Sicherheitslücke Staatsanwaltschaft bestätigt Schwachstelle in Wahlkampf-App der CDU

Die CDU hatte eine Sicherheitsforscherin angezeigt, die Lücken in einer App für Wahlkämpfer aufgedeckt hatte. Nun entlasten Behörden die Expertin – und bestätigen deren Analyse.
Eingangsbereich des Konrad-Adenauer-Hauses

Eingangsbereich des Konrad-Adenauer-Hauses

Foto:

CLEMENS BILAN / EPA

Die App »CDU Connect« sollte den Wahlkampf der Partei erleichtern und effizienter machen, doch bisher bescherte sie der CDU vor allem negative Schlagzeilen. In der App können Wahlkämpferinnen und Wahlkämpfer der Partei eintragen, an welcher Tür sie schon geklingelt haben und wie die Anwohner zur CDU stehen.

Im Mai jedoch enthüllte die Sicherheitsforscherin Lilith Wittmann, dass in der App hinterlegte, persönliche Daten schlecht geschützt seien und leicht durch Unbefugte hätten abgerufen werden können. So hätten unter anderem »persönliche Daten von 18.500 Wahlkampfhelfern mit E-Mail-Adressen, Fotos, teilweise Facebook-Tokens« gestohlen werden können, schrieb Wittmann damals.

Wittmann informierte jedoch die CDU, bevor sie ihre Erkenntnisse öffentlich machte. Diese Vorgehensweise heißt »Responsible Disclosure«, eine in der IT-Sicherheitscommunity bewährte Vorgehensweise, um betroffenen Stellen zu helfen, die Schwachstelle zu schließen und das Netz insgesamt sicherer zu machen. (Lesen Sie hier mehr zu den Hintergründen des Vorfalls.)

Als Reaktion nahm die CDU die App vorübergehend offline – und zeigte die Sicherheitsforscherin an, zunächst beim Bundeskriminalamt und anschließend bei der Berliner Staatsanwaltschaft. Diese leitete schließlich Ermittlungen wegen des Verdachts ein, dass Wittmann unrechtmäßig Daten ausgespäht haben könnte. Das geht aus Unterlagen hervor, die der SPIEGEL einsehen konnte.

Im Rahmen ihrer Ermittlungen stellte die Staatsanwaltschaft in Zusammenarbeit mit Cybercrime-Ermittlern des Berliner Landeskriminalamts nun fest, dass es tatsächlich eine Sicherheitslücke in der App gab. Eine Überwindung von Sicherheitsmerkmalen oder einer Zugangssicherung sei nicht notwendig gewesen, um auf interne Daten der App zuzugreifen, so die Behörde.

Diese Einschätzung könnte auch die Berliner Datenschutzbeauftragte interessieren. Die CDU selbst hatte die Datenpanne dort im Mai gemeldet. Inzwischen hat die Berliner Datenschutzbeauftragte ein Prüfverfahren zu dem Vorfall eingeleitet.

Umstrittener »Hacker-Paragraf«

Die Anzeige der CDU führte nach SPIEGEL-Informationen zu Ermittlungen wegen einer in Kreisen von IT-Sicherheitsforschenden gefürchteten Regelung: § 202a des Strafgesetzbuchs, bekannt als »Hacker-Paragraf«. Die Regelung war 2007 von der Großen Koalition eingeführt worden und wird von Expertinnen und Experten scharf kritisiert, weil sie deren Arbeit erheblich komplizierter macht.

»Ich finde es nach wie vor das Allerletzte, Sicherheitsforschende bewusst in eine Anzeige reinlaufen zu lassen«, so Wittmann im Gespräch mit dem SPIEGEL. So was zerstöre das Vertrauen in der Community, Schwachstellen vertrauensvoll zu melden. »Außerdem finde ich es eine absurde Ressourcenverschwendung, dass sich Behörden mit Ermittlungen gegen Forschende beschäftigen müssen«, kritisiert Wittmann das Vorgehen der CDU. Der Chaos Computer Club hatte nach der Anzeige angekündigt, keine Schwachstellen mehr an die Partei zu melden.

Carsten Hoenig, der Wittmann in dem Fall juristisch vertritt, bewertet den Paragraf 202a als »handwerklich einfach schlecht gemacht.« Die Regelung »droht, Sicherheitsforschung zu kriminalisieren und ist auch schlicht zu vage formuliert«, so Hoenig.

Schriftlicher Rückzug der Anzeige sechs Tage nach Twitter-Ankündigung

Erst nachdem Wittmann die Ermittlungen gegen sie Anfang August öffentlich gemacht hatte, ruderte die Partei zurück. CDU-Bundesgeschäftsführer Stefan Hennewig entschuldigte sich öffentlich bei Wittmann und schrieb auf Twitter, dass er die Anzeige zurückgezogen habe. Der Fall machte damals deutschlandweit Schlagzeilen.

Schriftlich erklärte die Partei sechs Tage später bei der Staatsanwaltschaft den Strafantrag gegen Wittmann zurückzunehmen, wie sich nun rekonstruieren lässt. Offenbar gab es zuvor jedoch bereits ein Telefonat zwischen der CDU und dem ermittelnden Landeskriminalamt. Da es sich bei § 202a jedoch um ein sogenanntes relatives Antragsdelikt handelt, muss die Staatsanwaltschaft in diesem Fall auch dann weiter ermitteln, wenn die CDU ihren Strafantrag zurückgezogen hat.

Inzwischen hat die Berliner Staatsanwaltschaft die Ermittlungen gegen Wittmann nach SPIEGEL-Informationen dennoch eingestellt. Allerdings weniger wegen der Rücknahme des Strafantrags durch die CDU, sondern weil sie schlicht keine Schuld bei Wittmann feststellen konnte. Weil sie bei der CDU Connect App keinerlei besondere technische Sicherungen überwinden musste, kann sie auch nicht gegen den »Hacker-Paragrafen« verstoßen haben, so die Argumentation der Behörde.

Leaking-Links ins Nirgendwo

Zeitgleich zur Rücknahme des Strafantrags gegen Wittmann erstattete die CDU Anzeige gegen Unbekannt, weil es durch Dritte zu einer angeblichen Veröffentlichung von Daten aus der Wahlkampf-App gekommen sein könnte. Als Indiz verwies die CDU auf einen Link auf der Plattform Pastebin, auf der anonym Inhalte veröffentlicht werden können. Dieser Link sollte »pastebin.com/cduconnect« heißen, die Partei befürchtete hier offenbar einen Leak. Die Partei konnte allerdings nicht prüfen, ob unter dem Link Informationen veröffentlicht wurden, weil der Link ins Leere führte.

Tatsächlich erscheint es praktisch ausgeschlossen, dass diese Pastebin-Seite je existierte, weil die Plattform zu jeder dort neu veröffentlichten Information zufällig Links generiert – eine gezielte Benennung mit »cduconnect« ist also nicht möglich. »Ich hätte vom Cyber-LKA erwartet, dass sie mit Sachverstand klären, dass es diese URL gar nicht geben kann«, so Wittmann dazu.

Auch die Ermittlungen gegen Unbekannt hat die Berliner Staatsanwaltschaft inzwischen eingestellt.