Nach "Responsible Disclosure"
Lücke in CDUconnect-App: Partei stellt Strafanzeige gegen Aktivistin
Update: Die CDU macht einen Rückzieher.
Original-Eintrag: Mitten im Bundestagswahlkampf tanzt die CDU mit einer ungewöhnlichen Reaktion auf die gut gemeinte Meldung einer Sicherheitslücke in ihrer offiziellen CDUconnect-Applikation aus der Reihe.
Die Anwendung, die vor allem im lokalen Wahlkampf der Partei zum Einsatz kommt, dient zum Sammeln von Daten über potentielle Wähler und richtet sich an Partei-Helfer die klassischen Klinkenputzer-Wahlkampf machen.
Freier Zugriff auf zahlreiche persönliche Datensätze
Ordentlich gesichert waren die hier hinterlegten Personendaten allerdings nicht. Dies stellte die Digital-Aktivisten Lilith Wittmann des Chaos Computer Clubs fest, die sich bereits im Mai intensiv mit der iPhone-Applikation auseinandersetzt. Das Ergebnis der Prüfung: über die Anwendung waren die persönlichen Daten, E-Mail-Adressen und Fotos von über 18.000 Wahlkampfhelfern einsehbar. Zudem konnte auf mehr als 1000 Datensätze von CDU-Unterstützern zugegriffen werden.
Branchenüblich meldete Lilith Wittmann die von ihr entdeckte Sicherheitslücke an die Partei sowie das Bundesamt für Sicherheit in der Informationstechnik und den Berliner Datenschutzbeauftragten.
Anstatt sich für den Hinweis auf die ungeschützt im Netz zugänglichen Personendaten zu bedanken hat die CDU nun jedoch zu juristischen Keule gegriffen und einen Strafantrag gegen die Digital-Aktivistin gestellt.
Hey #Jurabubbel jemand zufällig Zeit für ein bisschen #cyber #Strafrecht? #cduconnect #dawareineHackerindrin
Und ja die #CDU hat genau so viel Ehre wie erwartet. pic.twitter.com/D3SZOFmHCr— Lilith Wittmann (@LilithWittmann) August 3, 2021
CCC meldet keine Sicherheitslücken mehr an CDU
Ein ungewöhnlicher Vorgang, auf den der Chaos Computer Club heute mit einer Pressemitteilung reagiert hat, die vor allem eine Botschaft beinhaltet: Deutschlands wichtigste Hacker-Vereinigung wird keine Sicherheitslücken mehr an die CDU melden und wünscht der Partei „viel Glück bei zukünftigen Schwachstellen“.
Zudem geht der Hacker-Club davon aus, dass zukünftige Schwachstellen in den Online-Angeboten der CDU nicht mehr über den regulären Responsible-Disclosure-Weg veröffentlicht werden, sondern anonym ins Netz schwappen dürften, ohne dass die Partei zuvor in Kenntnis gesetzt wird. Dies hätte man sich mit dem nicht nachvollziehbaren Verhalten verbaut.