Sicherheitslücken in CDU-connect-App: Strafverfahren gegen Entdeckerin

[Thorque]

"
Gegen eine Softwareentwicklerin, die in einer App der CDU für den Haustürwahlkampf eklatante Sicherheitslücken gefunden hat, wurde ein Strafverfahren eingeleitet. Das hat Lilith Wittmann auf Twitter öffentlich gemacht. Demnach wird sie in dem Ermittlungsverfahren als Beschuldigte geführt.

Von wem das Verfahren eingeleitet wird, geht es aus dem Statement nicht hervor, aber Wittmann weist darauf hin, dass die CDU ihr gegenüber schon angedeutet habe, den Vorgang zur Anzeige bringen zu wollen. In einer ersten Reaktion hat der Chaos Computer Club umgehend angekündigt, der CDU künftig keine Sicherheitslücken mehr melden zu wollen.

Tausende Datensätze einsehbar​

Bei der "CDU-connect-App" – und zwei baugleichen Anwendungen der CDU und von Österreichs Volkspartei mit denselben Lücken – handelt es sich um Software für Wahlkämpfende. Die sollen damit erfassen, wo sie im Wahlkampf bereits geklingelt und was sie dort besprochen haben. Wittmann war nach eigener Aussage bei einer Analyse der Anwendung schnell auf Lücken gestoßen und konnte unter anderem über 18.000 Datensätze zu Wahlkämpfenden für die CDU einsehen. Auch auf Details zu den Besuchten habe man aus den Daten schließen können, auch wenn keine personenbezogenen Daten zu denen von der Anwendung gespeichert wurden. Wittmann hatte nach eigenen Angaben nicht nur den CERT-Bund und Berlins Datenschutzbeauftragten, sondern auch die CDU informiert."

kompletter artikel:
https://www.heise.de/news/Sicherhei...Strafverfahren-gegen-Entdeckerin-6154663.html


weitere infos bei golem
https://www.golem.de/news/connect-a...erin-nach-melden-von-luecken-2108-158647.html

---

So viel zum Thema Sicherheit, DSGVO, Privatsphäre, Neuland, Vertrauen




UPDATE

quelle
https://www.spiegel.de/netzwelt/cdu...cherin-a-2332e1a4-4f65-47aa-a2ff-e3345632f522

Also erst Beratervertrag haben wollen von der Softwareentwicklerin, der wird von ihr abgelehnt und dann anzeigen?
WTF?

quelle heise.de

na da war die Berichterstattung und der (ach wie überraschende) Shitstorm gegenüber der CDU wohl zu gross und (nur?) deshalb rudert man zurück...
#fail
zu spät!

alleine, dass man überhaupt Anzeige erstattet hat, nachdem jemand auf eine eklatante Sicherheitslücke beim Datenschutz hingewiesen hat ist ein Skandal und peinlich.

 

[Hurricane.de]

Wie immer, wenn es um die CDU geht, will man hier nur den Kopf auf den Tisch hauen.

 

[ghecko]

In einer ersten Reaktion hat der Chaos Computer Club umgehend angekündigt, der CDU künftig keine Sicherheitslücken mehr melden zu wollen.

Die letzte Stimme der Vernunft.

@SV3N Das ist doch was für die Titelseite.

 

[Erzherzog]

Ist das finden von Sicherheitslücken strafbar?
Ist doch die Frage was und wie sie das gemacht hat und ob das gemeldet wurde.
Man bekommt doch meist eher sogar Geld wenn man das meldet.

Strafbar wäre es doch wenn man die Lücke ausnutzt oder verbreitet!?

 

[Gortha]

Das ist mal wieder wie so oft: Kill the Messenger.

Man darf diese Leute einfach nicht mehr an die Tröge der Macht lassen, sonst wird sowas immer schlimmer.

Egal wer von den freiheitsfeindlichen Blockparteien vor meiner Tür stehen würde, Tür wird einfach geschlossen und einen schönen Tag gewünscht. Ich mache diese Böcke nie wieder zum Gärtner.

 

[ghecko]

Strafbar wäre es doch wenn man die Lücke ausnutzt oder verbreitet!?

So sind sie halt. Man fühlt sich erwischt (wohl zurecht) wenn jemand Einsicht in den Wahlkampf bekommt und Angriff ist nun mal die beste Verteidigung.

 

[Gortha]

@ghecko

Dumme Menschen reagieren so. Und bedenklich ist, dass diese eine Pseudo-Politelite bilden und bilden wollen.

 

[Traube]

Diese Partei kann sich leider alles erlauben und kommt damit auch noch durch.

 

[thealex]

Schlussendlich steht es der CDU ja frei, Strafanzeige zu stellen. Das darf ja erstmal jeder. Ob dieser Sachverhalt aber jemals eine Zulassung zur Klage erhalten würde, sei dahingestellt. Das dürften die auch wissen, haben ja haufenweise Juristen am Start. Aber es lenkt erstmal ab.

