Sicherheitsleck bei CDU: Namen von Bewerbern öffentlich einsehbar

Die CDU hat ein Sicherheitsleck in ihrer Online-Bewerberplattform. Namen von Bewerbern konnten öffentlich eingesehen werden.

In Pocket speichern vorlesen Druckansicht 84 Kommentare lesen
CDU-Logo an Haus

(Bild: Shutterstock/Electric Egg)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Die Christlich Demokratische Union Deutschlands hat ein weiteres IT-Sicherheitsproblem. Nachdem zuletzt professionelle Angreifer unter Ausnutzung von Sicherheitslücken in der IT-Sicherheits-Lieferkette ihr das Leben schwer machten und Online-Aktivisten ihre Abstimmungen gezielt nutzten, hat die CDU nun ein klassisches Datenleck: Die Namen von über 4800 Bewerbern für Stellen im Konrad-Adenauer-Haus und bei CDU-Gliederungen waren frei abrufbar – und die CDU offenkundig ahnungslos.

Mit krimineller Energie hat das nun entdeckte Datenleck nichts zu tun: Anders als beim "schwersten Angriff auf eine IT-Struktur, die jemals eine politische Partei in Deutschland erlebt hat", wie CDU-Chef Friedrich Merz die Attacke auf die IT-Infrastruktur des Konrad-Adenauer-Hauses nannte, und die unter Ausnutzung von Zero-Day-Exploits stattgefunden haben soll, handelt es sich bei dem nun bekannt gewordenen Datenleck um ein vollständig hausgemachtes Problem.

Die Bewerbungsplattform der CDU und ihre Gliederungen basiert auf Drupal. Dieses war so konfiguriert, dass mittels Aufruf einer Funktion über die URL die Namen der Nutzer über eine Account-Listenfunktion einsehbar waren: insgesamt 4870 Einträge. Laut Quellcode wurden bei dem verwendeten Drupal für die jobs.cdu.de-Seite Templates des CDU-eigenen Dienstleisters Union Betriebs-GmbH verwendet.

Weitergehende Informationen über die Bewerber außer deren Nach- und Vornamen waren nicht öffentlich einsehbar. Allerdings dürfte schon der bloße Umstand, dass die Personen sich für Jobs bei der CDU oder in deren Untergliederungen interessieren, bereits ein sensibles und besonders schützenswertes personenbezogenes Merkmal im Sinne der Datenschutz-Grundverordnung (DSGVO) sein.

Der Pressesprecher der CDU reagierte auf eine Anfrage von heise online am Dienstagmittag mit der Bitte um Stellungnahme bis zum Redaktionsschluss nicht. Um 16:30 schaltete die CDU jedoch die Jobplattform insgesamt in den Wartungsmodus. Zuvor kursierte der Link zu der Bewerberübersicht allerdings bereits mehrere Tage auf einschlägigen Webseiten.

Zuständig für den Datenschutz bei den Parteien ist als Aufsichtsbehörde die Berliner Landesdatenschutzbeauftragte. Dort ist der Vorgang zwischenzeitlich bekannt.

Die Self-Service-Plattform für CDU-Jobinteressierte ist laut Aussagen von in dem Datenleak enthaltenen Personen seit etwa 2016 aktiv gewesen – von damals stammen offenbar die ältesten Einträge. Neuere Einträge der vergangenen Monate standen ebenfalls auf der Plattform öffentlich bereit. Neue Registrierungen tauchten sofort in der Liste der Bewerberprofile auf, sobald die E-Mail-Adresse zum Profil vom Nutzer bestätigt wurde, wie ein Test von heise online zeigte.

Die Liste mit Bewerbernamen war bei der CDU öffentlich zugänglich. (Testaccount ungeschwärzt)

(Bild: Falk Steiner / heise online (Screenshot))

Die CDU hatte bereits in der Vergangenheit Probleme mit der IT-Sicherheit ihrer Onlineanwendungen. Nach einer später im Sande verlaufenen Strafanzeige der CDU gegen die Berliner Aktivistin Lilith Wittmann hatte der Chaos Computer Club bekannt gegeben, der CDU künftig keine gefundenen Sicherheitslücken mehr mitteilen zu wollen.

(olb)