 |
# taz.de -- Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht geha… |
|
|
|
> Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin |
|
> Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz |
|
> verstoßen? |
|
|
 |
Bild: „Völlig nutzloser Datensumpf“: Das „D“ in CDU steht eben nicht f… |
|
|
|
Berlin taz | Die Staatsanwaltschaft Berlin hat das Verfahren gegen Lilith |
|
Wittmann eingestellt, wie die IT-Sicherheitsforscherin [1][auf Twitter] und |
|
[2][in einem Blogeintrag] ausführlich darlegt. Im Mai 2021 hatte Wittmann |
|
in der CDU-Wahlkampf-App „CDUconnect“ [3][gravierende Sicherheitslücken |
|
entdeckt] und den zuständigen Behörden weitergeleitet: dem Bundesamt für |
|
Sicherheit in der Informationstechnik BSI, der Berliner |
|
Datenschutzbeauftragten und den verantwortlichen Stellen in der Union. |
|
|
|
Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin, |
|
Abteilung Cybercrime, ermittelte seitdem gegen die ehrenamtliche |
|
IT-Sicherheitsforscherin wegen eines Verstoßes gegen Paragraf 202a/b/c |
|
StGB, den von der Zivilgesellschaft kritisierten sogenannten |
|
Hackerparagrafen, der 2007 von der Großen Koalition eingeführt worden war. |
|
Nach massivem öffentlichem Druck zog die CDU die Anzeige zurück und |
|
[4][entschuldigte sich bei Wittman]. Die Ermittlungen gegen die |
|
Sicherheitsforscherin gingen jedoch weiter. |
|
|
|
Wittmann zitiert nun [5][in ihrem Blogpost] aus der 150 Seiten dicken |
|
Ermittlungsakte. Die Ermittler:innen bestätigten, was Wittmann bereits |
|
im Mai feststellte: Sensible Daten lagen ungesichert in der CDU-Wahl-App. |
|
„Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und |
|
aus technischer Sicht öffentlich abrufbar“, schreiben die Ermittler:innen. |
|
Einfache Abrufe über die Programmierschnittstelle hatten gereicht, um |
|
Zugriff erlangen zu können, ohne dass dabei einfachste Mechanismen wie eine |
|
Passwortabfrage überwunden werden mussten, wie [6][auch ein Video auf |
|
Youtube zeigt]. |
|
|
|
Gleichzeitig stellten die Ermittler:innen von Staatsanwaltschaft und |
|
der Cybercrime-Stelle fest, dass es in der CDU-App tatsächlich eine |
|
Sicherheitslücke gegeben hat. Weil die Daten demzufolge öffentlich abrufbar |
|
waren, greife auch der Hackerparagraf nicht. [7][Denn dieser besagt], man |
|
müsse sich unbefugt Zugang zu Daten verschaffen unter Überwindung der |
|
Zugangssicherung. Die Staatsanwaltschaft habe deshalb das Verfahren |
|
eingestellt. Die Rücknahme der Anzeige seitens der CDU habe damit |
|
allerdings nichts zu tun. |
|
|
|
## Tiefe Einblicke in die Digitalkompetenz der CDU |
|
|
|
In der Ermittlungsakte finden sich weitere aufschlussreiche Informationen, |
|
die „tiefe Einblicke in die Digitalkompetenz“ geben, wie Wittmann in ihrem |
|
Post schreibt. So habe die CDU die durch den „Haustürwahlkampf“ erhobenen |
|
Daten überhaupt nicht ausgewertet, sondern lediglich gesammelt, ein laut |
|
Wittmann „völlig nutzloser Datensumpf“. |
|
|
|
Die CDU nutzt CDUconnect, um den Haustürwahlkampf digital zu koordinieren. |
|
Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht |
|
und welche die politischen Meinungen zur CDU im entsprechenden Haushalt |
|
waren. |
|
|
|
Wittmann konnte mit simplen Abfragen auf die Daten von rund 500.000 |
|
befragten Personen zugreifen. So waren persönliche Daten von 18.500 |
|
Wahlkampfhelfer:innen mit Fotos und Mailadresse, bei 1.350 |
|
CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen |
|
ungeschützt im Netz einsehbar. In Googles Play Store verzeichnet CDUconnect |
|
eine Wertung von 1,4 von 5 Sternen. „Die App“, so schreibt ein User, „zei… |
|
perfekt die Kompetenz der CDU im Internet.“ |
|
|
|
Auch dass Wittmann die Sicherheitslücke über das in der |
|
IT-Sicherheitskultur etablierte [8][Prinzip der Responsible Disclosure] |
|
gemeldet hatte, unterschlug die CDU in ihrer Anzeige. Der Ausdruck |
|
bezeichnet das Verfahren, wenn Entdecker:innen die Sicherheitslücken an |
|
die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, |
|
wenn sie behoben sind. |
|
|
|
Außerdem wird ein weiterer Vorwurf der CDU entkräftet. Diese behauptete, |
|
dass Wittmann alle in der CDU-App gesammelten Datensätze [9][auf Pastebin] |
|
veröffentlicht hätte, einer Webanwendung, die man zur anonymen |
|
