Geschrieben von Muad'Dib am 04.08.2021 um 12:14:
Sicherheitslücken in CDU-connect-App: Strafverfahren gegen Entdeckerin
Gegen eine Entwicklerin, die Sicherheitslücken in insgesamt drei Wahlkampf-Apps entdeckt hatte, wird ermittelt. Dabei war sie verantwortungsbewusst vorgegangen.
Gegen eine Softwareentwicklerin, die in einer App der CDU für den Haustürwahlkampf eklatante Sicherheitslücken gefunden hat, wurde ein Strafverfahren eingeleitet. Das hat Lilith Wittmann auf Twitter öffentlich gemacht. Demnach wird sie in dem Ermittlungsverfahren als Beschuldigte geführt.
Von wem das Verfahren eingeleitet wird, geht es aus dem Statement nicht hervor, aber Wittmann weist darauf hin, dass die CDU ihr gegenüber schon angedeutet habe, den Vorgang zur Anzeige bringen zu wollen. In einer ersten Reaktion hat der Chaos Computer Club umgehend angekündigt, der CDU künftig keine Sicherheitslücken mehr melden zu wollen.
Tausende Datensätze einsehbar
Bei der "CDU-connect-App" – und zwei baugleichen Anwendungen der CDU und von Österreichs Volkspartei mit denselben Lücken – handelt es sich um Software für Wahlkämpfende. Die sollen damit erfassen, wo sie im Wahlkampf bereits geklingelt und was sie dort besprochen haben. Wittmann war nach eigener Aussage bei einer Analyse der Anwendung schnell auf Lücken gestoßen und konnte unter anderem über 18.000 Datensätze zu Wahlkämpfenden für die CDU einsehen. Auch auf Details zu den Besuchten habe man aus den Daten schließen können, auch wenn keine personenbezogenen Daten zu denen von der Anwendung gespeichert wurden. Wittmann hatte nach eigenen Angaben nicht nur den CERT-Bund und Berlins Datenschutzbeauftragten, sondern auch die CDU informiert.
Die Apps für Android und iOS waren umgehend nach den Hinweisen offline genommen worden, inzwischen sind sie wieder verfügbar. Einzelheiten zu dem nun anhängigen Verfahren gibt es bislang nicht, eine Anfrage von heise online an die CDU wurde noch nicht beantwortet. Trotzdem hat der einflussreiche Chaos Computer Club bereits reagiert und der CDU öffentlich mitgeteilt, gefunden Sicherheitslücken künftig nicht mehr im Verfahren der sogenannten Responsible Disclosure mitteilen zu wollen. Dank dieser impliziten Vereinbarung könnten IT-Schwachstellen gemeldet werden, ohne dass Entdecker und Entdeckerinnen juristische Konsequenzen befürchten müssen. Die habe die CDU aber nun aufgekündigt.
Wenn die CDU Überbringende von schlechten Nachrichten angreife und nicht das Problem, zeige sie sich äußerst undankbar für die ehrenamtliche Nachhilfe. Dabei handle es sich doch immerhin um eine "eine kostenlose Nachhilfe in IT-Sicherheit", die im vorliegenden Fall etwa dem Schutz von 18.000 Personen diente.
Um rechtliche Auseinandersetzungen, wie sie Wittmann nun drohen, in Zukunft zu vermeiden, "sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung verzichten", erklärte CCC-Sprecher Linus Neumann nun, und der "
CCC wünscht CDU viel Glück bei zukünftigen Schwachstellen".
(mho)
Quelle:
https://heise.de/-6154663
PS: Wie krank ist das denn?
Eine Softwareentwicklerin wird ganz uneigennützig zur Whistleblowerin und wird jetzt nach Anzeige durch die CDU Affen vom LKA als Beschuldigte in einem Strafverfahren vernommen und geführt.............
https://www.heise.de/forum/heise-online/Kommentare/Sicherheitsluecken-in-CDU-connect-App-Strafverfahren-gegen-Entdeckerin/Nicht-nur-Sicherheitsluecken-in-der-App-sind-altbekannte-Schnueffler-eingebaut/posting-39382058/show/
Geschrieben von Muad'Dib am 04.08.2021 um 15:45:
CDU zieht Anzeige wegen CDU-connect-App zurück und bittet um Entschuldigung
Die Entdeckerin der Daten- und Sicherheitslücken in der Wahlkampf-App der CDU war tatsächlich von der Partei angezeigt worden. Die zieht nun zurück.
Die CDU hat ihre Anzeige gegen Lilith Wittmann zurückgezogen.
Wie CDU-Bundesgeschäftsführer Stefan Hennewig per Twitter mitgeteilt hat, kam die Strafanzeige gegen die Softwareentwicklerin von der Partei selbst.
Gleichzeitig bittet die Partei Wittmann um Entschuldigung: "Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe."
Gar kein Vorwurf an Wittmann
Hennewig schreibt weiter, die Anzeige liege bereits einige Wochen zurück und beziehe sich auf die Veröffentlichung persönlicher Daten. Dies sei aber, wie die Partei wohl jetzt erst bemerkt hat, nicht durch Wittmann geschehen. Der Geschäftsführer wörtlich: "Ich habe heute mit Lilith Wittmann telefoniert. Sie hat mit diesen beiden Vorgängen nichts zu tun!" Die Reaktion der Angezeigten gegenüber Heise Online fällt trocken aus: "Das Verhalten der CDU spricht für sich selbst."
Die Softwareentwicklerin hatte im Mai 2021 in der "CDU-connect-App" und der dahinter liegenden Datenbank gravierende Mängel entdeckt. Die App dient für den Haustür-Wahlkampf der Partei und wurde auch von der österreichischen ÖVP und der CSU baugleich genutzt. Offenbar seit Jahren wurden so Daten gesammelt. Von 18.000 Wahlkämpfenden für die CDU standen komplette Datensätze ungeschützt im Web. Die Softwareentwicklerin hatte nach eigenen Angaben vor ihrer Veröffentlichung sowohl die Partei wie auch die Landesdatenschutzbehörde von Berlin informiert. Daraufhin wurde die App aus den Stores für Android und iOS entfernt und die Datenbank offline genommen.
Damit waren die Regeln für ein "responsible disclosure" in der Security-Szene erfüllt. Üblicherweise danken die von solchen Lücken betroffenen Organisationen dann den Hinweisgebenden und verzichten auf rechtliche Schritte. Die CDU ist diesen Grundsätzen aber erst jetzt gefolgt, nachdem Wittmann das gegen sie eingeleitete Verfahren öffentlich gemacht hatte. Kurz darauf hatte der Chaos Computer Club (CCC) angekündigt, keine Hinweise auf Lücken in CDU-Infrastrukturen mehr zu geben.
Offen ist nun noch, wie sich die Staatsanwaltschaft Berlin verhält. Die Behörde kann eine solche Ermittlung einstellen, unter anderem dann, wenn es kein großes öffentliches Interesse an Strafverfolgung gibt. Eine Stellungnahme steht bei Erscheinen dieser Meldung noch aus.
(nie)
Quelle:
https://heise.de/-6155229