünen habe ich mir kurz nach der CDU angeschaut. Sie ist zwar technisch nicht so gut, erfasst aber keine personenbezogenen Daten. Sie ist schon okay.
Die CDU hingegen hat viele personenbezogene Daten erfasst, unter anderem sogar politische Präferenzen der Leute, die sie an der Haustür besucht haben, und Protokolle ihrer Aussagen. Was findest du daran besonders problematisch?
Wähler*innendaten an der Haustür zu erfassen ist eine abstruse, eine gefährliche Idee. Wenn man in einer großen Stadt wie Berlin einfach mal so Daten zu ein paar Hunderttausend Haushalten hat, kann man damit wunderschön Wahlbezirke neu schneiden, sodass die CDU sie möglichst alle gewinnt. Gerrymandering nennt man das in den USA. Da wird ständig an den Wahlkreisen rumgeschnitten.
Die Gefahr sind also nicht die Daten an sich, sondern deren Nutzung, besonders auf politischer Ebene.
Die Daten sind auch generell, ohne diese Nutzung, hochsensibel. Besonders wenn sie an der Haustür erfasst werden, ohne dass ich weiß, dass sie in eine Datenbank kommen. Aber Letzteres ist natürlich auch ein Problem. In einem Kreis war zum Beispiel erfasst worden, dass eine bestimmte Person sich gerne ein Grundstück im Neubaugebiet sichern würde. Das geht niemanden etwas an. In dem Kreis gab es eine besonders große Datensammlung. Das ist beängstigend und verstörend.
Andererseits geben wir unsere Daten ja ohnehin ganz bereitwillig an unterschiedliche soziale Medien, auf denen uns die Parteien dann gezielt mit ihrer Wahlwerbung attackieren können.
Aber dort entscheide ich selber, ob ich meine Daten hergebe. Und es gibt auch immer noch eine ganze Menge Leute, die sind einfach nicht in sozialen Medien.
25, ist Hackerin und Aktivistin für Datensicherheit. Neben ihrer Arbeit und dem Hacking studiert sie Politikwissenschaften, Soziologie und Verwaltungswissenschaften. Um die Open-Data-Strategie der Bundesregierung zu verbessern, hat sie im August eine Bundesstelle für Open Data erfunden.
Der eigentliche Skandal jedoch war, dass diese Daten nicht mal gut geschützt waren. Und genau darauf bist du gestoßen. Wie bist du überhaupt darauf gekommen, dort nach Sicherheitslücken zu suchen?
Meistens lese oder sehe ich etwas in den sozialen Medien, das mir komisch vorkommt. Auf die CDU-connect-App bin ich in Youtube-Videos gestoßen. Eine App für den Haustürwahlkampf? Das schaue ich mir mal an. Normalerweise lade ich mir die App dann erst mal runter, so wie jede*r andere das auch machen würde. Der einzige Unterschied ist: Während der Nutzung der App überwache ich an meinem Laptop, was die so macht.
Du tippst ganz normal auf deinem Handy, und das, was im System passiert, wenn du einzelne Menüpunkte anwählst, siehst du dann auf deinem Laptop?
Genau. Dort beobachte ich dann, wie die App arbeitet. Es geht dabei vor allem darum, wie die App mit dem Server kommuniziert. Dafür muss ich manchmal zuerst noch einige Sicherheitsmechanismen aushebeln, aber in der Regel kann ich der App relativ schnell bei der Kommunikation mit dem Server des Anbieters zuschauen.
Was musstest du machen, um dann an die personenbezogenen Daten zu kommen?
Ich habe herausgefunden, wie die Anfrage an den Server aussieht, eine ganz einfache Webadresse mit ein paar Zusätzen, mit denen man sich authentifiziert. Wenn man dann an diese Adresse noch kleine Zusätze ranschreibt, hatte man alles, was man von der Datenbank wollte.
Wenn du Apps untersuchst, sitzt du dann nachts wie eine Klischee-Hackerin im Hoodie vor deinem riesigen Rechner und trinkst Energydrinks?
Selten. In der Regel mache ich das in der Mittagspause oder ich setze mich abends in den Park. Oder es ist ein Samstagmorgen und ich sitze im Café. Letztens haben Freund*innen und ich uns eine App bei einem kleinen Sommerfest im Park vorgenommen.
Warum machst du das eigentlich?
