Ein Gastbeitrag von Aaron Clark
Am fünften August gab es so etwas wie eine kleine Premiere in der Rangliste der 50 am meisten auf Facebook und Twitter geteilten Artikel von 10000flies.de: Auf Platz eins befand sich dort ein Statement des Chaos Computer Club, kurz CCC. Inhalt des Statements: Aufgrund der Reaktion der größten deutschen Volkspartei auf die Meldung einer Sicherheitslücke in ihrer Wahlkampf-App „connect“ wolle man in Zukunft keine Schwachstellen mehr an die CDU melden. Diese Ansage ist im IT-Sicherheitsgeschäft zweifellos ein ziemlicher Schlag ins Gesicht – die Erklärung dafür offenbart allerdings ein Gebaren der Christdemokratischen Digital-Untoten, das mit einem Tritt in tiefer liegende Körperregionen noch recht wohlwollend umschrieben ist.
App in den Wahlkampf
Zur Koordinierung von Haustürgesprächen während ihres Wahlkampfes bedient sich die CDU seit 2017 einer App, in der Daten von hunderttausenden besuchten Personen erfasst und ausgewertet werden – z.B. der Ort, Altersgruppe und Geschlecht (tatsächlich gibt es in dieser App lediglich die zwei Alternativen Frau und Mann), die Einstellung zur CDU und das Top-Thema des Gesprächs. Zusätzlich speichert die App Informationen von derzeit knapp 17.000 Wahlkampfhelfern und weiteren Unterstützern, darunter Geburtsdaten und Adressen, Fotos, Interessen und Facebook-Tokens (eine Art Zugriffsschlüssel). Anhand der Fülle dieser Daten und der Möglichkeit des Rückschlusses auf eine bestimmte Person auch ohne genauere Angaben muss natürlich gewährleistet sein, dass diese App die erhobenen Daten in einer doppelt und dreifach abgesicherten Datenbank speichert, um den Zugriff durch unberechtigte Dritte weitestgehend unmöglich zu machen.
Offen wie ein Scheunentor
Genau das war hier allerdings nicht der Fall. Bereits Anfang Mai wird die Hamburger Softwarearchitektin und CCC-Aktivistin Lilith Wittmann durch einen Tweet auf die connect-App aufmerksam, der die Frage nach dem Datenschutz zum Gegenstand hat. Die CDU antwortet seinerzeit wortreich, dass die App von mehreren Datenschutz-Aufsichtsbehörden überprüft wurde und zusätzlich im Bericht „Datensicherheit und Datenschutz von Wahlkampf-Apps“ – einem Gemeinschaftsprojekt des mdr und der Hochschule Mittweida – positiv besprochen wird. Damit ist Lilith Wittmanns Interesse geweckt. Auf Ihrem Blog beschreibt sie explizit, wie sie im Anschluss an die Inbetriebnahme der App aufgrund des Fehlens gängiger Sicherheitsmechanismen ohne großen Aufwand auf die Programmierschnittstelle und schließlich auch auf die in der Datenbank abgelegten Informationen zugreifen kann. Hier ein Beispiel für einen solchen Datensatz mit Top-Thema und Personendaten: „Bundeskanzler soll ein Mann sein und keine links-grün-versiffte Frau.“ – 50+ jährige Frau aus Göttingen. „Diese sensiblen Daten und die politische Meinung zu erfassen, ohne sich Gedanken zu machen, wie man sie schützt, ist schon unverantwortlich“, sagt Wittmann in einem Interview mit der Süddeutschen. „Offenbar hat die CDU wirklich null Verständnis für IT-Sicherheit.“
Das Prinzip der verantwortungsvollen Offenlegung
Am Abend des 11. Mai reicht Wittmann ihre Funde als sog. „Responsible Disclosure“ beim Bundesamt für Sicherheit in der Informationstechnik BSI ein – zeitgleich kontaktiert sie die Berliner Datenschutzbeauftragte und den Datenschutz der CDU. Dieses Prinzip der verantwortungsvollen Offenlegung erlaubt es den Entwicklern, eine Sicherheitslücke in einem angemessenen Zeitraum zu beheben, bevor diese komplett öffentlich gemacht wird. Damit wird einerseits der notwendige Druck auf die Entwickler aufgebaut, tätig zu werden, andererseits ruft man auf diese Weise die ohnehin zuhauf in den Startlöchern stehenden Cyberkriminellen nicht bereits während des noch akuten Sicherheitsproblems auf den Plan. Ein Vorgang, von dem auch CDU-Kanzlerkandidat Armin Laschet bei seinem ProSieben-Interview Mitte Mai augenscheinlich keinen blassen Schimmer hat, als er Lilith Wittmann einfältig eine „Hackerin“ nennt.