Veröffentlichung von Texten nutzen kann. Wittmann bestritt, Daten aus der |
|
App gespeichert, veröffentlicht oder gar weiterverbreitet zu haben. In der |
|
Ermittlungsakte wird ersichtlich, dass auch die Staatsanwaltschaft dafür |
|
keine Beweise fand. |
|
|
|
## Hat die CDU-App gegen die DSGVO verstoßen? |
|
|
|
Nun wird es für die CDU noch ungemütlicher. Denn seit Juli prüft die |
|
Berliner Landesdatenschutzbeauftragte, ob die CDU-Wahlkampf-App womöglich |
|
gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Ziel sei es zu |
|
prüfen, ob die App „den Anforderungen des Datenschutzes entsprochen hat“ |
|
und „ob die durch den externen Prüfbericht [von Wittmann; die Red.] bekannt |
|
gewordenen Probleme tatsächlich vorlagen und mittlerweile beseitigt |
|
wurden“, sagte ein Sprecher der Berliner Landesdatenschutzbeauftragten der |
|
taz. |
|
|
|
Das Verfahren werde priorisiert bearbeitet, da sich die Berliner |
|
Datenschutzbeauftragte der Relevanz des Verfahrens vor dem Hintergrund des |
|
laufenden Wahlkampfs bewusst sei, sagte der Sprecher weiter. Da es sich bei |
|
den Daten auch um besondere Kategorien im Sinne von Artikel 9 der DSGVO |
|
handele, also etwa politische Meinungen und weltanschauliche Überzeugungen, |
|
„besteht die Möglichkeit, dass ein hohes Risiko für die persönlichen Rechte |
|
und Freiheiten einer Vielzahl von natürlichen Personen bestanden hat“, |
|
sagte ein Sprecher der Landesdatenschutzbeauftragten [10][der |
|
Aktivistengruppe UnionWatch] Anfang August. Verstöße gegen die DSGVO können |
|
mit Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des |
|
Jahresumsatzes des Unternehmens geahndet werden. |
|
|
|
„Das alles hat uns wieder einmal gezeigt, warum der Hacker-Paragraf und |
|
natürlich die CDU ganz dringend wegmüssen“, schreibt Wittmann in ihrem |
|
Post. „Der Hacker-Paragraf, weil er gefährlicher Quatsch ist. Die CDU, weil |
|
sie sogar in einem ‚Spiel‘, in dem sie sich selbst die Regeln geschrieben |
|
hat, nicht gewinnen kann, weil sie die Regeln nicht versteht.“ |
|
|
|
17 Sep 2021 |
|
|
|
## LINKS |
|
|
 |
[1] https://twitter.com/LilithWittmann/status/1438533408796332032 |
|
[2] https://lilithwittmann.medium.com/die-staatsanwaltschaft-sagt-ich-habe-die-… |
|
[3] /Verstoss-von-CDUconnect-gegen-DSGVO/!5791754 |
|
[4] https://twitter.com/StefanHennewig/status/1422899625397264387?ref_src=twsrc… |
|
[5] https://lilithwittmann.medium.com/die-staatsanwaltschaft-sagt-ich-habe-die-… |
|
[6] https://www.youtube.com/watch?v=6PwjZ3iwevE |
|
[7] https://www.gesetze-im-internet.de/stgb/__202a.html |
|
[8] https://en.wikipedia.org/wiki/Responsible_disclosure |
|
[9] https://en.wikipedia.org/wiki/Pastebin |
|
[10] https://twitter.com/watch_union/status/1423331396320432133 |
|
|
|
## AUTOREN |
|
|
|
Denis Gießler |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Überwachung |
|
DSGVO |
|
CDU/CSU |
|
Datenbank |
|
Landeskriminalamt |
|
GNS |
|
Software |
|
Schwerpunkt Überwachung |
|
IG |
|
Schwerpunkt Bundestagswahl 2025 |
|
Schwerpunkt Bundestagswahl 2025 |
|
Schwerpunkt Überwachung |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Geplante Reform des Hacker-Paragrafen: Sicherheit für gutwillige Hacker |
|
|
|
Wer ohne Auftrag in fremden Computersystemen Schwächen sucht, soll nicht |
|
mehr bestraft werden. Das sieht ein Gesetzentwurf vor, der der taz |
|
vorliegt. |
|
|
|
IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei |
|
|
|
Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke |
|
hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen. |
|
|
|
Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“ |
|
|
|
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App |
|
Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre. |
|
|
|
Digitalisierungspläne der Union: Das Upgrade hängt |
|
|
|
Mit einem 25-Punkte-Plan will die CDU die Digitalisierung in Deutschland |
|
retten. Oder besser, die vergangenen 16 Jahre wettmachen. |
|
|
|
Digitalisierung in Wahlprogrammen: Für einen Bundestag ohne Faxgerät |
|
|
|
Sechs Parteien werden vermutlich in den Bundestag einziehen. Was steht in |
|
ihren Wahlprogrammen zur Digitalisierung? |
|
|
|
Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App |
|
|
|
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft |
|
die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO. |
