Deutscher Wahlkampf Shitstorm gegen CDU nach Strafanzeige gegen IT-Expertin

dj

5.8.2021

Mit moderner Technik hat es die CDU nicht so.
Mit moderner Technik hat es die CDU nicht so.
Getty Images

Die CDU hat eine Forscherin angezeigt, die die deutsche Partei auf schwere Sicherheitslücken in deren App hingewiesen hatte. Nach einem Shitstorm macht die CDU nun einen Rückzieher.

dj

5.8.2021

Eine von der deutschen CDU, ihrer bayerischen Schwesterpartei CSU sowie der österreichischen ÖVP genutzte App hatte eine Sicherheitslücke. Die IT-Expertin Lilith Wittmann entdeckte diese im Mai und informierte die CDU sowie deutsche Behörden. Persönliche Daten von rund 18’000 Wahlkampfhelfer*innen waren öffentlich abrufbar.

Die Partei nahm die App offline. Wittmann beschrieb daraufhin die Details der Lücke auf ihrem Blog und schrieb von «eklatanten Sicherheitsmängeln». Dabei wurde sie auch durchaus politisch und sprach der CDU insgesamt die Digital-Kompetenz ab. Sie hielt sich dabei aber komplett an die Prinzipien des «Responsible Disclosure», die besagen, dass Sicherheitslücken zuerst den Betroffenen vertraulich gemeldet werden sollten, bevor sie öffentlich gemacht werden.

CDU muss Lücken zukünftig alleine suchen

Doch die CDU hat die Blossstellung der eigenen IT-Unfähigkeit offenbar nicht gut vertragen. Wie Wittmann am Dienstag auf Twitter mitteilte, meldete sich ein Ermittler des Landeskriminalamtes Berlin bei ihr. Denn die CDU hatte Strafanzeige gegen sie erstattet.

Der «Süddeutschen Zeitung» erzählte Wittmann, wie es dazu gekommen sei. CDU-Bundesgeschäftsführer Stefan Hennewig habe ihr zunächst einen Beratungsvertrag angeboten. Als sie dies ablehnte, sei die Strafanzeige gefolgt.

Das Vorgehen der CDU löste im Netz einen veritablen Shitstorm aus. Der deutsche Chaos Computer Club, bei dem Wittmann auch aktiv ist, verkündete, zukünftig keinerlei Sicherheitslücken mehr bei der CDU zu melden. Dass damit das Risiko der Partei für Hacks und Datenlecks steige, habe die CDU alleine zu verantworten.

Die Partei zieht zurück

Gestern versuchte sich dann Hennewig auf Twitter zu rechtfertigen und bot eine Entschuldigung an. Die Nennung von Wittmanns Namen in der Strafanzeige sei ein «Fehler» gewesen, die Anzeige sei «zurückgezogen» worden.

Erledigt ist die Angelegenheit dadurch aber nicht, denn über die Einstellung von Strafverfahren entscheiden im deutschen Recht Staatsanwälte und nicht die Anzeigesteller. Wittmann sammelt daher auch schon Spenden für ihre Rechtsanwaltskosten.

Die Erklärung und vermeintliche Entschuldigung von Hennewig hält sie für fadenscheinig. «Die Partei hat intern gedroht und mich öffentlich diskreditiert. [Kanzlerkandidat] Armin Laschet hat im Fernsehen von einer Hackerin gesprochen. Die Anzeige war definitiv kein Versehen», so Wittmann zur «Süddeutschen Zeitung».