Es ist einfach wieder nur bitter und traurig zu sehen, wie sich eine (gemessen an der Vergangenheit) große "Volkspartei", die sich als digital aufgeklärt hinstellt, sich mit dieser Reaktion derart desaströs selbst zerstört, dass es einem als Außenstehenden beinahe schon unangenehm ist.

 

[Thorque]

Barbara Streisand Effekt..

Wer hat die CDU da nur wieder beraten?

Alleine schon, dass man einen Hinweis auf eklatante Sicherheitslücken anzeigt zeigt welch Geistes Kinde sie sind,

 

[Knuddelbearli]

Es ist einfach wieder nur bitter und traurig zu sehen, wie sich eine (gemessen an der Vergangenheit) große "Volkspartei", die sich als digital aufgeklärt hinstellt, sich mit dieser Reaktion derart desaströs selbst zerstört, dass es einem als Außenstehenden beinahe schon unangenehm ist.

zerstört? 99,9% der typischen CDU wähler dürfte das egal sein und ein guter Teil sogar richtig finden weill sie es selber nicht kapieren wie das funktioniert

 

[coasterblog]

Findet sich jetzt auch in den "normalen" Medien, aber mir wird da zu oft das Wort "Hacker" verwendet.
https://www.n-tv.de/politik/Chaos-Computer-Club-wettert-gegen-CDU-article22722598.html

 

[Traube]

Ob dieser Sachverhalt aber jemals eine Zulassung zur Klage erhalten würde, sei dahingestellt.

Natürlich, weil es die CDU ist. Hat zwar nichts direkt damit zu tun, aber es gibt auch Videos, wo die Polizei grundlos auf Demonstranten einprügelt. Es gibt Videobeweise und trotzdem wird es für die Polizisten keine Konsequenzen haben. Ich hätte nicht gedacht, dass es in Deutschland jemals so schlimm werden würde. Aber es wird jeden Tag schlimmer.

 

[thealex]

zerstört? 99,9% der typischen CDU wähler dürfte das egal sein und ein guter Teil sogar richtig finden weill sie es selber nicht kapieren wie das funktioniert

Ja... Demographieprobleme sieht man an an vielen Stellen. Hier definitiv auch.

 

[Geringverdiener]

Tja, das kommt davon wenn Neandertaler verspätet ins digitale Zeitalter eintreten und dann noch die Kontrolle haben.

 

[poly123]

https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu

Statt einen "Hackathon" auszurufen, wird die rechtliche Keule geschwungen - man kann sich nur fremdschämen. Im Zweifel würde die Staatsanwaltschaft das Verfahren eh einstellen, weil ein positives und kein böswilliges Handeln erkannt wird.

 

[GrinderFX]

Das kann wie bei dem Sat 1 Sicherheitsexperten Peter hut mega nach hinten los gehen.
Der machte ähnliches und wurde am Ende selbst schuldig gesprochen, weil seine Sicherheitsvorkehrungen sowas von nicht existent waren, dass die Datensätze als öffentlich geführt galten und somit ein Verstoß gegen den Datenschutz dar stellten.
Er wurde dafür hart verknackt. Kann der CDU so auch ergehen.

 

[TrueAzrael]

Keiner weiß ob die CDU der Kläger ist, keiner weiß worum es sich in der Klage handelt, keiner weiß wie sich die Dame im Vorfeld verhalten hat, aber auf Grund eines Twitterposts wettert alles gegen die CDU.
Hier wird zwar der Beklagte als unschuldig behandelt bis das Gegenteil bewiesen ist, aber dafür wird der vermeintliche Ankläger gleich schuldig gesprochen und gelyncht.

Ich sage nicht, dass die CDU hier mal wieder den Vogel abgeschossen hat, aber ich weiß nicht einmal ob es die CDU war und welchen Vogel sie denn getroffen haben sollen...

 

[ModellbahnerTT]

Aber es lenkt erstmal ab.

Leider in die falsche Richtung nämlich gegen die CDU/CSU.

Wer hat die CDU da nur wieder beraten?

Garantiert keine Internet affinen Personen aus dem falschen linken Lager. Juristen hätten niemals dazu geraten.

 

[Traube]

In solchen Fällen wünsche ich mir wirklich, dass die Polizei die Knüppel auspackt und auf diese ganzen dummen Hools einknüppelt, bis diese sich am Boden krümmen.

Nur ist das eigentlich der Straftatbestand der schweren Körperverletzung und als (vermeintlicher) Hüter des Gesetzes sollte man ganz besonders keine Straftaten begehen. Aber es wird sowieso keine Konsequenzen haben, da sich Polizisten alles erlauben können. Es sei denn, das System will es nicht.