Sicherheitsleck bei CDU: Namen von Bewerbern öffentlich einsehbar
Die CDU hat ein Sicherheitsleck in ihrer Online-Bewerberplattform. Namen von Bewerbern konnten öffentlich eingesehen werden.
(Bild: Shutterstock/Electric Egg)
Die Christlich Demokratische Union Deutschlands hat ein weiteres IT-Sicherheitsproblem. Nachdem zuletzt professionelle Angreifer unter Ausnutzung von Sicherheitslücken in der IT-Sicherheits-Lieferkette ihr das Leben schwer machten und Online-Aktivisten ihre Abstimmungen gezielt nutzten, hat die CDU nun ein klassisches Datenleck: Die Namen von über 4800 Bewerbern für Stellen im Konrad-Adenauer-Haus und bei CDU-Gliederungen waren frei abrufbar – und die CDU offenkundig ahnungslos.
Mit krimineller Energie hat das nun entdeckte Datenleck nichts zu tun: Anders als beim "schwersten Angriff auf eine IT-Struktur, die jemals eine politische Partei in Deutschland erlebt hat", wie CDU-Chef Friedrich Merz die Attacke auf die IT-Infrastruktur des Konrad-Adenauer-Hauses nannte, und die unter Ausnutzung von Zero-Day-Exploits stattgefunden haben soll, handelt es sich bei dem nun bekannt gewordenen Datenleck um ein vollständig hausgemachtes Problem.
4870 Bewerbernamen öffentlich einsehbar
Die Bewerbungsplattform der CDU und ihre Gliederungen basiert auf Drupal. Dieses war so konfiguriert, dass mittels Aufruf einer Funktion über die URL die Namen der Nutzer über eine Account-Listenfunktion einsehbar waren: insgesamt 4870 Einträge. Laut Quellcode wurden bei dem verwendeten Drupal für die jobs.cdu.de-Seite Templates des CDU-eigenen Dienstleisters Union Betriebs-GmbH verwendet.
Weitergehende Informationen über die Bewerber außer deren Nach- und Vornamen waren nicht öffentlich einsehbar. Allerdings dürfte schon der bloße Umstand, dass die Personen sich für Jobs bei der CDU oder in deren Untergliederungen interessieren, bereits ein sensibles und besonders schützenswertes personenbezogenes Merkmal im Sinne der Datenschutz-Grundverordnung (DSGVO) sein.
CDU schaltet Plattform nach Hinweis von heise online ab
Der Pressesprecher der CDU reagierte auf eine Anfrage von heise online am Dienstagmittag mit der Bitte um Stellungnahme bis zum Redaktionsschluss nicht. Um 16:30 schaltete die CDU jedoch die Jobplattform insgesamt in den Wartungsmodus. Zuvor kursierte der Link zu der Bewerberübersicht allerdings bereits mehrere Tage auf einschlägigen Webseiten.
Zuständig für den Datenschutz bei den Parteien ist als Aufsichtsbehörde die Berliner Landesdatenschutzbeauftragte. Dort ist der Vorgang zwischenzeitlich bekannt.
Älteste Einträge fast ein Jahrzehnt alt
Die Self-Service-Plattform für CDU-Jobinteressierte ist laut Aussagen von in dem Datenleak enthaltenen Personen seit etwa 2016 aktiv gewesen – von damals stammen offenbar die ältesten Einträge. Neuere Einträge der vergangenen Monate standen ebenfalls auf der Plattform öffentlich bereit. Neue Registrierungen tauchten sofort in der Liste der Bewerberprofile auf, sobald die E-Mail-Adresse zum Profil vom Nutzer bestätigt wurde, wie ein Test von heise online zeigte.
(Bild: Falk Steiner / heise online (Screenshot))
Die CDU hatte bereits in der Vergangenheit Probleme mit der IT-Sicherheit ihrer Onlineanwendungen. Nach einer später im Sande verlaufenen Strafanzeige der CDU gegen die Berliner Aktivistin Lilith Wittmann hatte der Chaos Computer Club bekannt gegeben, der CDU künftig keine gefundenen Sicherheitslücken mehr mitteilen zu wollen.
(olb)
