# taz.de -- Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich… | |
> Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App | |
> Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre. | |
Bild: Wenn sie nicht gerade hackt, ist Lilith Wittmann gerne draußen. Hier sit… | |
taz am wochenende: Lilith, am Sonntag hast du Geburtstag. Was wünschst du | |
dir? | |
Lilith Wittmann: Am liebsten hätte ich eine rot-rot-grüne Regierung. Das | |
wird zwar immer unwahrscheinlicher, aber die Hoffnung stirbt zuletzt. Dann | |
wären da wenigstens zwei Parteien, mit denen ich leben könnte. | |
Eine Regierung zum Geburtstag, das ist sehr politisch. Vor einigen Monaten | |
hast du für Aufsehen gesorgt, weil du die Wahlkampf-App der CDU untersucht | |
und dabei Sicherheitslücken gefunden hast. Danach wurdest du sogar von der | |
CDU angezeigt. Hast du auch bei den Linken und den Grünen nach | |
Sicherheitslücken in ihren Wahlkampf-Apps gesucht? | |
Die Wahlkampf-App der Grünen habe ich mir kurz nach der CDU angeschaut. Sie | |
ist zwar technisch nicht so gut, erfasst aber keine personenbezogenen | |
Daten. Sie ist schon okay. | |
Die CDU hingegen hat viele personenbezogene Daten erfasst, unter anderem | |
sogar politische Präferenzen der Leute, die sie an der Haustür besucht | |
haben, und Protokolle ihrer Aussagen. Was findest du daran besonders | |
problematisch? | |
Wähler*innendaten an der Haustür zu erfassen ist eine abstruse, eine | |
gefährliche Idee. Wenn man in einer großen Stadt wie Berlin einfach mal so | |
Daten zu ein paar Hunderttausend Haushalten hat, kann man damit wunderschön | |
Wahlbezirke neu schneiden, sodass die CDU sie möglichst alle gewinnt. | |
Gerrymandering nennt man das in den USA. Da wird ständig an den Wahlkreisen | |
rumgeschnitten. | |
Die Gefahr sind also nicht die Daten an sich, sondern deren Nutzung, | |
besonders auf politischer Ebene. | |
Die Daten sind auch generell, ohne diese Nutzung, hochsensibel. Besonders | |
wenn sie an der Haustür erfasst werden, ohne dass ich weiß, dass sie in | |
eine Datenbank kommen. Aber Letzteres ist natürlich auch ein Problem. In | |
einem Kreis war zum Beispiel erfasst worden, dass eine bestimmte Person | |
sich gerne ein Grundstück im Neubaugebiet sichern würde. Das geht niemanden | |
etwas an. In dem Kreis gab es eine besonders große Datensammlung. Das ist | |
beängstigend und verstörend. | |
Andererseits geben wir unsere Daten ja ohnehin ganz bereitwillig an | |
unterschiedliche soziale Medien, auf denen uns die Parteien dann gezielt | |
mit ihrer Wahlwerbung attackieren können. | |
Aber dort entscheide ich selber, ob ich meine Daten hergebe. Und es gibt | |
auch immer noch eine ganze Menge Leute, die sind einfach nicht in sozialen | |
Medien. | |
Der eigentliche Skandal jedoch war, dass diese Daten nicht mal gut | |
geschützt waren. Und genau darauf bist du gestoßen. Wie bist du überhaupt | |
darauf gekommen, dort nach Sicherheitslücken zu suchen? | |
Meistens lese oder sehe ich etwas in den sozialen Medien, das mir komisch | |
vorkommt. Auf die CDU-connect-App bin ich in Youtube-Videos gestoßen. Eine | |
App für den Haustürwahlkampf? Das schaue ich mir mal an. Normalerweise lade | |
ich mir die App dann erst mal runter, so wie jede*r andere das auch machen | |
würde. Der einzige Unterschied ist: Während der Nutzung der App überwache | |
ich an meinem Laptop, was die so macht. | |
Du tippst ganz normal auf deinem Handy, und das, was im System passiert, | |
