 |
# taz.de -- Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich… |
|
|
|
> Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App |
|
> Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre. |
|
|
 |
Bild: Wenn sie nicht gerade hackt, ist Lilith Wittmann gerne draußen. Hier sit… |
|
|
|
taz am wochenende: Lilith, am Sonntag hast du Geburtstag. Was wünschst du |
|
dir? |
|
|
|
Lilith Wittmann: Am liebsten hätte ich eine rot-rot-grüne Regierung. Das |
|
wird zwar immer unwahrscheinlicher, aber die Hoffnung stirbt zuletzt. Dann |
|
wären da wenigstens zwei Parteien, mit denen ich leben könnte. |
|
|
|
Eine Regierung zum Geburtstag, das ist sehr politisch. Vor einigen Monaten |
|
hast du für Aufsehen gesorgt, weil du die Wahlkampf-App der CDU untersucht |
|
und dabei Sicherheitslücken gefunden hast. Danach wurdest du sogar von der |
|
CDU angezeigt. Hast du auch bei den Linken und den Grünen nach |
|
Sicherheitslücken in ihren Wahlkampf-Apps gesucht? |
|
|
|
Die Wahlkampf-App der Grünen habe ich mir kurz nach der CDU angeschaut. Sie |
|
ist zwar technisch nicht so gut, erfasst aber keine personenbezogenen |
|
Daten. Sie ist schon okay. |
|
|
|
Die CDU hingegen hat viele personenbezogene Daten erfasst, unter anderem |
|
sogar politische Präferenzen der Leute, die sie an der Haustür besucht |
|
haben, und Protokolle ihrer Aussagen. Was findest du daran besonders |
|
problematisch? |
|
|
|
Wähler*innendaten an der Haustür zu erfassen ist eine abstruse, eine |
|
gefährliche Idee. Wenn man in einer großen Stadt wie Berlin einfach mal so |
|
Daten zu ein paar Hunderttausend Haushalten hat, kann man damit wunderschön |
|
Wahlbezirke neu schneiden, sodass die CDU sie möglichst alle gewinnt. |
|
Gerrymandering nennt man das in den USA. Da wird ständig an den Wahlkreisen |
|
rumgeschnitten. |
|
|
|
Die Gefahr sind also nicht die Daten an sich, sondern deren Nutzung, |
|
besonders auf politischer Ebene. |
|
|
|
Die Daten sind auch generell, ohne diese Nutzung, hochsensibel. Besonders |
|
wenn sie an der Haustür erfasst werden, ohne dass ich weiß, dass sie in |
|
eine Datenbank kommen. Aber Letzteres ist natürlich auch ein Problem. In |
|
einem Kreis war zum Beispiel erfasst worden, dass eine bestimmte Person |
|
sich gerne ein Grundstück im Neubaugebiet sichern würde. Das geht niemanden |
|
etwas an. In dem Kreis gab es eine besonders große Datensammlung. Das ist |
|
beängstigend und verstörend. |
|
|
|
Andererseits geben wir unsere Daten ja ohnehin ganz bereitwillig an |
|
unterschiedliche soziale Medien, auf denen uns die Parteien dann gezielt |
|
mit ihrer Wahlwerbung attackieren können. |
|
|
|
Aber dort entscheide ich selber, ob ich meine Daten hergebe. Und es gibt |
|
auch immer noch eine ganze Menge Leute, die sind einfach nicht in sozialen |
|
Medien. |
|
|
|
Der eigentliche Skandal jedoch war, dass diese Daten nicht mal gut |
|
geschützt waren. Und genau darauf bist du gestoßen. Wie bist du überhaupt |
|
darauf gekommen, dort nach Sicherheitslücken zu suchen? |
|
|
|
Meistens lese oder sehe ich etwas in den sozialen Medien, das mir komisch |
|
vorkommt. Auf die CDU-connect-App bin ich in Youtube-Videos gestoßen. Eine |
|
App für den Haustürwahlkampf? Das schaue ich mir mal an. Normalerweise lade |
|
ich mir die App dann erst mal runter, so wie jede*r andere das auch machen |
|
würde. Der einzige Unterschied ist: Während der Nutzung der App überwache |
|
ich an meinem Laptop, was die so macht. |
|
|
|
Du tippst ganz normal auf deinem Handy, und das, was im System passiert, |
|
wenn du einzelne Menüpunkte anwählst, siehst du dann auf deinem Laptop? |
|
|
|
