Eine Aktivistin des Chaos Computer Clubs (CCC) hat im Mai eine Sicherheitslücke in einer App der CDU entdeckt. Die Partei erstattete Strafanzeige gegen die Sicherheitsforscherin, die sie mittlerweile aber wieder zurückgezogen hat.

Mitglieder der CDU versuchen derzeit Wählerstimmen zu gewinnen, wobei sie auch von Haustür zu Haustür ziehen. Die Wahlkämpfer nutzen dabei als Hilfe die App CDUconnect, die auch die CSU und die österreichische ÖVP verwenden.

Die Sicherheitsforscherin Lilith Wittmann knöpfte sich bereits im Mai eben jene App vor und fand eklatante Sicherheitsmängel. Nach Angaben des CCC konnte sie unter anderem auf 1350 Adress- und Geburtsdaten von CDU-Unterstützenden zugreifen. Sie kontaktiere daraufhin die CDU, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Berliner Datenschutzbeauftragten.

Die CDU schloss daraufhin die Lücke, erstattete aber auch Anzeige gegen Lilith Wittmann – und somit eigentlich nur die Überbringerin der schlechten Nachricht. Der CCC entschloss sich daraufhin, zukünftig keine Sicherheitslücken mehr an die CDU zu melden. „Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten“, so Linus Neumann, Sprecher des CCC, in der offiziellen Stellungnahme.

Die CDU habe mit der Anzeige das sogenannte Responsible Disclosure einseitig aufgekündigt. Danach meldet der Entdecker einer Sicherheitslücke diese zunächst dem Betroffenen und gibt ihm Zeit, das Problem zu beheben. Erst danach macht der Entdecker die Lücke öffentlich.

Mittlerweile hat die CDU die Anzeige zurückgezogen. Wie der Bundesgeschäftsführer der CDU, Stefan Hennewig auf Twitter schreibt, hätte sich die Anzeige nicht gegen das Responsible-Disclosure-Verfahren gerichtet. Er hätte bereits mit Lilith Wittmann telefoniert. „Sie hat mit diesen beiden Vorgängen nichts zu tun! Die Nennung ihres Namens in der Anzeige war ein Fehler, für den ich sie um Entschuldigung gebeten habe“, erklärt Stefan Hennewig weiter.