CDU zieht Anzeige wegen connect-App zurück und bittet um Entschuldigung
Die Entdeckerin der Daten- und Sicherheitslücken in der Wahlkampf-App der CDU war tatsächlich von der Partei angezeigt worden. Die zieht nun zurück.
(Bild: Shutterstock/Electric Egg)
Die CDU hat ihre Anzeige gegen die Software-Entwicklerin Lilith Wittmann zurückgezogen. Wie CDU-Bundesgeschäftsführer Stefan Hennewig per Twitter mitgeteilt hat, kam die Strafanzeige von der Partei selbst. Gleichzeitig bittet Hennewig im Namen der Partei um Entschuldigung: "Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe."
Gar kein Vorwurf an Wittmann
Hennewig schreibt weiter, die Anzeige liege bereits einige Wochen zurück und beziehe sich auf die Veröffentlichung persönlicher Daten. Dies sei aber, wie die Partei wohl jetzt erst bemerkt hat, nicht durch Wittmann geschehen. Der Geschäftsführer wörtlich: "Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun!" Die Reaktion der Angezeigten gegenüber heise online fällt trocken aus: "Das Verhalten der CDU spricht für sich selbst."
Die Softwareentwicklerin hatte im Mai 2021 in der "CDU-connect-App" und der dahinter liegenden Datenbank gravierende Mängel entdeckt. Die App dient für den Haustür-Wahlkampf der Partei und wurde auch von der österreichischen ÖVP und der CSU baugleich genutzt. So wurden offenbar seit Jahren Daten gesammelt. Von 18.000 Wahlkämpfenden für die CDU standen komplette Datensätze ungeschützt im Web. Die Softwareentwicklerin hatte nach eigenen Angaben vor ihrer Veröffentlichung sowohl die Partei wie auch die Landesdatenschutzbehörde von Berlin informiert. Daraufhin wurde die App aus den Stores für Android und iOS entfernt und die Datenbank offline genommen.
Damit waren die Regeln für ein "responsible disclosure" in der Security-Szene erfüllt. Üblicherweise danken die von solchen Lücken betroffenen Organisationen dann den Hinweisgebenden und verzichten auf rechtliche Schritte. Die CDU ist diesen Grundsätzen aber erst jetzt gefolgt, nachdem Wittmann das gegen sie eingeleitete Verfahren öffentlich gemacht hatte. Kurz darauf hatte der Chaos Computer Club (CCC) angekündigt, keine Hinweise auf Lücken in CDU-Infrastrukturen mehr zu geben.
Offen ist nun noch, wie sich die Staatsanwaltschaft Berlin verhält. Die Behörde kann eine solche Ermittlung einstellen, unter anderem dann, wenn es kein großes öffentliches Interesse an Strafverfolgung gibt. Eine Stellungnahme steht bei Erscheinen dieser Meldung noch aus.
(nie)