Genau. Dort beobachte ich dann, wie die App arbeitet. Es geht dabei vor |
|
allem darum, wie die App mit dem Server kommuniziert. Dafür muss ich |
|
manchmal zuerst noch einige Sicherheitsmechanismen aushebeln, aber in der |
|
Regel kann ich der App relativ schnell bei der Kommunikation mit dem Server |
|
des Anbieters zuschauen. |
|
|
|
Was musstest du machen, um dann an die personenbezogenen Daten zu kommen? |
|
|
|
Ich habe herausgefunden, wie die Anfrage an den Server aussieht, eine ganz |
|
einfache Webadresse mit ein paar Zusätzen, mit denen man sich |
|
authentifiziert. Wenn man dann an diese Adresse noch kleine Zusätze |
|
ranschreibt, hatte man alles, was man von der Datenbank wollte. |
|
|
|
Wenn du Apps untersuchst, sitzt du dann nachts wie eine Klischee-Hackerin |
|
im Hoodie vor deinem riesigen Rechner und trinkst Energydrinks? |
|
|
|
Selten. In der Regel mache ich das in der Mittagspause oder ich setze mich |
|
abends in den Park. Oder es ist ein Samstagmorgen und ich sitze im Café. |
|
Letztens haben Freund*innen und ich uns eine App bei einem kleinen |
|
Sommerfest im Park vorgenommen. |
|
|
|
Warum machst du das eigentlich? |
|
|
|
Responsible Disclosure macht mir Spaß. Also das Aufspüren von |
|
Sicherheitslücken, die man danach dem Unternehmen meldet, damit es sich |
|
darum kümmert. Menschen wollen Probleme lösen. Manche spielen deswegen |
|
Sudoku. Ich hacke. Während Corona hat es noch mehr zugenommen, weil ich |
|
nicht mehr zum Bouldern konnte. Normalerweise löse ich nämlich dreimal die |
|
Woche Probleme an der Wand. Ich bin ein Draußenmensch und eine Hackerin. |
|
Auf das Hacken konnte ich also als Ersatzhandlung ausweichen. Responsible |
|
Disclosure ist aber auch gesellschaftlich wichtig. |
|
|
|
Obwohl es die CDU betrifft, der du kritisch gegenüber eingestellt bist? |
|
|
|
Auch dann. Klar habe ich mich im ersten Moment gefreut über die schiere |
|
Datenmenge. Damit könnte man krassen Scheiß machen! |
|
|
|
Hast du aber nicht. |
|
|
|
Nein, ich habe den Großteil der Daten nicht mal abgerufen. Ich halte mich |
|
an den klassischen Hacker*innen-Grundsatz: Öffentliche Daten nützen, |
|
private Daten schützen. Für mich war also völlig klar, was ich jetzt mache: |
|
Ich dokumentiere die Lücke, schreibe eine E-Mail an das BSI und versuche |
|
den Hersteller, also die CDU, zu kontaktieren. Ich habe nie darüber |
|
nachgedacht, die Daten zu nutzen. |
|
|
|
Vor Kurzem wurde das digitale Leben von Attila Hildmann veröffentlicht. |
|
2016 diverse Daten von Menschen, die den AfD-Parteitag besucht haben. Wo |
|
verläuft da die Grenze? Was ist erlaubt und was nicht? |
|
|
|
Die Frage ist, ob ein öffentliches Interesse an diesen Daten besteht. Das |
|
sehe ich bei Attila Hildmann schon. |
|
|
|
Und bei der AfD? |
|
|
|
Ich glaube, aus antifaschistischer Perspektive ist es okay, diese Leute in |
|
bestimmten Fällen zu outen. Bei der CDU hätte man natürlich genauso |
|
argumentieren können. Trotzdem war für mich relativ klar, dass ich das in |
|
dieser Situation nicht machen werde und dass es sich für mich sowohl |
|
politisch als auch persönlich besser anfühlt zu sagen: Ich bleibe bei |
|
meinem Grundsatz. Und um ehrlich zu sein, ich wüsste nicht, wie ich |
|
reagieren würde, wenn es eine AfD-App gewesen wäre. Es ist für mich als |
|
Antifaschistin ein Dilemma, vielleicht hätte ich anders entschieden. |
|
|
|
Du hast nach der CDU-Anzeige gegen dich [1][auf Twitter geschrieben], dass |
|
man die Daten der CDU vielleicht „mal befreien“ müsste, damit „sie es |
|
endlich lernen“. Das klang wütend. |
|
|
|
Ich war an dem Tag sehr frustriert, weil die App wieder online gegangen |
|