Erst Hui und dann Pfui
Sie selbst beschreibt die am Mittag des 12. Mai getroffene Entscheidung der CDU, die App vorsorglich offline zu nehmen, als vorbildlich. Erst zu diesem Zeitpunkt fertigt sie ihren Blogeintrag an. Abgesehen davon, dass ihre Nachforschungen einen Tag später die gleichen Sicherheitslücken auch in den technisch identisch aufgebauten Wahlkampf-Apps der CSU und der österreichischen Volkspartei zutage fördern – für die ebenfalls die von CDU-Mitgliedern gegründete und auf „Digital Campaign Strategies“ spezialisierte PXN GmbH verantwortlich zeichnet – geht der Tanz jetzt erst so richtig los. CDU-Bundesgeschäftsführer Stefan Hennewig meldet sich bei Wittmann und bietet ihr zunächst einen Job als Sicherheitsberaterin an – den sie aufgrund ihres zivilgesellschaftlichen Engagements und ihrer Haltung zur CDU allerdings ablehnt. Offensichtlich ist der gute Mann daraufhin ein wenig eingeschnappt, denn nun spricht er plötzlich davon, Lilith Wittmann anzeigen zu wollen – und tatsächlich flattert ihr trotz anschließender mehrmonatiger Funkstille Anfang August ein Ermittlungsverfahren des Berliner LKA ins Haus.
Fadenscheinig klein beigegeben
Wittmann macht das Ermittlungsverfahren zusammen mit einer Bitte um juristische Unterstützung umgehend auf Twitter öffentlich, ihr Tweet wird fast 1800-mal geteilt und knappe 6500-mal mit „Gefällt mir“ versehen. Daraufhin rutscht der CDU offensichtlich das Resthirn in die Hose, denn gleich am nächsten Tag meldet sich Stefan Hennewig erneut bei ihr und bittet sie für die fälschliche Nennung ihres Namens in der Anzeige um Entschuldigung: Wie er auf Twitter erklärt, habe sich die Anzeige nicht gegen sie und das Responsible-Disclosure-Verfahren gerichtet, sondern gegen die angebliche Veröffentlichung personenbezogener Daten durch Dritte sowie gegen die Veröffentlichung von Hinweisen auf die Sicherheitslücke vor der Information an die CDU. Er habe daher die Anzeige gegen Wittmann beim LKA zurückgezogen. In einem Interview für den Spiegel sagt sie dazu: „Mir erst mit einer Anzeige drohen, weil ich keinen Beratungsvertrag mit ihnen wollte, und dann wegen des öffentlichen Drucks zurückziehen, finde ich einen schlechten Witz.“ Sie habe aufgrund des Unverständnisses der CDU für die digitale Welt allerdings genau so ein Verhalten erwartet. „Wenn ich jemanden versehentlich anzeige, dann riskiere ich, dass bei dieser Person eine Hausdurchsuchung stattfindet und dass ihr Gewalt angetan wird“, fügt sie auf Zeit Online hinzu. Dabei hält Wittmann die Anzeige gegen sie für alles andere als ein Versehen, sondern für Kalkül. Obwohl der Ausgang des Ermittlungsverfahrens derzeit noch offen ist, trägt den mit Abstand größten Schaden dieser Affäre die CDU selbst – abgesehen vom Eingeständnis digitaler Inkompetenz und einem massiven Vertrauensverlust wird sie auf gefühlt jedem halbwegs bedeutenden Nachrichtenportal mit Spott und Hohn überzogen.
IT-Recht-Update dringend gesucht!
Lilith Wittmanns Einschätzung nach müsse eine ernsthafte Förderung von Sicherheitsforschung unweigerlich mit einer Änderung insbesondere des Paragraphen 202c StGB einhergehen, denn die aktuelle Formulierung kriminalisiert bereits die Vorbereitung des Ausspähens und Abfangens von Daten – so dass sich bereits strafbar macht, wer genau jene Programme herstellt oder sich verschafft, die zum täglichen Brot eines IT-Sicherheitsexperten gehören. Der CCC hat bereits 2008 in einer Stellungnahme an das Bundesverfassungsgericht darauf hingewiesen, dass „die Kriminalisierung des Umgangs mit Schadsoftware durch den Paragraphen 202c zu einer verschlechterten Situation für die IT-Sicherheit in Deutschland führt“. Auch eine Konkretisierung durch das BVerfG von 2009, die „ethische Hacker“ im Grunde von der Strafbarkeit ausnimmt, schafft hier keinen ausreichenden Schutz – die Paragraphen 202a und 202b setzen für sich genommen schon den Anreiz, Sicherheitsforschung gar nicht erst zu betreiben. Der Jurist und Vorsitzende der Gesellschaft für Freiheitsrechte Ulf Buermeyer sagt dazu: „Es fehlt an der goldenen Brücke in die Legalität für White-Hat-Hacking.“ Auf eine aus seiner Sicht erforderliche Norm, die Straffreiheit für Responsible Disclosure verspricht, wird man mit einer CDU-geführten Regierung allerdings wohl noch warten müssen, bis Elon und Jeff wieder vom Mars zurück sind.
Namentlich gekennzeichnete Beiträge geben immer die Meinung des Autors wieder, nicht meine. Ich schätze meine Leser als erwachsene Menschen und will ihnen unterschiedliche Blickwinkel bieten, damit sie sich selbst eine Meinung bilden können.
Aaron Clark lebt in Berlin, schreibt unter Pseudonym und ist seit 2020 begeisterter Leser von reitschuster.de. (Das ist kein Eigenlob, genau diese Worte hat er mir als Autorenzeile übermittelt).Bild:
Text: Gast