Lücken in der connect-App: Wenn eine Hackerin bei der CDU anruft
Als Lilith Wittmann der CDU eine Lücke in ihrer App mitteilen wollte, hörte ihr keiner zu. Dann folgten Drohungen und eine Anzeige, erzählt sie im Interview.
(Bild: ra2studio/Electric Egg/Shutterstock.com/heise online)
Die Berliner Softwareentwicklerin Lilith Wittmann hatte im Mai in der Handy-App CDU-connect gravierende Sicherheitslücken und daraufhin eine kaum gesicherte Datenbank mit Personendaten von über 18.000 Wahlkämpfenden im Web entdeckt. Im Zuge eines Responsible Disclosure informierte sie auch die Partei. Daraus ergab sich erst ein Jobangebot, dann eine Drohung und schließlich eine inzwischen zurückgezogene Anzeige. Das Ermittlungsverfahren läuft allerdings noch.
Frau Wittmann, wie kamen Sie dazu sich mit der Wahlkampf-App der CDU zu beschäftigen?
Das Thema ging damals auf Twitter herum und ich habe mich gewundert, dass da wohl massenhaft Daten von Wähler.innen und deren Meinung erfasst werden. Das klang nach etwas, das man einfach nicht tun sollte, wie man schon in den USA gesehen hatte.
(Bild: privat)
Wie lange hat es dann gedauert, die Lücke und die dahinter liegende Datenbank zu finden?
Vielleicht zwei oder drei Stunden für die Vulnerability. Es war so einfach, dass ich es fast nicht ausprobiert hätte – aber auf einmal hatte ich die ganze Datenbank in der Hand. Das Dokumentieren und Kommunizieren der Sicherheitslücke hat dann aber sehr viel länger gedauert.
Sie erklären in Ihrem Blogeintrag, BSI, CERT, der Landesdatenschutzbeauftragte und die CDU seien zeitgleich informiert worden. Dennoch werfen Ihnen manche Leute vor, das sei kein Responsible Disclosure gewesen, weil Sie schon vorher über Ihre Arbeit getwittert hatten.
Ich habe weder verraten, dass es eine Sicherheitslücke gibt noch irgendwelche Details. Dass ich sage, ich benutze dieses Ding, und ich schaue mir das an – das ist ja noch keine Aussage darüber, dass ich eine Lücke gefunden habe. Ich schreibe auch nichts über Lücken, solange sie nicht behoben sind oder die entsprechende Applikation offline ist.
Und warum gab es dann gleich Alarm bei so vielen Stellen?
Das BSI muss ich immer informieren, wenn es einen Datenabfluss gibt. Und aus meiner Sicht waren das auch personenbezogene Daten, daher der Landesdatenschutzbeauftragte. Als Erstes habe ich aber versucht, die CDU zu informieren. Aber es war schnell klar, dass da niemand mit mir am Telefon über Sicherheitslücken reden wollte.
"Schreiben Sie mal eine Mail"
Wen haben Sie da angesprochen?
Ich habe bei der Bundeszentrale der CDU angerufen und mich als Sicherheitsforscherin vorgestellt, die eine Lücke gefunden hat. Die haben mich dann dreimal weiterverbunden und dann hieß es: "Schreiben Sie mal eine Mail an unseren Datenschutzbeauftragten, wir wissen jetzt auch nicht was wir tun sollen". Das habe ich dann auch gemacht, parallel mit allen relevanten Behörden und dem Hinweis, dass sie sich damit in einem Prozess des Responsible Disclosure befinden. Aber zuerst habe ich versucht die Partei per Telefon zu bitten, dass sie das Ding offline nehmen.
Als Nächstes gab es das erste Gespräch mit dem CDU-Bundesgeschäftsführer Stefan Hennewig. Wie kam es dazu?
Er hat mich zuerst über seinen privaten Twitter-Account angeschrieben und um ein Gespräch gebeten. Kurz darauf haben wir telefoniert. Als Erstes sollte ich ihm bestätigen, dass ich keine persönlichen Daten von CDUlern gespeichert habe – hatte ich auch nicht, warum auch? Dann hat er mir angeboten für die Partei zu arbeiten, man habe da ganz viele Sicherheitsprobleme. Ich habe ihm dann erklärt, dass ich nicht für Leute arbeite, bei denen ich gerade Lücken gefunden habe, denn dann würde ich in der Sicherheitsbranche arbeiten und könnte das nicht mehr als zivilgesellschaftliches Engagement machen. Und dann habe ich ihm noch gesagt, was ich von der CDU halte.
Das scheint im Nachhinein ein Fehler gewesen zu sein...
Ja, er meinte, er müsse mich eigentlich schon anzeigen. Ich erklärte, dass ich das nicht glaube, und wir haben ein bisschen darüber gestritten, ob die CDU personenbezogene Daten von ihren Wählern speichert. Ich glaube das, und dann meint er nochmal, dass er mich anzeigen wolle. Daraufhin habe ich das Gespräch beendet.
Und dann passierte lange nichts, oder?
Bis auf die Tatsache, dass Armin Laschet mich im Fernsehen als "Hackerin" bezeichnet hat.
Das war in seinem Interview bei ProSieben am 17. Mai, und Sie haben sich über den Begriff auf Twitter ziemlich geärgert – warum?
Es kommt darauf an, wie man "Hacker" benutzt. Damit können Leute gemeint sein, die coole und kreative Sachen machen. Aber so wie Laschet das benutzt hat, quasi "da hat sich jemand reingehackt" ist das eindeutig negativ konnotiert. Deshalb versuche ich das in Interviews oft durch "IT-Sicherheitsforscherin" zu ersetzen.
