Aufdecken von IT-Sicherheitslücken: Der Botin gebührt Dank

Wer Cyber-Sicherheitslücken aufdeckt, darf nicht bestraft werden, das Gegenteil sollte der Fall sein. Daran erinnert der Fall der CDU-App.

Ein Mann trägt Handschuhe und tippt auf einer Tastatur, deren Buchstaben rot leuchten

Wer Sicherheitslücken in der Wahl-App der CDU aufdeckt, wird angezeigt Foto: Nicolas Armer/dpa

Die Summen, die Unternehmen zahlen, weil kriminelle An­grei­fe­r:in­nen Sicherheitslücken ausnutzen, steigen. Gleichzeitig ermittelt ein Landeskriminalamt gegen eine IT-Expertin, die verantwortungsvoll eine Sicherheitslücke meldete. Wie passt das zusammen? Natürlich gar nicht. Dass es überhaupt zu diesen Ermittlungen kommt, ist ein Abgrund.

Die Expertin hatte die CDU auf eine gravierende Sicherheitslücke in deren Wahlkampf-App hingewiesen, durch die persönliche Daten an Unbefugte geraten konnten. Zu Ermittlungen, über die zuerst das Portal netzpolitik.org berichtet hat, kam es, weil die CDU Anzeige erstattet hatte.

Mittlerweile hat die Partei diese Anzeige zwar zurückgezogen – aber das muss keineswegs das Ende der Ermittlungen bedeuten. Die Strategie, die die CDU hier anwandte, ist bekannt und erprobt. Wenn jemand eine schlechte Nachricht überbringt, unternimmt man nicht etwa etwas gegen die Ursache. Man bestraft lieber die Bo­tin.

Und da muss man sich fragen: Was hätte die CDU denn gewollt? Dass jemand die Sicherheitslücke ausnutzt, die Daten abzieht und die Partei auffordert, eine Million Euro in Bitcoins zu zahlen, bitte bis übermorgen? Kann sie haben. Der Chaos Computer Club hat bereits angekündigt, falls er weitere Sicherheitslücken in Systemen der CDU entdeckt, diese nicht an die Partei zu melden. Damit besteht das Risiko, dass jemand anderes diese Sicherheitsmängel auch entdeckt – und ausnutzt.

Das Problem liegt nicht alleine bei der CDU. Auch die Paragrafen, die derartige Ermittlungen überhaupt ermöglichen, sind problematisch. Die Regierungsparteien sind zudem seit Jahren nicht willens, einen guten Schutz von Whist­leb­lo­wer:­in­nen zu beschließen. Der könnte aber dazu beitragen, dass auf Sicherheitsprobleme in Unternehmen frühzeitig hingewiesen wird.

Ob wir dagegen eines Tages Ermittlungen und dann mindestens mal ein saftiges Bußgeld gegen eine Partei sehen, die aufgrund einer Sicherheitslücke persönliche Daten mehrerer Tausend Menschen schutzlos ließ? Darauf sollte man besser nicht wetten.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Ihre inhaltlichen Schwerpunkte sind Themen aus dem Bereich Netzökonomie und Verbraucherschutz. Zuvor hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de