Sicherheitslücke gemeldet CDU nimmt ihre Wahlkampf-App offline
Connect-App im Play Store: Ein Werkzeug für den Wahlkampf
Foto: GoogleDie CDU hat eine Wahlkampf-App namens Connect bis auf Weiteres offline genommen. »Durch eine Prüfung unserer IT-Struktur sind wir von Lilith Wittmann auf eine Sicherheitslücke unserer App hingewiesen worden, die es notwendig machte, die App vorsorglich vom Server zu nehmen«, heißt es am Mittwoch auf dem Twitteraccount zur erstmals Ende 2016 vorgestellten App, die für den Haustürwahlkampf gedacht ist. »Derzeit arbeiten wir mit Hochdruck daran, die Lücke zu schließen.« Man werde die Wahlkämpferinnen und Wahlkämpfer informieren, sobald die App wieder in vollem Umfang zur Verfügung steht.
Die erwähnte Lilith Wittmann ist eine Softwareentwicklerin, die in der Start-up-Szene aktiv ist. In einem ausführlichen Blogpost erläutert sie, wie das Sicherheitsproblem konkret aussieht und wie sie es entdeckt hat.
In dem Blogpost schreibt Wittmann, sie sei am Dienstag bei Twitter auf die App aufmerksam geworden und so auf die Idee gekommen, sich genauer mit dem Programm auseinanderzusetzen. Dabei fiel Wittmann nach eigenen Angaben auf, dass die App gängige IT-Sicherheitspraktiken offenbar nicht umsetzt und »dass es somit supereinfach war, auf die Programmierschnittstelle zuzugreifen«.
Manchmal braucht es nicht einmal Namen
Die Connect-App für iOS und Android soll es Wahlkämpferinnen und Wahlkämpfern der Partei unter anderem erlauben, Informationen zu Hausbesuchen zu erfassen, im Sinne von: In welcher Straße war man unterwegs und hat geklingelt? Machte jemand die Tür auf, und war es ein Mann oder eine Frau? Wie stand jene Person zur CDU? Und wie alt war sie ungefähr?
Wittmann schreibt nun, sie habe einen Weg gefunden, »detaillierte Informationen zu jedem in der App erfassten Besuch« abzurufen. Dabei seien neben Straßennamen, Geschlechtsangaben und dem geschätzten Alter auch Notizen zu Gesprächsinhalten einsehbar gewesen, heißt es. Als ein Beispiel zitiert Wittmann folgende Notiz: »Bundeskanzler soll ein Mann sein und keine links-grün-versiffte Frau. – 50-jährige Frau aus Göttingen«. Wittmann berichtet von mehr als 100.000 solcher Datensätze.
Die Daten zu den Besuchen seien »anonymisiert gespeichert«, betont die CDU auf SPIEGEL-Anfrage. Sie würden »im Block am Straßenmittelpunkt ohne Hinweis auf Namen oder Hausnummern« erfasst und seien – so sieht es die CDU – »somit nicht zu einzelnen Personen rückverfolgbar«: »Diese Vorgehensweise entspricht dem Datenschutzrecht und ist bereits in vergangenen Wahlkämpfen von mehreren Landesdatenschutzbehörden geprüft worden.«
Persönliche Daten von Tausenden Menschen abrufbar
Von den zahlreichen digitalen Erinnerungsstützen abgesehen, stieß Wittmann allerdings auch auf Heikleres. Laut ihrem Blogpost entdeckte sie über das System der App auch noch »die persönlichen Daten von 18.500 Wahlkampfhelfern, mit E-Mail-Adressen, Fotos, teilweise Facebook-Tokens« sowie »die persönlichen Daten von 1350 Unterstützer*innen, die angeworben wurden, der CDU im Wahlkampf zu helfen, inklusive Adresse, Geburtsdatum und Interessen«.
Angesichts jenes Funds habe sie die Lücke dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet, schreibt Wittmann, ebenso der Berliner Datenschutzbeauftragten. Auch der CDU habe sie Bescheid gegeben.
Auf Nachfrage bestätigt die CDU jene Lücke. Die Partei spricht davon, dass die Daten von 17.000 registrierten Wahlkämpferinnen und Wahlkämpfern sowie die Adressdaten von rund 1300 Bürgerinnen und Bürgern, die Fragen gestellt haben, einsehbar waren. Jene Personen hätten »durch ein Double-opt-in-Verfahren eingewilligt, dass ihre Daten zur Beantwortung von inhaltlichen Fragen gespeichert werden.« Nicht alle Personen, die im System auftauchen, existieren allerdings unbedingt: »Mitte April gab es auf Twitter den Aufruf, Fake-Profile in der App anzulegen«, heißt es von der CDU. »Diese sind im Backend der App deaktiviert, sind in den betroffenen circa 17.000 Datensätzen aber enthalten.«
Die Betroffenen sollen informiert werden
»Der CDU Deutschlands tut der Vorfall sehr leid und wir bitten für die entstandenen Unannehmlichkeiten um Entschuldigung«, teilt die Partei dem SPIEGEL mit. Nach dem Hinweis von Lilith Wittmann habe man die betroffenen Server vom Netz genommen, »um einen Datenabfluss zu verhindern« und die zuständige Datenschutzbehörde informiert. Derzeit sei man dabei, alle potenziell betroffenen Nutzerinnen und Nutzer zu informieren.
Zur Zukunft der Connect-App heißt es von der CDU, ein Update gehe in die Stores, sobald alle Sicherheitslücken geschlossen sind: »Die von Frau Wittmann beschriebene Vorgehensweise für einen unerlaubten Datenzugriff ist bereits seit heute Mittag nicht mehr nutzbar.«
Lilith Wittmann schreibt in ihrem Blogpost, sie finde es »bedenklich, dass eine App mit solchen eklatanten Sicherheitsmängeln über Jahre hinweg öffentlich verfügbar war, insbesondere im Kontext dessen, dass ein solcher Mangel den Entwickler*innen eigentlich bekannt sein müsste.« Wenn eine Partei nicht fähig sei, ihre eigene Wahlkampf-App sicher und verantwortungsbewusst zu entwickeln, fragt Wittmann: »Wie soll sie das dann mit der IT-Infrastruktur eines ganzen Landes hinbekommen?«
Update, Donnerstag, 13.45 Uhr: In einem neuen Blogpost merkt Lilith Wittmann am Donnerstag an, dass sie auch in einer Wahlkampf-App der CSU Datensätze zum Haustürwahlkampf einsehen konnte. In dieser App, die von der gleichen Firma wie das CDU-Pendant entwickelt wurde, konnte sie sich zudem selbst zur Administratorin machen: »Das wiederum erlaubte mir Daten einzusehen, E-Mails zu versenden, ...«, schreibt Wittmann. Jene Sicherheitslücke betraf laut Wittmann auch eine dritte Wahlkampf-App derselben Firma, die von der neuen Volkspartei Wien genutzt wird. Nach erneuten Hinweisen von ihr sind beide Apps nun offline.