ist, ohne dass alle Sicherheitslücken geschlossen worden sind. Ich wollte |
|
der CDU damit nur zeigen: Ich habe euch noch im Blick, bitte kümmert euch |
|
endlich. Ich habe auch nicht mehr nach weiteren Lücken gesucht. Ich bin |
|
durch mit der CDU. |
|
|
|
[2][Auch der CCC, also der Chaos Computer Club, hat bekanntgegeben, bei der |
|
CDU kein Responsible Disclosure mehr zu betreiben]. Aber die Daten der |
|
Menschen sind doch weiterhin in Gefahr – und sie können nichts für das |
|
Verhalten der CDU. |
|
|
|
Die CDU hat gezeigt, dass sie kein Interesse hat an zivilgesellschaftlicher |
|
Sicherheitsforschung. Die Partei hat mich angezeigt, um ihre Ruhe zu haben. |
|
Sie glaubt, dass das der richtige Weg ist. Das bedeutet aber im |
|
Umkehrschluss, ich kann Sicherheitslücken in ihren Systemen gar nicht mehr |
|
suchen und melden, sonst habe ich sofort wieder die Staatsanwaltschaft am |
|
Hals. |
|
|
|
[3][Die Ermittlungen wurden inzwischen eingestellt.] Auf welchem Vorwurf |
|
basierte die Anzeige eigentlich? |
|
|
|
Auf dem sogenannten [4][Hacker-Paragraf 202 StGB]. Der verbietet seit 2007 |
|
unter anderem, Sicherheitshürden durch das Hacken von Passwörtern oder aber |
|
durch selbstgeschriebene Programme zu überwinden. |
|
|
|
Das hast du ja aber nicht gemacht. |
|
|
|
Die Staatsanwältin hat das Verfahren eingestellt, weil sie zu der Meinung |
|
gelangt ist, dass ich keine Sicherheitshürden überwunden habe – weil die |
|
Daten eben nicht geschützt wurden und ich einfach nur ein technisches |
|
Problem gefunden habe. Mein Anwalt und ich waren trotzdem überrascht, denn |
|
es gab in Deutschland schon Fälle, in denen ganz anders entschieden wurde. |
|
Der Hacker-Paragraf ist ein totaler Gummiparagraf. |
|
|
|
Das bedeutet, er tritt sowohl in Kraft, wenn man auf eine Lücke aufmerksam |
|
macht, als auch wenn man über diese Lücke Daten für kriminelle Zwecke |
|
absaugt. |
|
|
|
Deswegen besitzen wir in Deutschland keine Kultur der Responsible |
|
Disclosure. In anderen Ländern gibt es sogar Belohnungen, wenn man |
|
Sicherheitslücken meldet. Da bekommt man manchmal 5.000 Euro. In |
|
Deutschland gibt es das nicht. In den Niederlanden gibt es T-Shirts, die |
|
man bekommt, auf denen dann steht, dass man eine Sicherheitslücke gefunden |
|
hat. Das finde ich niedlich. Wäre vielleicht auch für hier etwas. Aber in |
|
Deutschland ist nicht mal das Rechtssystem auf Responsible Disclosure |
|
ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke |
|
finde, eine Straftat. Ob das dann tatsächlich so angesehen wird, hängt aber |
|
vom technischen Verständnis und der Interpretation der Staatsanwaltschaft |
|
ab. |
|
|
|
Welche Vorkehrungen treffen Hacker*innen, um möglichst wenige dieser |
|
Schwellen zur Kriminalität zu überschreiten? |
|
|
|
Ich schaue nur so tief in Sachen rein, bis ich weiß, dass es eine Lücke |
|
gibt. Ich speicher so gut es geht keine Daten und dokumentiere jeden |
|
Schritt im Detail. Außerdem mache ich das alles nicht anonym. Ich |
|
verschleiere meine Identität nicht. Wenn ich mir bei einer App einen |
|
Account erstellen muss, gebe ich teilweise sogar meinen echten Namen an, |
|
nur um sicherzugehen. Das mache ich auch, wenn ich in andere Systeme |
|
reinschaue, um klarzustellen: Ich will euch nicht kaputt machen, ich will |
|
mich einfach etwas umsehen. |
|
|
|
Fällst du damit nicht gelegentlich auf, bevor du wirklich loslegen kannst? |
|
|
|
Bei der Suche nach Sicherheitslücken nicht, aber ich analysiere auch sehr |
|
gerne staatliche Infrastrukturen. Manche Behörden kennen mich deswegen auch |
|
schon und schreiben mir dann eine nette Mail. |
|
|
|