wenn du einzelne Menüpunkte anwählst, siehst du dann auf deinem Laptop? | |
Genau. Dort beobachte ich dann, wie die App arbeitet. Es geht dabei vor | |
allem darum, wie die App mit dem Server kommuniziert. Dafür muss ich | |
manchmal zuerst noch einige Sicherheitsmechanismen aushebeln, aber in der | |
Regel kann ich der App relativ schnell bei der Kommunikation mit dem Server | |
des Anbieters zuschauen. | |
Was musstest du machen, um dann an die personenbezogenen Daten zu kommen? | |
Ich habe herausgefunden, wie die Anfrage an den Server aussieht, eine ganz | |
einfache Webadresse mit ein paar Zusätzen, mit denen man sich | |
authentifiziert. Wenn man dann an diese Adresse noch kleine Zusätze | |
ranschreibt, hatte man alles, was man von der Datenbank wollte. | |
Wenn du Apps untersuchst, sitzt du dann nachts wie eine Klischee-Hackerin | |
im Hoodie vor deinem riesigen Rechner und trinkst Energydrinks? | |
Selten. In der Regel mache ich das in der Mittagspause oder ich setze mich | |
abends in den Park. Oder es ist ein Samstagmorgen und ich sitze im Café. | |
Letztens haben Freund*innen und ich uns eine App bei einem kleinen | |
Sommerfest im Park vorgenommen. | |
Warum machst du das eigentlich? | |
Responsible Disclosure macht mir Spaß. Also das Aufspüren von | |
Sicherheitslücken, die man danach dem Unternehmen meldet, damit es sich | |
darum kümmert. Menschen wollen Probleme lösen. Manche spielen deswegen | |
Sudoku. Ich hacke. Während Corona hat es noch mehr zugenommen, weil ich | |
nicht mehr zum Bouldern konnte. Normalerweise löse ich nämlich dreimal die | |
Woche Probleme an der Wand. Ich bin ein Draußenmensch und eine Hackerin. | |
Auf das Hacken konnte ich also als Ersatzhandlung ausweichen. Responsible | |
Disclosure ist aber auch gesellschaftlich wichtig. | |
Obwohl es die CDU betrifft, der du kritisch gegenüber eingestellt bist? | |
Auch dann. Klar habe ich mich im ersten Moment gefreut über die schiere | |
Datenmenge. Damit könnte man krassen Scheiß machen! | |
Hast du aber nicht. | |
Nein, ich habe den Großteil der Daten nicht mal abgerufen. Ich halte mich | |
an den klassischen Hacker*innen-Grundsatz: Öffentliche Daten nützen, | |
private Daten schützen. Für mich war also völlig klar, was ich jetzt mache: | |
Ich dokumentiere die Lücke, schreibe eine E-Mail an das BSI und versuche | |
den Hersteller, also die CDU, zu kontaktieren. Ich habe nie darüber | |
nachgedacht, die Daten zu nutzen. | |
Vor Kurzem wurde das digitale Leben von Attila Hildmann veröffentlicht. | |
2016 diverse Daten von Menschen, die den AfD-Parteitag besucht haben. Wo | |
verläuft da die Grenze? Was ist erlaubt und was nicht? | |
Die Frage ist, ob ein öffentliches Interesse an diesen Daten besteht. Das | |
sehe ich bei Attila Hildmann schon. | |
Und bei der AfD? | |
Ich glaube, aus antifaschistischer Perspektive ist es okay, diese Leute in | |
bestimmten Fällen zu outen. Bei der CDU hätte man natürlich genauso | |
argumentieren können. Trotzdem war für mich relativ klar, dass ich das in | |
dieser Situation nicht machen werde und dass es sich für mich sowohl | |
politisch als auch persönlich besser anfühlt zu sagen: Ich bleibe bei | |
meinem Grundsatz. Und um ehrlich zu sein, ich wüsste nicht, wie ich | |
reagieren würde, wenn es eine AfD-App gewesen wäre. Es ist für mich als | |
Antifaschistin ein Dilemma, vielleicht hätte ich anders entschieden. | |
Du hast nach der CDU-Anzeige gegen dich [1][auf Twitter geschrieben], dass | |
