# taz.de -- Aufdecken von IT-Sicherheitslücken: Der Botin gebührt Dank | |
> Wer Cyber-Sicherheitslücken aufdeckt, darf nicht bestraft werden, das | |
> Gegenteil sollte der Fall sein. Daran erinnert der Fall der CDU-App. | |
Bild: Wer Sicherheitslücken in der Wahl-App der CDU aufdeckt, wird angezeigt | |
Die Summen, die Unternehmen zahlen, weil kriminelle Angreifer:innen | |
Sicherheitslücken ausnutzen, steigen. [1][Gleichzeitig ermittelt ein | |
Landeskriminalamt gegen eine IT-Expertin, die verantwortungsvoll eine | |
Sicherheitslücke meldete.] Wie passt das zusammen? Natürlich gar nicht. | |
Dass es überhaupt zu diesen Ermittlungen kommt, ist ein Abgrund. | |
Die Expertin hatte die CDU auf eine gravierende Sicherheitslücke in deren | |
Wahlkampf-App hingewiesen, durch die persönliche Daten an Unbefugte geraten | |
konnten. [2][Zu Ermittlungen, über die zuerst das Portal netzpolitik.org | |
berichtet hat], kam es, weil die CDU Anzeige erstattet hatte. | |
Mittlerweile hat die Partei diese Anzeige zwar zurückgezogen – aber das | |
muss keineswegs das Ende der Ermittlungen bedeuten. Die Strategie, die die | |
CDU hier anwandte, ist bekannt und erprobt. Wenn jemand eine schlechte | |
Nachricht überbringt, unternimmt man nicht etwa etwas gegen die Ursache. | |
Man bestraft lieber die Botin. | |
Und da muss man sich fragen: Was hätte die CDU denn gewollt? Dass jemand | |
die Sicherheitslücke ausnutzt, die Daten abzieht und die Partei auffordert, | |
eine Million Euro in Bitcoins zu zahlen, bitte bis übermorgen? Kann sie | |
haben. Der Chaos Computer Club hat bereits angekündigt, falls er weitere | |
Sicherheitslücken in Systemen der CDU entdeckt, diese nicht an die Partei | |
zu melden. Damit besteht das Risiko, dass jemand anderes diese | |
Sicherheitsmängel auch entdeckt – und ausnutzt. | |
Das Problem liegt nicht alleine bei der CDU. Auch die Paragrafen, die | |
derartige Ermittlungen überhaupt ermöglichen, sind problematisch. Die | |
Regierungsparteien sind zudem seit Jahren nicht willens, einen guten Schutz | |
von Whistleblower:innen zu beschließen. Der könnte aber dazu | |
beitragen, dass auf Sicherheitsprobleme in Unternehmen frühzeitig | |
hingewiesen wird. | |
Ob wir dagegen eines Tages Ermittlungen und dann mindestens mal ein | |
saftiges Bußgeld gegen eine Partei sehen, die aufgrund einer | |
Sicherheitslücke persönliche Daten mehrerer Tausend Menschen schutzlos | |
ließ? Darauf sollte man besser nicht wetten. | |
5 Aug 2021 | |
## LINKS | |
[1] https://twitter.com/LilithWittmann/status/1422546380275556352 | |
[2] https://netzpolitik.org/2021/cdu-connect-berliner-lka-ermittelt-gegen-it-ex… | |
## AUTOREN | |
Svenja Bergt | |
## TAGS | |
Internet | |
Kriminalität | |
Datenschutz | |
Cybersicherheit | |
Cyberkriminalität | |
CDU/CSU | |
CDU | |
Schwerpunkt Brexit | |
Dokumentarfilm | |
Cyberkriminalität | |
Funke Mediengruppe | |
## ARTIKEL ZUM THEMA | |
EU-Regeln zum Datenschutz: Großbritannien will raus | |
Nach dem Brexit scheint nun der Exit aus der EU-Datenschutzgrundverordnung | |
bevorzustehen. Schon hat London neue Partnerländer im Visier. | |
Doku über den Chaos Computer Club: Komputer und Lederhose | |
Die Dokumentation „Alles ist eins. Außer der 0“ erzählt die Geschichte des | |
Chaos Computer Clubs. Er liefert starkes Bild- und Tonmaterial. | |
Statistik zu Kriminalität im Internet: BKA registriert mehr „Cybercrime“ | |
Die Zahl krimineller Hackerangriffe stieg 2020 in Deutschland um etwa acht | |
Prozent. Die Täter:innen agierten laut Behörden zunehmend professionell. | |
Hackerangriff auf Funke Mediengruppe: Kritische Infrastruktur | |
Eine Cyberattacke blockiert seit sechs Tagen die Zeitungen des Essener | |
Verlags Funke. Die Behörden stufen den Fall als besonders heikel ein. |