# taz.de -- Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht geha… | |
> Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin | |
> Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz | |
> verstoßen? | |
Bild: „Völlig nutzloser Datensumpf“: Das „D“ in CDU steht eben nicht f… | |
BERLIN taz | Die Staatsanwaltschaft Berlin hat das Verfahren gegen Lilith | |
Wittmann eingestellt, wie die IT-Sicherheitsforscherin [1][auf Twitter] und | |
[2][in einem Blogeintrag] ausführlich darlegt. Im Mai 2021 hatte Wittmann | |
in der CDU-Wahlkampf-App „CDUconnect“ [3][gravierende Sicherheitslücken | |
entdeckt] und den zuständigen Behörden weitergeleitet: dem Bundesamt für | |
Sicherheit in der Informationstechnik BSI, der Berliner | |
Datenschutzbeauftragten und den verantwortlichen Stellen in der Union. | |
Daraufhin hatte die CDU Anzeige erstattet, das Landeskriminalamt Berlin, | |
Abteilung Cybercrime, ermittelte seitdem gegen die ehrenamtliche | |
IT-Sicherheitsforscherin wegen eines Verstoßes gegen Paragraf 202a/b/c | |
StGB, den von der Zivilgesellschaft kritisierten sogenannten | |
Hackerparagrafen, der 2007 von der Großen Koalition eingeführt worden war. | |
Nach massivem öffentlichem Druck zog die CDU die Anzeige zurück und | |
[4][entschuldigte sich bei Wittman]. Die Ermittlungen gegen die | |
Sicherheitsforscherin gingen jedoch weiter. | |
Wittmann zitiert nun [5][in ihrem Blogpost] aus der 150 Seiten dicken | |
Ermittlungsakte. Die Ermittler:innen bestätigten, was Wittmann bereits | |
im Mai feststellte: Sensible Daten lagen ungesichert in der CDU-Wahl-App. | |
„Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und | |
aus technischer Sicht öffentlich abrufbar“, schreiben die Ermittler:innen. | |
Einfache Abrufe über die Programmierschnittstelle hatten gereicht, um | |
Zugriff erlangen zu können, ohne dass dabei einfachste Mechanismen wie eine | |
Passwortabfrage überwunden werden mussten, wie [6][auch ein Video auf | |
Youtube zeigt]. | |
Gleichzeitig stellten die Ermittler:innen von Staatsanwaltschaft und | |
der Cybercrime-Stelle fest, dass es in der CDU-App tatsächlich eine | |
Sicherheitslücke gegeben hat. Weil die Daten demzufolge öffentlich abrufbar | |
waren, greife auch der Hackerparagraf nicht. [7][Denn dieser besagt], man | |
müsse sich unbefugt Zugang zu Daten verschaffen unter Überwindung der | |
Zugangssicherung. Die Staatsanwaltschaft habe deshalb das Verfahren | |
eingestellt. Die Rücknahme der Anzeige seitens der CDU habe damit | |
allerdings nichts zu tun. | |
## Tiefe Einblicke in die Digitalkompetenz der CDU | |
In der Ermittlungsakte finden sich weitere aufschlussreiche Informationen, | |
die „tiefe Einblicke in die Digitalkompetenz“ geben, wie Wittmann in ihrem | |
Post schreibt. So habe die CDU die durch den „Haustürwahlkampf“ erhobenen | |
Daten überhaupt nicht ausgewertet, sondern lediglich gesammelt, ein laut | |
Wittmann „völlig nutzloser Datensumpf“. | |
Die CDU nutzt CDUconnect, um den Haustürwahlkampf digital zu koordinieren. | |
Dabei werden Daten erfasst, etwa ob die Haustür geöffnet wurde oder nicht | |
und welche die politischen Meinungen zur CDU im entsprechenden Haushalt | |
waren. | |
Wittmann konnte mit simplen Abfragen auf die Daten von rund 500.000 | |
befragten Personen zugreifen. So waren persönliche Daten von 18.500 | |
Wahlkampfhelfer:innen mit Fotos und Mailadresse, bei 1.350 | |
CDU-Unterstützer:innen sogar die Adresse, Geburtstage und Interessen | |
ungeschützt im Netz einsehbar. In Googles Play Store verzeichnet CDUconnect | |
eine Wertung von 1,4 von 5 Sternen. „Die App“, so schreibt ein User, „zei… | |
perfekt die Kompetenz der CDU im Internet.“ | |
Auch dass Wittmann die Sicherheitslücke über das in der | |
IT-Sicherheitskultur etablierte [8][Prinzip der Responsible Disclosure] | |
gemeldet hatte, unterschlug die CDU in ihrer Anzeige. Der Ausdruck | |
bezeichnet das Verfahren, wenn Entdecker:innen die Sicherheitslücken an | |
die zuständigen Stellen weiterleiten und die Lücken erst öffentlich machen, | |
wenn sie behoben sind. | |
Außerdem wird ein weiterer Vorwurf der CDU entkräftet. Diese behauptete, | |