man die Daten der CDU vielleicht „mal befreien“ müsste, damit „sie es | |
endlich lernen“. Das klang wütend. | |
Ich war an dem Tag sehr frustriert, weil die App wieder online gegangen | |
ist, ohne dass alle Sicherheitslücken geschlossen worden sind. Ich wollte | |
der CDU damit nur zeigen: Ich habe euch noch im Blick, bitte kümmert euch | |
endlich. Ich habe auch nicht mehr nach weiteren Lücken gesucht. Ich bin | |
durch mit der CDU. | |
[2][Auch der CCC, also der Chaos Computer Club, hat bekanntgegeben, bei der | |
CDU kein Responsible Disclosure mehr zu betreiben]. Aber die Daten der | |
Menschen sind doch weiterhin in Gefahr – und sie können nichts für das | |
Verhalten der CDU. | |
Die CDU hat gezeigt, dass sie kein Interesse hat an zivilgesellschaftlicher | |
Sicherheitsforschung. Die Partei hat mich angezeigt, um ihre Ruhe zu haben. | |
Sie glaubt, dass das der richtige Weg ist. Das bedeutet aber im | |
Umkehrschluss, ich kann Sicherheitslücken in ihren Systemen gar nicht mehr | |
suchen und melden, sonst habe ich sofort wieder die Staatsanwaltschaft am | |
Hals. | |
[3][Die Ermittlungen wurden inzwischen eingestellt.] Auf welchem Vorwurf | |
basierte die Anzeige eigentlich? | |
Auf dem sogenannten [4][Hacker-Paragraf 202 StGB]. Der verbietet seit 2007 | |
unter anderem, Sicherheitshürden durch das Hacken von Passwörtern oder aber | |
durch selbstgeschriebene Programme zu überwinden. | |
Das hast du ja aber nicht gemacht. | |
Die Staatsanwältin hat das Verfahren eingestellt, weil sie zu der Meinung | |
gelangt ist, dass ich keine Sicherheitshürden überwunden habe – weil die | |
Daten eben nicht geschützt wurden und ich einfach nur ein technisches | |
Problem gefunden habe. Mein Anwalt und ich waren trotzdem überrascht, denn | |
es gab in Deutschland schon Fälle, in denen ganz anders entschieden wurde. | |
Der Hacker-Paragraf ist ein totaler Gummiparagraf. | |
Das bedeutet, er tritt sowohl in Kraft, wenn man auf eine Lücke aufmerksam | |
macht, als auch wenn man über diese Lücke Daten für kriminelle Zwecke | |
absaugt. | |
Deswegen besitzen wir in Deutschland keine Kultur der Responsible | |
Disclosure. In anderen Ländern gibt es sogar Belohnungen, wenn man | |
Sicherheitslücken meldet. Da bekommt man manchmal 5.000 Euro. In | |
Deutschland gibt es das nicht. In den Niederlanden gibt es T-Shirts, die | |
man bekommt, auf denen dann steht, dass man eine Sicherheitslücke gefunden | |
hat. Das finde ich niedlich. Wäre vielleicht auch für hier etwas. Aber in | |
Deutschland ist nicht mal das Rechtssystem auf Responsible Disclosure | |
ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke | |
finde, eine Straftat. Ob das dann tatsächlich so angesehen wird, hängt aber | |
vom technischen Verständnis und der Interpretation der Staatsanwaltschaft | |
ab. | |
Welche Vorkehrungen treffen Hacker*innen, um möglichst wenige dieser | |
Schwellen zur Kriminalität zu überschreiten? | |
Ich schaue nur so tief in Sachen rein, bis ich weiß, dass es eine Lücke | |
gibt. Ich speicher so gut es geht keine Daten und dokumentiere jeden | |
Schritt im Detail. Außerdem mache ich das alles nicht anonym. Ich | |
verschleiere meine Identität nicht. Wenn ich mir bei einer App einen | |
Account erstellen muss, gebe ich teilweise sogar meinen echten Namen an, | |
nur um sicherzugehen. Das mache ich auch, wenn ich in andere Systeme | |
reinschaue, um klarzustellen: Ich will euch nicht kaputt machen, ich will | |