Responsible Disclosure macht mir Spaß. Also das Aufspüren von Sicherheitslücken, die man danach dem Unternehmen meldet, damit es sich darum kümmert. Menschen wollen Probleme lösen. Manche spielen deswegen Sudoku. Ich hacke. Während Corona hat es noch mehr zugenommen, weil ich nicht mehr zum Bouldern konnte. Normalerweise löse ich nämlich dreimal die Woche Probleme an der Wand. Ich bin ein Draußenmensch und eine Hackerin. Auf das Hacken konnte ich also als Ersatzhandlung ausweichen. Responsible Disclosure ist aber auch gesellschaftlich wichtig.
Obwohl es die CDU betrifft, der du kritisch gegenüber eingestellt bist?
Auch dann. Klar habe ich mich im ersten Moment gefreut über die schiere Datenmenge. Damit könnte man krassen Scheiß machen!
Hast du aber nicht.
Nein, ich habe den Großteil der Daten nicht mal abgerufen. Ich halte mich an den klassischen Hacker*innen-Grundsatz: Öffentliche Daten nützen, private Daten schützen. Für mich war also völlig klar, was ich jetzt mache: Ich dokumentiere die Lücke, schreibe eine E-Mail an das BSI und versuche den Hersteller, also die CDU, zu kontaktieren. Ich habe nie darüber nachgedacht, die Daten zu nutzen.
Vor Kurzem wurde das digitale Leben von Attila Hildmann veröffentlicht. 2016 diverse Daten von Menschen, die den AfD-Parteitag besucht haben. Wo verläuft da die Grenze? Was ist erlaubt und was nicht?
Die Frage ist, ob ein öffentliches Interesse an diesen Daten besteht. Das sehe ich bei Attila Hildmann schon.
Und bei der AfD?
Ich glaube, aus antifaschistischer Perspektive ist es okay, diese Leute in bestimmten Fällen zu outen. Bei der CDU hätte man natürlich genauso argumentieren können. Trotzdem war für mich relativ klar, dass ich das in dieser Situation nicht machen werde und dass es sich für mich sowohl politisch als auch persönlich besser anfühlt zu sagen: Ich bleibe bei meinem Grundsatz. Und um ehrlich zu sein, ich wüsste nicht, wie ich reagieren würde, wenn es eine AfD-App gewesen wäre. Es ist für mich als Antifaschistin ein Dilemma, vielleicht hätte ich anders entschieden.
Du hast nach der CDU-Anzeige gegen dich auf Twitter geschrieben, dass man die Daten der CDU vielleicht „mal befreien“ müsste, damit „sie es endlich lernen“. Das klang wütend.
Ich war an dem Tag sehr frustriert, weil die App wieder online gegangen ist, ohne dass alle Sicherheitslücken geschlossen worden sind. Ich wollte der CDU damit nur zeigen: Ich habe euch noch im Blick, bitte kümmert euch endlich. Ich habe auch nicht mehr nach weiteren Lücken gesucht. Ich bin durch mit der CDU.
Auch der CCC, also der Chaos Computer Club, hat bekanntgegeben, bei der CDU kein Responsible Disclosure mehr zu betreiben. Aber die Daten der Menschen sind doch weiterhin in Gefahr – und sie können nichts für das Verhalten der CDU.
Die CDU hat gezeigt, dass sie kein Interesse hat an zivilgesellschaftlicher Sicherheitsforschung. Die Partei hat mich angezeigt, um ihre Ruhe zu haben. Sie glaubt, dass das der richtige Weg ist. Das bedeutet aber im Umkehrschluss, ich kann Sicherheitslücken in ihren Systemen gar nicht mehr suchen und melden, sonst habe ich sofort wieder die Staatsanwaltschaft am Hals.
Die Ermittlungen wurden inzwischen eingestellt. Auf welchem Vorwurf basierte die Anzeige eigentlich?
Auf dem sogenannten Hacker-Paragraf 202 StGB. Der verbietet seit 2007 unter anderem, Sicherheitshürden durch das Hacken von Passwörtern oder aber durch selbstgeschriebene Programme zu überwinden.
Das hast du ja aber nicht gemacht.
Die Staatsanwältin hat das Verfahren eingestellt, weil sie zu der Meinung gelangt ist, dass ich keine Sicherheitshürden überwunden habe – weil die Daten eben nicht geschützt wurden und ich einfach nur ein technisches Problem gefunden habe. Mein Anwalt und ich waren trotzdem überrascht, denn es gab in Deutschland schon Fälle, in denen ganz anders entschieden wurde. Der Hacker-Paragraf ist ein totaler Gummiparagraf.