dass Wittmann alle in der CDU-App gesammelten Datensätze [9][auf Pastebin] | |
veröffentlicht hätte, einer Webanwendung, die man zur anonymen | |
Veröffentlichung von Texten nutzen kann. Wittmann bestritt, Daten aus der | |
App gespeichert, veröffentlicht oder gar weiterverbreitet zu haben. In der | |
Ermittlungsakte wird ersichtlich, dass auch die Staatsanwaltschaft dafür | |
keine Beweise fand. | |
## Hat die CDU-App gegen die DSGVO verstoßen? | |
Nun wird es für die CDU noch ungemütlicher. Denn seit Juli prüft die | |
Berliner Landesdatenschutzbeauftragte, ob die CDU-Wahlkampf-App womöglich | |
gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Ziel sei es zu | |
prüfen, ob die App „den Anforderungen des Datenschutzes entsprochen hat“ | |
und „ob die durch den externen Prüfbericht [von Wittmann; die Red.] bekannt | |
gewordenen Probleme tatsächlich vorlagen und mittlerweile beseitigt | |
wurden“, sagte ein Sprecher der Berliner Landesdatenschutzbeauftragten der | |
taz. | |
Das Verfahren werde priorisiert bearbeitet, da sich die Berliner | |
Datenschutzbeauftragte der Relevanz des Verfahrens vor dem Hintergrund des | |
laufenden Wahlkampfs bewusst sei, sagte der Sprecher weiter. Da es sich bei | |
den Daten auch um besondere Kategorien im Sinne von Artikel 9 der DSGVO | |
handele, also etwa politische Meinungen und weltanschauliche Überzeugungen, | |
„besteht die Möglichkeit, dass ein hohes Risiko für die persönlichen Rechte | |
und Freiheiten einer Vielzahl von natürlichen Personen bestanden hat“, | |
sagte ein Sprecher der Landesdatenschutzbeauftragten [10][der | |
Aktivistengruppe UnionWatch] Anfang August. Verstöße gegen die DSGVO können | |
mit Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des | |
Jahresumsatzes des Unternehmens geahndet werden. | |
„Das alles hat uns wieder einmal gezeigt, warum der Hacker-Paragraf und | |
natürlich die CDU ganz dringend wegmüssen“, schreibt Wittmann in ihrem | |
Post. „Der Hacker-Paragraf, weil er gefährlicher Quatsch ist. Die CDU, weil | |
sie sogar in einem ‚Spiel‘, in dem sie sich selbst die Regeln geschrieben | |
hat, nicht gewinnen kann, weil sie die Regeln nicht versteht.“ | |
17 Sep 2021 | |
## LINKS | |
[1] https://twitter.com/LilithWittmann/status/1438533408796332032 | |
[2] https://lilithwittmann.medium.com/die-staatsanwaltschaft-sagt-ich-habe-die-… | |
[3] /Verstoss-von-CDUconnect-gegen-DSGVO/!5791754 | |
[4] https://twitter.com/StefanHennewig/status/1422899625397264387?ref_src=twsrc… | |
[5] https://lilithwittmann.medium.com/die-staatsanwaltschaft-sagt-ich-habe-die-… | |
[6] https://www.youtube.com/watch?v=6PwjZ3iwevE | |
[7] https://www.gesetze-im-internet.de/stgb/__202a.html | |
[8] https://en.wikipedia.org/wiki/Responsible_disclosure | |
[9] https://en.wikipedia.org/wiki/Pastebin | |
[10] https://twitter.com/watch_union/status/1423331396320432133 | |
## AUTOREN | |
Denis Gießler | |
## TAGS | |
Schwerpunkt Überwachung | |
DSGVO | |
CDU/CSU | |
Datenbank | |
Landeskriminalamt | |
GNS | |
Schwerpunkt Überwachung | |
IG | |
Schwerpunkt Bundestagswahl 2021 | |
Schwerpunkt Bundestagswahl 2021 | |
Schwerpunkt Überwachung | |
## ARTIKEL ZUM THEMA | |
IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei | |
Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke | |
hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen. | |
Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“ | |
Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App | |
Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre. | |
Digitalisierungspläne der Union: Das Upgrade hängt | |
Mit einem 25-Punkte-Plan will die CDU die Digitalisierung in Deutschland | |
retten. Oder besser, die vergangenen 16 Jahre wettmachen. | |
Digitalisierung in Wahlprogrammen: Für einen Bundestag ohne Faxgerät | |
Sechs Parteien werden vermutlich in den Bundestag einziehen. Was steht in | |
ihren Wahlprogrammen zur Digitalisierung? | |
Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App | |
Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft | |
die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO. |