mich einfach etwas umsehen. | |
Fällst du damit nicht gelegentlich auf, bevor du wirklich loslegen kannst? | |
Bei der Suche nach Sicherheitslücken nicht, aber ich analysiere auch sehr | |
gerne staatliche Infrastrukturen. Manche Behörden kennen mich deswegen auch | |
schon und schreiben mir dann eine nette Mail. | |
Erinnerst du dich noch daran, was du als Erstes gehackt hast? | |
Das war eine total dumme Aktion: Ich war noch gut minderjährig und wir | |
haben eine Website eines Pommesherstellers gehackt. Zu dem Zeitpunkt hatten | |
sie dort eine Kampagne: „Pommes im Ofen – Zeit für Fritz“. In meinem Umf… | |
gab es einen Fritz und wir haben überall auf der Seite den Text geändert: | |
„Fritz im Ofen – Zeit für Pommes“. Es ist total lächerlich und unpoliti… | |
aber es hat uns irre Spaß gemacht. Heute würde ich es aber trotzdem nicht | |
mehr machen. | |
Mal politisch, mal albern, das ist auch der jährliche Kongress des Chaos | |
Computer Clubs, der größte Hacker*innen-Kongress der Welt. Wegen Corona hat | |
er 2020 nur digital stattgefunden. Vielleicht auch dieses Jahr. Wie schwer | |
fällt dir diese Trennung von der Szene? | |
Natürlich ist das super traurig und ich habe Angst, dass irgendwann | |
Strukturen kaputt gehen. Aber auf regionaler Ebene versuchen wir, uns | |
gelegentlich zu sehen, egal ob Menschen aus dem CCC oder andere | |
Hacker*innen. Ich bin in der Berliner Szene aber nicht so sehr verankert, | |
weil ich bis zur Pandemie in Hamburg gewohnt habe. Und irgendwann habe ich | |
mich auch einfach gefragt, ob so viel Vereinsleben eigentlich sein muss. Es | |
hat ja doch auch immer etwas von Karnickelzüchterverein. Es ist die Frage, | |
die viele Deutsche vermutlich kennen: Wie viel Verein kann ich in meiner | |
Freizeit ertragen? | |
Und deine Freizeit ist ohnehin eher knapp, oder? Wenn du nicht gerade | |
hackst, bist du trotzdem aktivistisch aktiv. Du warst auch zwei Monate lang | |
im Hambi auf einem Baum. | |
Ich war zweimal einen Monat dort, weil mich die Bilder zu Anfang der | |
Räumung so wütend gemacht haben, dass ich nicht anders konnte. Klar bin ich | |
Aktivistin, denn wir haben Probleme. Wer in unserer Generation sieht das | |
nicht? Natürlich ist es für mich keine Frage, ob es okay ist, diesen Wald | |
zu besetzen und es RWE möglichst hart zu machen. Ich bin zwar nicht die | |
Person, die auf Twitter akademische Diskurse über den Klimawandel führen | |
kann, aber Klimaschutz ist mir unglaublich wichtig. Dafür gehe ich auf die | |
Straße oder auf den Baum, dafür kommentiere ich im Livestream den | |
Polizeieinsatz. Das war einfach eine Sache, die ich machen musste. | |
Sind deine Eltern stolz auf dich, weil du so bestimmt versuchst, die Welt | |
zu verändern? | |
Ich habe keinen Kontakt zu meinen Eltern. Aber mein Freundeskreis findet es | |
natürlich gut. Allerdings sind das auch alles Zecken. | |
Hackst du eigentlich auch beruflich? | |
Ich programmiere nicht sehr viel aktiv, sondern baue in der Regel | |
freiberuflich Entwickler*innen-Teams auf. Ich bin eine Engineering | |
Managerin. Meistens wenden sich Konzerne an mich, weil sie einen neuen | |
Bereich aufbauen wollen. Und ich baue ihnen dann das Team. Früher habe ich | |
auch beruflich Codes geschrieben, aber das mache ich jetzt nicht mehr, weil | |
ich gemerkt habe, dass es mir tatsächlich besser geht, wenn ich mehr mit | |
Menschen zu tun habe. Seitdem bastel ich auch wieder viel lieber in meiner | |