Erinnerst du dich noch daran, was du als Erstes gehackt hast? |
|
|
|
Das war eine total dumme Aktion: Ich war noch gut minderjährig und wir |
|
haben eine Website eines Pommesherstellers gehackt. Zu dem Zeitpunkt hatten |
|
sie dort eine Kampagne: „Pommes im Ofen – Zeit für Fritz“. In meinem Umf… |
|
gab es einen Fritz und wir haben überall auf der Seite den Text geändert: |
|
„Fritz im Ofen – Zeit für Pommes“. Es ist total lächerlich und unpoliti… |
|
aber es hat uns irre Spaß gemacht. Heute würde ich es aber trotzdem nicht |
|
mehr machen. |
|
|
|
Mal politisch, mal albern, das ist auch der jährliche Kongress des Chaos |
|
Computer Clubs, der größte Hacker*innen-Kongress der Welt. Wegen Corona hat |
|
er 2020 nur digital stattgefunden. Vielleicht auch dieses Jahr. Wie schwer |
|
fällt dir diese Trennung von der Szene? |
|
|
|
Natürlich ist das super traurig und ich habe Angst, dass irgendwann |
|
Strukturen kaputt gehen. Aber auf regionaler Ebene versuchen wir, uns |
|
gelegentlich zu sehen, egal ob Menschen aus dem CCC oder andere |
|
Hacker*innen. Ich bin in der Berliner Szene aber nicht so sehr verankert, |
|
weil ich bis zur Pandemie in Hamburg gewohnt habe. Und irgendwann habe ich |
|
mich auch einfach gefragt, ob so viel Vereinsleben eigentlich sein muss. Es |
|
hat ja doch auch immer etwas von Karnickelzüchterverein. Es ist die Frage, |
|
die viele Deutsche vermutlich kennen: Wie viel Verein kann ich in meiner |
|
Freizeit ertragen? |
|
|
|
Und deine Freizeit ist ohnehin eher knapp, oder? Wenn du nicht gerade |
|
hackst, bist du trotzdem aktivistisch aktiv. Du warst auch zwei Monate lang |
|
im Hambi auf einem Baum. |
|
|
|
Ich war zweimal einen Monat dort, weil mich die Bilder zu Anfang der |
|
Räumung so wütend gemacht haben, dass ich nicht anders konnte. Klar bin ich |
|
Aktivistin, denn wir haben Probleme. Wer in unserer Generation sieht das |
|
nicht? Natürlich ist es für mich keine Frage, ob es okay ist, diesen Wald |
|
zu besetzen und es RWE möglichst hart zu machen. Ich bin zwar nicht die |
|
Person, die auf Twitter akademische Diskurse über den Klimawandel führen |
|
kann, aber Klimaschutz ist mir unglaublich wichtig. Dafür gehe ich auf die |
|
Straße oder auf den Baum, dafür kommentiere ich im Livestream den |
|
Polizeieinsatz. Das war einfach eine Sache, die ich machen musste. |
|
|
|
Sind deine Eltern stolz auf dich, weil du so bestimmt versuchst, die Welt |
|
zu verändern? |
|
|
|
Ich habe keinen Kontakt zu meinen Eltern. Aber mein Freundeskreis findet es |
|
natürlich gut. Allerdings sind das auch alles Zecken. |
|
|
|
Hackst du eigentlich auch beruflich? |
|
|
|
Ich programmiere nicht sehr viel aktiv, sondern baue in der Regel |
|
freiberuflich Entwickler*innen-Teams auf. Ich bin eine Engineering |
|
Managerin. Meistens wenden sich Konzerne an mich, weil sie einen neuen |
|
Bereich aufbauen wollen. Und ich baue ihnen dann das Team. Früher habe ich |
|
auch beruflich Codes geschrieben, aber das mache ich jetzt nicht mehr, weil |
|
ich gemerkt habe, dass es mir tatsächlich besser geht, wenn ich mehr mit |
|
Menschen zu tun habe. Seitdem bastel ich auch wieder viel lieber in meiner |
|
Freizeit an Codes und hacke. Das hat wieder einen großen kreativen Aspekt |
|
für mich bekommen. Und ich muss nichts mehr programmieren, das halt |
|
irgendwie gerade in das System Kapitalismus passt. |
|
|
|
Trotzdem bildest du Teams für große Konzerne. |
|
|
|
Ja, aber die Menschen müssen dabei natürlich immer d’accord sein mit dem, |
|
was der Auftraggeber macht und wie er mit Menschen umgeht. Ich leite das |
|
Team dann, bis es mir wieder reicht mit dem Auftraggeber. Das dauert |
