Aufdecken von IT-Sicherheitslücken: Der Botin gebührt Dank
Wer Cyber-Sicherheitslücken aufdeckt, darf nicht bestraft werden, das Gegenteil sollte der Fall sein. Daran erinnert der Fall der CDU-App.
D ie Summen, die Unternehmen zahlen, weil kriminelle Angreifer:innen Sicherheitslücken ausnutzen, steigen. Gleichzeitig ermittelt ein Landeskriminalamt gegen eine IT-Expertin, die verantwortungsvoll eine Sicherheitslücke meldete. Wie passt das zusammen? Natürlich gar nicht. Dass es überhaupt zu diesen Ermittlungen kommt, ist ein Abgrund.
Die Expertin hatte die CDU auf eine gravierende Sicherheitslücke in deren Wahlkampf-App hingewiesen, durch die persönliche Daten an Unbefugte geraten konnten. Zu Ermittlungen, über die zuerst das Portal netzpolitik.org berichtet hat, kam es, weil die CDU Anzeige erstattet hatte.
Mittlerweile hat die Partei diese Anzeige zwar zurückgezogen – aber das muss keineswegs das Ende der Ermittlungen bedeuten. Die Strategie, die die CDU hier anwandte, ist bekannt und erprobt. Wenn jemand eine schlechte Nachricht überbringt, unternimmt man nicht etwa etwas gegen die Ursache. Man bestraft lieber die Botin.
Und da muss man sich fragen: Was hätte die CDU denn gewollt? Dass jemand die Sicherheitslücke ausnutzt, die Daten abzieht und die Partei auffordert, eine Million Euro in Bitcoins zu zahlen, bitte bis übermorgen? Kann sie haben. Der Chaos Computer Club hat bereits angekündigt, falls er weitere Sicherheitslücken in Systemen der CDU entdeckt, diese nicht an die Partei zu melden. Damit besteht das Risiko, dass jemand anderes diese Sicherheitsmängel auch entdeckt – und ausnutzt.
Das Problem liegt nicht alleine bei der CDU. Auch die Paragrafen, die derartige Ermittlungen überhaupt ermöglichen, sind problematisch. Die Regierungsparteien sind zudem seit Jahren nicht willens, einen guten Schutz von Whistleblower:innen zu beschließen. Der könnte aber dazu beitragen, dass auf Sicherheitsprobleme in Unternehmen frühzeitig hingewiesen wird.
Ob wir dagegen eines Tages Ermittlungen und dann mindestens mal ein saftiges Bußgeld gegen eine Partei sehen, die aufgrund einer Sicherheitslücke persönliche Daten mehrerer Tausend Menschen schutzlos ließ? Darauf sollte man besser nicht wetten.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Vorsicht mit psychopathologischen Deutungen
Kochen für die Familie
Gegessen wird, was auf den Tisch kommt
Angriffe auf Neonazis in Budapest
Ungarn liefert weiteres Mitglied um Lina E. aus
Insolventer Flugtaxi-Entwickler
Lilium findet doch noch Käufer
Polizeigewalt gegen Geflüchtete
An der Hamburger Hafenkante sitzt die Dienstwaffe locker
Lohneinbußen für Volkswagen-Manager
Der Witz des VW-Vorstands