Angeblich nicht beabsichtigt
Nach Sicherheitslücke in Partei-App: CDU zieht Anzeige zurück
Es gibt ein Update zu unserer Meldung „Lücke in CDUconnect-App: Partei stellt Strafanzeige gegen Aktivistin“. Ganz offensichtlich hat man bei der Regierungspartei kalte Füße bekommen und versucht zu retten, was noch zu retten ist. Die CDU will nun Glauben machen, dass es sich bei der Angelegenheit um ein bedauerliches Missverständnis handelt.
Unsere Anzeige richtet sich NICHT gegen das Responsible Disclosure Verfahren von Lilith Wittmann. RD-Verfahren sind ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen. Ich halte diese Verfahren für einen wichtigen Baustein, um IT-Sicherheit zu erhöhen. (2/5)
— Stefan Hennewig (@StefanHennewig) August 4, 2021
Der Bundesgeschäftsführer der CDU Stefan Hennewig bringt mit einem Twitter-Post zum Ausdruck, dass sich die Strafanzeige nicht gegen die Computerexpertin Lilith Wittmann richte. Vielmehr habe man man damit gegen eine Veröffentlichung personenbezogener Daten durch Dritte sowie verfrühten öffentlichen Hinweisen auf die Sicherheitslücke vorgehen wollen.
Die Computerexpertin zeigt sich davon allerdings wenig beeindruckt. In einer gegenüber dem Magazin Spiegel abgegebenen Erklärung macht Wittmann deutlich, dass sie die Reaktion der Partei keineswegs glaubhaft findet: „Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz“.
CDUconnect-Schwachstelle zum Nachlesen
Die Geschichte um die Schwachstelle, die nicht nur die Connect-App der CDU, sondern auch die CSU-App und die iPhone-Anwendung der österreichischen Volkspartei betraf, lässt sich unterhaltsam in einem Blog-Beitrag von Lilith Wittmann nachlesen. Pikanterweise wurde die für die Entwicklung der Apps verantwortlich zeichnende Agentur von CDU-Mitgliedern gegründet.
Alle drei Apps boten mehr oder weniger ungeschützt nicht nur Zugang zu personenbezogenen Daten, sondern boten auch Zugriff auf das damit verbundene Administrations-Backend. In der Folge konnten sich Hacker auch selbst zum Administrator der CDU-Apps machen und diesen Zugang zum Versand offiziell erscheinender E-Mails nutzen.
Wittmann dürfte sich nicht nur durch ihre Enthüllungen, sondern besonders auch durch ihre damit verbundene Kritik in Kreisen der Unionsparteien unbeliebt gemacht haben:
Das hat jetzt nichtsmehr mit Unfähigkeit zu tun, sondern das ist Vorsatz. Sowohl der Agentur als auch der CSU/Volkspartei muss bekannt gewesen sein, dass die Sicherheitslücken auch in diesen Apps bestanden. …
Aber eigentlich steht genau dieses Verhalten auch sinnbildlich für die Digital-Politik der CDU: “Einfach weiter machen, obwohl alle wissen, das es so nicht geht”. Egal ob bei Uploadfiltern, Staatstrojanern oder der Verwaltungsdigitalisierung.