|
meistens zwischen fünf und sieben Monate. Ansonsten wäre ich emotional zu |
|
involviert und würde Krawall machen und anecken. |
|
|
|
Dafür, dass du noch so jung bist, hast du schon in ganz schön vielen |
|
Bereichen gearbeitet. Wie kommt ’s? |
|
|
|
Mit 16 habe ich die Schule abgebrochen und eine Ausbildung als |
|
Softwareentwicklerin gemacht. Mit 18 brauchte ich Kohle und habe angefangen |
|
zu freelancen. Und gemerkt: Da gibt es richtig viel Geld! Später habe ich |
|
ein eigenes kleines Unternehmen aufgebaut mit 20 Mitarbeitenden. Wir haben |
|
nur Aufträge angenommen, die wir moralisch vertretbar fanden. Bis ich die |
|
Hälfte der Firma verkauft habe, da hat es sich geändert. Für mich war dann |
|
sehr schnell klar, dass ich das nicht mehr mitmache, und ich bin wieder |
|
Freelancerin geworden. Es ist nicht mein Traumjob, aber ich bin super |
|
privilegiert, dass ich überhaupt so einen Job habe. |
|
|
|
War die Zeit, in der du die Anzeige von der CDU bekommen hast, trotzdem |
|
besonders anstrengend für dich? |
|
|
|
Sagen wir so: Ich habe nicht das erste Mal in meinem Leben Post von der |
|
Polizei bekommen. Aber ich wurde tatsächlich noch nie wegen Hacking |
|
angezeigt. Bis die CDU kam. |
|
|
|
25 Sep 2021 |
|
|
|
## LINKS |
|
|
 |
[1] https://twitter.com/LilithWittmann/status/1415640704899076103 |
|
[2] https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-… |
|
[3] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205 |
|
[4] https://dejure.org/gesetze/StGB/202.html |
|
|
|
## AUTOREN |
|
|
|
Johannes Drosdowski |
|
|
|
## TAGS |
|
|
|
IG |
|
Wahlkampf |
|
Datenschutz |
|
Schwerpunkt Bundestagswahl 2025 |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Chaos Computer Club |
|
GNS |
|
Daten |
|
Hacker |
|
Das Leben einer Frau |
|
Software |
|
CCC-Kongress |
|
Schwerpunkt Flucht |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Überwachung |
|
Schwerpunkt Bundestagswahl 2025 |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Hackerin über die Branche: „Ich versuche, eine Frau als Vorgesetzte zu haben… |
|
|
|
Lilith Wittmann deckt Sicherheitslücken bei Behörden und Firmen auf. Ein |
|
Gespräch über Spaß beim Hacken, ihre Motivation und Männer in IT-Berufen. |
|
|
|
Geplante Reform des Hacker-Paragrafen: Sicherheit für gutwillige Hacker |
|
|
|
Wer ohne Auftrag in fremden Computersystemen Schwächen sucht, soll nicht |
|
mehr bestraft werden. Das sieht ein Gesetzentwurf vor, der der taz |
|
vorliegt. |
|
|
|
Kongress des Chaos Computer Clubs: Der CCC im Hier und Jetzt |
|
|
|
Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet. |
|
Zentral diskutiert wird die Frage der Freiheit. |
|
|
|
Seenotrettung per Satellit: Leben retten mit Daten |
|
|
|
Im Mittelmeer ertrinken jedes Jahr hunderte Menschen auf der Flucht. Eine |
|
Gruppe von Wissenschaftler*innen möchte das ändern. |
|
|
|
IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei |
|
|
|
Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke |
|
hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen. |
|
|
|
Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt |
|
|
|
Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin |
|
Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz |
|
verstoßen? |
|
|
|
Digitalisierungspläne der Union: Das Upgrade hängt |
|
|
|
Mit einem 25-Punkte-Plan will die CDU die Digitalisierung in Deutschland |
|
retten. Oder besser, die vergangenen 16 Jahre wettmachen. |
|
|
|
Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App |
|
|
|
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft |
|
die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO. |
