iphone-ticker.de — Alles zum iPhone. Seit 2007. 37 053 Artikel

Nach "Responsible Disclosure"

Lücke in CDUconnect-App: Partei stellt Strafanzeige gegen Aktivistin

Artikel auf Mastodon teilen.
69 Kommentare 69

Update: Die CDU macht einen Rückzieher.

Original-Eintrag: Mitten im Bundestagswahlkampf tanzt die CDU mit einer ungewöhnlichen Reaktion auf die gut gemeinte Meldung einer Sicherheitslücke in ihrer offiziellen CDUconnect-Applikation aus der Reihe.

Cdu Connect 1400

Die Anwendung, die vor allem im lokalen Wahlkampf der Partei zum Einsatz kommt, dient zum Sammeln von Daten über potentielle Wähler und richtet sich an Partei-Helfer die klassischen Klinkenputzer-Wahlkampf machen.

Freier Zugriff auf zahlreiche persönliche Datensätze

Ordentlich gesichert waren die hier hinterlegten Personendaten allerdings nicht. Dies stellte die Digital-Aktivisten Lilith Wittmann des Chaos Computer Clubs fest, die sich bereits im Mai intensiv mit der iPhone-Applikation auseinandersetzt. Das Ergebnis der Prüfung: über die Anwendung waren die persönlichen Daten, E-Mail-Adressen und Fotos von über 18.000 Wahlkampfhelfern einsehbar. Zudem konnte auf mehr als 1000 Datensätze von CDU-Unterstützern zugegriffen werden.

Branchenüblich meldete Lilith Wittmann die von ihr entdeckte Sicherheitslücke an die Partei sowie das Bundesamt für Sicherheit in der Informationstechnik und den Berliner Datenschutzbeauftragten.

Anstatt sich für den Hinweis auf die ungeschützt im Netz zugänglichen Personendaten zu bedanken hat die CDU nun jedoch zu juristischen Keule gegriffen und einen Strafantrag gegen die Digital-Aktivistin gestellt.

CCC meldet keine Sicherheitslücken mehr an CDU

Ein ungewöhnlicher Vorgang, auf den der Chaos Computer Club heute mit einer Pressemitteilung reagiert hat, die vor allem eine Botschaft beinhaltet: Deutschlands wichtigste Hacker-Vereinigung wird keine Sicherheitslücken mehr an die CDU melden und wünscht der Partei „viel Glück bei zukünftigen Schwachstellen“.

Zudem geht der Hacker-Club davon aus, dass zukünftige Schwachstellen in den Online-Angeboten der CDU nicht mehr über den regulären Responsible-Disclosure-Weg veröffentlicht werden, sondern anonym ins Netz schwappen dürften, ohne dass die Partei zuvor in Kenntnis gesetzt wird. Dies hätte man sich mit dem nicht nachvollziehbaren Verhalten verbaut.

04. Aug 2021 um 12:18 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    69 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    • Es darf bezweifelt werden, ob der Sachbearbeiter eine Mail mit rechtsverbindlichem Charakter versandt hat. Wirkt jedenfalls nicht professionell, wenn ein Behördenvertreter keine Anschrift recherchieren kann.

      • PayPals Inkasso hat meine Adresse auch nicht ermittelt. Pech gehabt.

      • Macht nichts. Eine Behörde könnte jetzt (also mal hypothetisch undim begründeten Fall) Deine Verbindungsdaten von ifun einfordern, ggf. Deinem VPN Anbieter und dann bekommst Du Deine Post auch bald. Kein Problem.

      • Sachbearbeiter=gehobener Diener=sollte studiert haben=na dann gute Nacht

  • CDU…der Verein, der nix mehr rafft was Themen wie Internet, Apps und Co. angeht.

    • Alleine die Weigerung aller Regierungen (egal ob rot, grün blau, violett oder sonstwas) mit dem CCC oder wie beispielsweise Netzpolitik.org zusammen zu arbeiten zeigt doch dass hier Angst vor Aufdeckung besteht. Es ist wie überall : die Leute, die wirklich Ahnung haben werden nicht gehört und die „bla bla bla“-Leute machen sich wichtig.

    • Eindeutig. So kann man sich die Sympathien der nicht mehr ganz jungen Wählerschaft auch wundervoll verspielen

      • Welche Sympathien verspielen? Gab es für informierte junge Menschen jemals ein Grund CDU zu wählen?

      • Und was wählst du dann bitte? Grün? Links? Dann solltest du mal besser deren „Programme“ mal lesen…

        Neuland hin oder her – eine stabile Wirtschaft ernährt dich …
        Aber denken und so…

      • Hat dein Vater auch schon cdu oder fdp gewählt? Wenn es schon immer so war, dann mach das bitte genauso. Never touch a running system. Nooot.