Das bedeutet, er tritt sowohl in Kraft, wenn man auf eine Lücke aufmerksam macht, als auch wenn man über diese Lücke Daten für kriminelle Zwecke absaugt.
Deswegen besitzen wir in Deutschland keine Kultur der Responsible Disclosure. In anderen Ländern gibt es sogar Belohnungen, wenn man Sicherheitslücken meldet. Da bekommt man manchmal 5.000 Euro. In Deutschland gibt es das nicht. In den Niederlanden gibt es T-Shirts, die man bekommt, auf denen dann steht, dass man eine Sicherheitslücke gefunden hat. Das finde ich niedlich. Wäre vielleicht auch für hier etwas. Aber in Deutschland ist nicht mal das Rechtssystem auf Responsible Disclosure ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke finde, eine Straftat. Ob das dann tatsächlich so angesehen wird, hängt aber vom technischen Verständnis und der Interpretation der Staatsanwaltschaft ab.
Welche Vorkehrungen treffen Hacker*innen, um möglichst wenige dieser Schwellen zur Kriminalität zu überschreiten?
Ich schaue nur so tief in Sachen rein, bis ich weiß, dass es eine Lücke gibt. Ich speicher so gut es geht keine Daten und dokumentiere jeden Schritt im Detail. Außerdem mache ich das alles nicht anonym. Ich verschleiere meine Identität nicht. Wenn ich mir bei einer App einen Account erstellen muss, gebe ich teilweise sogar meinen echten Namen an, nur um sicherzugehen. Das mache ich auch, wenn ich in andere Systeme reinschaue, um klarzustellen: Ich will euch nicht kaputt machen, ich will mich einfach etwas umsehen.
Fällst du damit nicht gelegentlich auf, bevor du wirklich loslegen kannst?
Bei der Suche nach Sicherheitslücken nicht, aber ich analysiere auch sehr gerne staatliche Infrastrukturen. Manche Behörden kennen mich deswegen auch schon und schreiben mir dann eine nette Mail.
Erinnerst du dich noch daran, was du als Erstes gehackt hast?
Das war eine total dumme Aktion: Ich war noch gut minderjährig und wir haben eine Website eines Pommesherstellers gehackt. Zu dem Zeitpunkt hatten sie dort eine Kampagne: „Pommes im Ofen – Zeit für Fritz“. In meinem Umfeld gab es einen Fritz und wir haben überall auf der Seite den Text geändert: „Fritz im Ofen – Zeit für Pommes“. Es ist total lächerlich und unpolitisch, aber es hat uns irre Spaß gemacht. Heute würde ich es aber trotzdem nicht mehr machen.
Mal politisch, mal albern, das ist auch der jährliche Kongress des Chaos Computer Clubs, der größte Hacker*innen-Kongress der Welt. Wegen Corona hat er 2020 nur digital stattgefunden. Vielleicht auch dieses Jahr. Wie schwer fällt dir diese Trennung von der Szene?
Natürlich ist das super traurig und ich habe Angst, dass irgendwann Strukturen kaputt gehen. Aber auf regionaler Ebene versuchen wir, uns gelegentlich zu sehen, egal ob Menschen aus dem CCC oder andere Hacker*innen. Ich bin in der Berliner Szene aber nicht so sehr verankert, weil ich bis zur Pandemie in Hamburg gewohnt habe. Und irgendwann habe ich mich auch einfach gefragt, ob so viel Vereinsleben eigentlich sein muss. Es hat ja doch auch immer etwas von Karnickelzüchterverein. Es ist die Frage, die viele Deutsche vermutlich kennen: Wie viel Verein kann ich in meiner Freizeit ertragen?
Und deine Freizeit ist ohnehin eher knapp, oder? Wenn du nicht gerade hackst, bist du trotzdem aktivistisch aktiv. Du warst auch zwei Monate lang im Hambi auf einem Baum.