Freizeit an Codes und hacke. Das hat wieder einen großen kreativen Aspekt | |
für mich bekommen. Und ich muss nichts mehr programmieren, das halt | |
irgendwie gerade in das System Kapitalismus passt. | |
Trotzdem bildest du Teams für große Konzerne. | |
Ja, aber die Menschen müssen dabei natürlich immer d’accord sein mit dem, | |
was der Auftraggeber macht und wie er mit Menschen umgeht. Ich leite das | |
Team dann, bis es mir wieder reicht mit dem Auftraggeber. Das dauert | |
meistens zwischen fünf und sieben Monate. Ansonsten wäre ich emotional zu | |
involviert und würde Krawall machen und anecken. | |
Dafür, dass du noch so jung bist, hast du schon in ganz schön vielen | |
Bereichen gearbeitet. Wie kommt ’s? | |
Mit 16 habe ich die Schule abgebrochen und eine Ausbildung als | |
Softwareentwicklerin gemacht. Mit 18 brauchte ich Kohle und habe angefangen | |
zu freelancen. Und gemerkt: Da gibt es richtig viel Geld! Später habe ich | |
ein eigenes kleines Unternehmen aufgebaut mit 20 Mitarbeitenden. Wir haben | |
nur Aufträge angenommen, die wir moralisch vertretbar fanden. Bis ich die | |
Hälfte der Firma verkauft habe, da hat es sich geändert. Für mich war dann | |
sehr schnell klar, dass ich das nicht mehr mitmache, und ich bin wieder | |
Freelancerin geworden. Es ist nicht mein Traumjob, aber ich bin super | |
privilegiert, dass ich überhaupt so einen Job habe. | |
War die Zeit, in der du die Anzeige von der CDU bekommen hast, trotzdem | |
besonders anstrengend für dich? | |
Sagen wir so: Ich habe nicht das erste Mal in meinem Leben Post von der | |
Polizei bekommen. Aber ich wurde tatsächlich noch nie wegen Hacking | |
angezeigt. Bis die CDU kam. | |
25 Sep 2021 | |
## LINKS | |
[1] https://twitter.com/LilithWittmann/status/1415640704899076103 | |
[2] https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-… | |
[3] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205 | |
[4] https://dejure.org/gesetze/StGB/202.html | |
## AUTOREN | |
Johannes Drosdowski | |
## TAGS | |
IG | |
Wahlkampf | |
Datenschutz | |
Schwerpunkt Bundestagswahl 2021 | |
Schwerpunkt Überwachung | |
Schwerpunkt Chaos Computer Club | |
GNS | |
Daten | |
Hacker | |
CCC-Kongress | |
Schwerpunkt Chaos Computer Club | |
Schwerpunkt Überwachung | |
Schwerpunkt Überwachung | |
Schwerpunkt Bundestagswahl 2021 | |
Schwerpunkt Überwachung | |
## ARTIKEL ZUM THEMA | |
Kongress des Chaos Computer Clubs: Der CCC im Hier und Jetzt | |
Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet. | |
Zentral diskutiert wird die Frage der Freiheit. | |
Seenotrettung per Satellit: Leben retten mit Daten | |
Im Mittelmeer ertrinken jedes Jahr hunderte Menschen auf der Flucht. Eine | |
Gruppe von Wissenschaftler*innen möchte das ändern. | |
IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei | |
Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke | |
hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen. | |
Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt | |
Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin | |
Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz | |
verstoßen? | |
Digitalisierungspläne der Union: Das Upgrade hängt | |
Mit einem 25-Punkte-Plan will die CDU die Digitalisierung in Deutschland | |
retten. Oder besser, die vergangenen 16 Jahre wettmachen. | |
Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App | |
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft | |
die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO. |