  • Genau so. Wie sieht es denn mit der Haftung in so einem Fall laut DSGVO?

    Ich hoffe sie haben das auch gemeldet und nicht nur den Mangel stillschweigend abgestellt.

  • Am besten die CDU mal wegen dem nicht-schützen der persönlichen Daten.
    Gibt da die DSGVO was her?

    • vermutlich reagieren sie deswegen so..
      Angriff ist die beste Verteidigung ;)

      • Scheint so.
        Ich hatte vor einiger Zeit (bereits zu DSGVO-Zeiten) ein Problem mit Vodafone. Ich bekam Rechnungen von einer anderen Person, die allerdings genau den gleichen Namen wie ich hat, und auch im selben Ort wohnt.
        Das Problem zu schildern (Hotline) war sehr anstrengend.
        Bis ich dann irgendwann mal den Datenschutzbeauftragten von VF am Telefon hatte. Dieser meinte dazu dann, „warum ich da so ein Fass aufmachen“ würde.
        Am nächsten Tag rief er erneut an, um sich zu entschuldigen.
        Erstmal rumpöbeln und von dem Problem ablenken…

    • Ich bin selbst DSB und ja, das wird für die CDU rechtliche Folgen haben. Der Strafantrag war ein Eigentor. Gönne ich diesem Drecksverein aber auch ordentlich…

  • Immer wieder faszinierend. Frage mich manchmal, wer sowas anordnet, der oder die Person muss doch klar sein, dass man als Partei dann nur noch schlimmer da steht. Selbst wenn dort alle Entscheidungsträger Ü60 sind, sollten die doch was merken oder?

  • Richtiges Eigentor. Ich ie kann man so engstirnig und kurzsichtig handeln?

  • Da ist die Digitalkompetenz der CDU schön zu sehen. Nicht. #neuland

  • Ja wie immer halt, nicht das selbstgemachte Problem angehen, sondern andere beschuldigen und in Bedrängnis bringen.

    Die kann man nicht mehr ernst nehmen!

  • Oh oh, der Schuss geht nach hinten los. Da zeigt sich wieder mal wieviel digitale Kompetenz die CDU hat.

  • Tja, wenn der CCC die CDU wegen dem Datenschutzverstoß anzeigt, wird es wohl ein interessantes Kräftemessen. Wenn die nicht gerade CDU-hörige Richter bekommen, gehts sicher zugunsten des CCC aus.
    Andererseits ist diese Reaktion so typisch CDU, dass alles andere eher verwundert hätte.

  • Die CDU passt sich mehr und mehr ihrem Vorsitzenden an und wird nach dessen Vorbild zur Lachnummer. Wer Clown liebt, kann sie dann auch wählen

  • Schreibt doch direkt mal einfach mal eurem CDU Abgeordneten:

    Die Kontaktadressen findet ihr im Internet.

    Sehr geehrter Herr Biadacz,

    wenn ich solche Nachrichten in der Presse lese, fällt mir zunehmend die Entscheidung schwer bzw. macht es mir unmöglich die CDU zu wählen.
    Die CDU macht die gleichen Fehler wie die Grünen bei den, Annalena Baerbock‘s Plagiatsvorwürfen.
    Erst mal juristisch vorzugehen bevor man Fehler einräumt.
    CDU nicht lernfähig.

    Lücke in CDUconnect-App: Partei stellt Strafanzeige gegen Aktivistin
    https://www.iphone-ticker.de/luecke-in-cduconnect-app-partei-stellt-strafanzeige-gegen-aktivistin-177894/

  • Ich glaube mich knutscht ein „e CDU“ähh Elch.
    Wissen die überhaupt was sie selbst fordern?
    Typisch das zeigt es sich wieder mal das sie nicht wissen was sie tun.

  • Hier sehe ich die Mitschuld am ‚Befragten‘. Wenn er seine Daten her gibt…

      • Schon klar. Du bist natürlich nicht schuld, wenn du denen deine Daten gibst. Ich kann dieses Gejammer nicht mehr hören.

      • Du darfst sehr wohl erwarten, dass sich eine Stelle, FÜR DIE DU ARBEITEST (Wahlkampfhelfer!), mit deinen Daten sorgfältig umgeht. Mal ganz abgesehen davon, dass die CDU per Gesetz verpflichtet ist, das zu tun. Die DSGVo ist keine Handlungsempfehlung, sondern Pflicht.

      • @Bob, von der ‚Stelle‘ erwarte ich natürlich die ‚korrekte‘ Verarbeitung bzw. ‚Verschwiegenheit‘ meiner Daten, wenn ich sie denn denen gebe. Der Punkt ist aber doch, keiner MUSS.