Ich war zweimal einen Monat dort, weil mich die Bilder zu Anfang der Räumung so wütend gemacht haben, dass ich nicht anders konnte. Klar bin ich Aktivistin, denn wir haben Probleme. Wer in unserer Generation sieht das nicht? Natürlich ist es für mich keine Frage, ob es okay ist, diesen Wald zu besetzen und es RWE möglichst hart zu machen. Ich bin zwar nicht die Person, die auf Twitter akademische Diskurse über den Klimawandel führen kann, aber Klimaschutz ist mir unglaublich wichtig. Dafür gehe ich auf die Straße oder auf den Baum, dafür kommentiere ich im Livestream den Polizeieinsatz. Das war einfach eine Sache, die ich machen musste.
Sind deine Eltern stolz auf dich, weil du so bestimmt versuchst, die Welt zu verändern?
Ich habe keinen Kontakt zu meinen Eltern. Aber mein Freundeskreis findet es natürlich gut. Allerdings sind das auch alles Zecken.
Hackst du eigentlich auch beruflich?
Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im Wochenendabo. Und bei Facebook und Twitter.
Ich programmiere nicht sehr viel aktiv, sondern baue in der Regel freiberuflich Entwickler*innen-Teams auf. Ich bin eine Engineering Managerin. Meistens wenden sich Konzerne an mich, weil sie einen neuen Bereich aufbauen wollen. Und ich baue ihnen dann das Team. Früher habe ich auch beruflich Codes geschrieben, aber das mache ich jetzt nicht mehr, weil ich gemerkt habe, dass es mir tatsächlich besser geht, wenn ich mehr mit Menschen zu tun habe. Seitdem bastel ich auch wieder viel lieber in meiner Freizeit an Codes und hacke. Das hat wieder einen großen kreativen Aspekt für mich bekommen. Und ich muss nichts mehr programmieren, das halt irgendwie gerade in das System Kapitalismus passt.
Trotzdem bildest du Teams für große Konzerne.
Ja, aber die Menschen müssen dabei natürlich immer d’accord sein mit dem, was der Auftraggeber macht und wie er mit Menschen umgeht. Ich leite das Team dann, bis es mir wieder reicht mit dem Auftraggeber. Das dauert meistens zwischen fünf und sieben Monate. Ansonsten wäre ich emotional zu involviert und würde Krawall machen und anecken.
Dafür, dass du noch so jung bist, hast du schon in ganz schön vielen Bereichen gearbeitet. Wie kommt ’s?
Mit 16 habe ich die Schule abgebrochen und eine Ausbildung als Softwareentwicklerin gemacht. Mit 18 brauchte ich Kohle und habe angefangen zu freelancen. Und gemerkt: Da gibt es richtig viel Geld! Später habe ich ein eigenes kleines Unternehmen aufgebaut mit 20 Mitarbeitenden. Wir haben nur Aufträge angenommen, die wir moralisch vertretbar fanden. Bis ich die Hälfte der Firma verkauft habe, da hat es sich geändert. Für mich war dann sehr schnell klar, dass ich das nicht mehr mitmache, und ich bin wieder Freelancerin geworden. Es ist nicht mein Traumjob, aber ich bin super privilegiert, dass ich überhaupt so einen Job habe.
War die Zeit, in der du die Anzeige von der CDU bekommen hast, trotzdem besonders anstrengend für dich?
Sagen wir so: Ich habe nicht das erste Mal in meinem Leben Post von der Polizei bekommen. Aber ich wurde tatsächlich noch nie wegen Hacking angezeigt. Bis die CDU kam.
Links lesen, Rechts bekämpfen
Gerade jetzt, wo der Rechtsextremismus weiter erstarkt, braucht es Zusammenhalt und Solidarität. Auch und vor allem mit den Menschen, die sich vor Ort für eine starke Zivilgesellschaft einsetzen. Die taz kooperiert deshalb mit Polylux. Das Netzwerk engagiert sich seit 2018 gegen den Rechtsruck in Ostdeutschland und unterstützt Projekte, die sich für Demokratie und Toleranz einsetzen. Eine offene Gesellschaft braucht guten, frei zugänglichen Journalismus – und zivilgesellschaftliches Engagement. Finden Sie auch? Dann machen Sie mit und unterstützen Sie unsere Aktion. Noch bis zum 31. Oktober gehen 50 Prozent aller Einnahmen aus den Anmeldungen bei taz zahl ich an das Netzwerk gegen Rechts. In Zeiten wie diesen brauchen alle, die für eine offene Gesellschaft eintreten, unsere Unterstützung. Sind Sie dabei? Jetzt unterstützen