      • Selbstverständlich ist das ein Muss. Die DSGVO ist bindend, auch für die CDU. Das ist eine in deutsches Recht umgesetzte EU-Verordnung, also Gesetz in Deutschland. Wie kommst Du darauf, das die korrekte Behandlung von Daten kein MUSS sei?

  • Teilt doch alle den Originalbeitrag auf Facebook…ich habe das sofort in allen von mir genutzten Kanälen verteilt.

  • Was will man auch von einer Partei der ewig gestrigen erwarten?

  • Upps, ich dachte das ist hier ein Apple-Forum und kein politisches.

  • Für den typische CDU Wähler reicht leider die Info: „Wir wurden gehackt, böse böse.“

  • Jean-Jacques Chabérnàque

    Hat die CDU als Partei diese App programmiert oder eine beauftragte Firma? Frage nur wer hier hamdwerklich zu belangen ist. Meiner Ansicht nach nicht die Partei, egal welcher Couleur.

    • Eine von Parteimitgliedern gegründete Firma:

      „Diese App wurde von der Agentur PXN GmbH entwickelt. Eine Agentur, die sich auf “Digital Campaign Strategies” spezialisiert und von CDU-Mitgliedern gegründet wurde. Die haben die App nicht nur an die CDU verkauft sondern auch and die CSU und die österreichische Volkspartei.“

      [https://lilithwittmann.medium.com/wenn-die-csu-und-die-volkspartei-digitalen-wahlkampf-machen-6d9e245efefc]

    • Die DSGVO ist da eindeutig. Die CDU sammelt und verwertet die Daten, also ist sie verantwortlich!
      Die CDU hat sogar die Verpflichtung die App auf Schwachstellen zu prüfen.

      Mich würde zudem interessieren wie hier die Daten erfasst wurden und ob die „potentiellen CDU- Wähler“ überhaupt wissen, dass sie in dieser Datenbank stehen und über ihre Rechte aufgeklärt wurden.

  • Ich gehe davon aus, dass es keine Bürokraft war, die entschieden hat, Anzeige zu erstatten. Des weiteren gehe ich davon aus, dass der Vorgang erst nach Rücksprache mit (Fach-) Anwälten ausgeführt wurde. Könnte es also sein, dass das Ganze sich nicht so abgespielt hat, wie es dargestellt wurde? Ich finde, es wird oft viel zu schnell Partei für die eine oder andere Seite ergriffen, ohne die genauen Hintergründe zu kennen. Weil sie z.B. noch nicht vollumfänglich bekannt sind.

    • Selbst ohne die Gesamte Aktenlage zu kennen stellt sich der Fall wie Folgt dar: Eine IT-Security Forscherin schaut sich die App der CDU an. Findet innerhalb eines Nachmittags gravierende Scheunentor große Schwachstellen die noch nichtmal ein 6. Klässler nach der 3 Informatik Stunde gemacht hätte. Eine API offen ins Netz zu stellen, nicht zu Rate Limiten, ohne Rollenprüfung, Ohne Zugangslimitation, das ganze dann nur im UI der React-Native App in der Anzeige gefiltert darzustellen macht man nicht. Das weiß einfach jeder der Programme entwickelt. Punkt.

      Freundlich, wie sie ist, Nutzt sie die Schwachstellen, die sie gefunden hat nicht aus. Verkauft sie auch nicht an die Russen die ja immer die Wahl hacken, sondern Meldet diese Vertraulich an die CDU, das BSI und den Datenschutzbeauftragten um darauf hin zu wirken, dass diese Schwachstellen geschlossen werden.

      Der CDU fällt darauf hin nichts besseres ein als Strafanzeige zu erstatten. Und das bei der Partei mit der nach eigener Aussage größten Digitalkompetenz.

  • In dieser Zeit bekomme ich die meiste Körperertüchtigung durch schütteln meines Kopfes. Das Lesen dieses Artikels hat heute kräftig dazu beigetragen. CDU = Clowns Der Urzeit?

  • Habe den Artikel Dr. Roy Kühne von der CDU weitergeleitet über den Messenger. Mal schauen ob eine Antwort kommt

  • Conchita Tufuwurst

    Liebe CDU, dank eurer Digitalkompetenz ist Deutschland ein digitales Entwicklungsland. Ihr solltet wie die meisten Behörden in Deutschland beim Fax bleiben. Dann ist die einzige Möglichkeit gehackt zu werden wenn euch jemand das Faxpapier oder den Toner klaut. :-)

  • Wurde grad im Radio drüber berichtet. Das Thema hat es also gerechterweise in die breite Öffentlichkeit geschafft. Anzeige wurde zurückgenommen, als Fehler bezeichnet und bei der Hackerin wurde sich entschuldigt.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37053 Artikel in den vergangenen 6020 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven