Kleine Meldung zum Abschluss der Woche. Die Schwachstelle in der CDU-Wahlkampf-App CDU Connect hat vermutlich ein Nachspiel für die beiden Partelen CDU und CSU (beide verwenden diese App). Die Landesdatenschutzbeauftragte des Landes Berlin hat wegen der Sicherheitslücken in der Wahlkampf-App CDU Connect bereits im Juli 2021 ein Prüfverfahren wegen möglicher Verstöße gegen die DSGVO eingeleitet.
Anzeige
CDU Connect und die Schwachstellen
Ich hatte die Tage ja im Blog-Beitrag Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik über das Thema berichtet. CDU und CSU verwenden seit 2017 eine sogenannte CDU Connect Wahlkampf-App. Die App soll Wahlhelfer bei der Dokumentation der Haustürgespräche von aufgesuchten Bürgern unterstützen. Die Wahlkampf-App der CDU ist aber eine wandelnde Datenschleuder.
Die Sicherheitsforscherin Lilith Wittmann hatte bereits im Mai 2021 eine gravierende Sicherheitslücke in der CDU Connect-App gefunden. Wittmann war in der Lage, auf die dahinter liegende Datenbank zuzugreifen und die Daten von Wahlhelfern sowie Bürgern anzusehen. Im Rahmen eines Responsible Disclosure (RD) meldete die Sicherheitsforscherin die Schwachstelle samt möglichem DSGVO-Verstoß an das BSI, dass CERT-Bund und an die CDU. Die CDU nahm dann die App bzw. die dahinter steckenden Server zeitnah offline, und meldete den Sicherheitsvorfall wohl auch der Datenschutzaufsicht.
Inzwischen haben wir August 2021 und es sind zwei Dinge passiert. Die CDU setzt die Wahlkampf-App CDU Connect wohl wieder für Haustürbesuche ein. Und jemand aus der CDU hat Anzeige gegen die Sicherheitsforscherin Lilith Wittmann erstattet. Jetzt ermittelt das LKA gegen die Sicherheitsforscherin, wodurch die Sache diese Woche erneut hochkochte. Die CDU versuchte zwar die Sache durch eine Entschuldigung aus der Welt zu schaffen und behauptete, die Anzeige zurück gezogen zu haben (CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück). Aber es liegt wohl nicht mehr in Hand der Partei, ob die Anzeige weiter verfolgt wird oder nicht. Lilith Wittmann hat heise ein ausführliches Interview zum Sachverhalt gegeben.
Anzeige
Die Sicherheitsforscherin hat jetzt zudem einen Anwalt zur Verteidigung eingeschaltet, der wohl 350 Euro/Stunde Honorar bekommt – wie man obigem Tweet entnehmen kann. Negative Berichterstattung ist der CDU auf jeden Fall weiterhin sicher – und ich frage mich: wie kann man nur so dämlich sein.
DSGVO-Prüfverfahren läuft
Da durch die aufgedeckte Sicherheitslücke besonders schützenswerte Daten von Wahlkämpfern und teilweise Wählern abrufbar waren, erfolgte auch eine Meldung an die Datenschutzaufsicht des Landes Berlin. Die Datenschutzbeauftragte von Berlin hat daher bereits im Juli 2021 ein DSGVO-Prüfverfahren wegen des Sachverhalts eingeleitet.
CDU-Watch hat anlässlich der aktuellen Entwicklung bei der Datenschutzbeauftragten des Landes Berlin nachgefragt und in obigem Tweet die Antwort dieser Behörde veröffentlicht. Die Behörde hat ein DSGVO-Prüfverfahren wegen der CDU / CSU Connect-App bereits im Juli 2021 eingeleitet, welches aber noch nicht abgeschlossen ist. heise hat bei der CDU nachgefragt, aber laut diesem Artikel bisher keine Antwort erhalten.
Ähnliche Artikel:
CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik
Anzeige
Es fällt mir Angesichts der Tatsache, dass alle Schilderungen bislang nur auf Lilith Witmmans Darstellung basieren, schwer, in irgendeiner Richtung ein Urteil zu fällen ohne dass der klärende Strafantrag der CDU offen liegt.
Frau Wittmann dramatisiert in meinen Augen allerdings in der Darstellung. Sie braucht keine Anzahlung für eine Strafverteidung leisten, denn das würde ja bedeuten, dass die Staatsanwaltschaft bereits von einer Straftat Wittmanns ausgeht, was aber m. W. nicht der Fall ist.
Sie hat sich anwaltlichen Beistand für die Ermittlungsphase geholt und dass kann je nach Anschuldigung auch sinnvoll sein. Da man bislang nicht weiß, was ihr konkret von den Ermittlungsbehörden vorgeworfen wird, kann man bislang auch nicht über die Beweggründe Hennewigs und ob Frau Wittman sich stärker belastet hat, als sie glaubte nicht urteilen.
Es stimmt zwar, dass die Entscheidung, ob ein Unterschungsverfahren zurückgezogen wird bei der Staatsanwaltschaft liegt, aber dennoch ist die Aussage Hennewigs für Frau Wittmann hilfreich, da dies durchaus auf die Staatsanwaltschaft begünstigend einwirken kann ein Verfahren einzustellen.
UnionWatch erweckt im Aufmacher den Eindruck, als würde die Datenschutzbehörde in Sachen CDU-Connect bereits die Strafsumme ausrechnen. Bislang ermittelt diese noch und die relevante Antwort ist im Konjunktiv verfasst.
Witmman dramatisiert?
Wasn das für ne grotesk schwachmatische Wahrnehmung – cdu fanboy? Etwas offensichtlich dieser "post"…
die Neuland-"partei" hat zutiefst ins Klo gegriffen – und bekommt jetzt die Folgen serviert – so schauts aus! und richig so.
Er sieht die Situation genau so, wie sie ist. Nüchtern, neutral, mit vorhandenem Wissen als Außenstehender betrachtend.
Was Du hier gerade betreibst ist beleidigend und verleumderisch. Nur weil man etwas in Frage stellt, ist man lange kein Fanboy von irgend was.
Ich teile seine Ansicht. Und ich halte auch das Stunden-Honorar des Anwaltes für Unsinn. RVG (ex BRAGO), hooray. Und ja, einige RAe nehmen eine Vorleistung, insbesondere dann, wenn Mandanten bekannt dafür sind, ihre Rechnungen nicht zu begleichen… aber ich will ja nichts behaupten.
Vielleicht sind die beiden ja auch verbandelt, man könnte ja konstruieren, daß das Geld nun als Spende, in die Tasche des anderen wandert. Kann das wer ausschließen?
Es fehlen Fakten, Informationen. Bislang gibt es nur blah blah. Damit läßt sich nicht arbeiten, schon gar nicht mit dümmlichen Twitter-Äußerungen.
IANAL, aber was ihr vorgeworfen wird ist Recht eindeutig: #hackerparagraph
https://www.gesetze-im-internet.de/stgb/__202c.html
Macht ja nix. Die CDU ist weder Richter, noch Henker. Sie hat was ins Rollen gebracht, was die (hoffentlich) unabhängige Gerichtsbarkeit selber prüfen wird.
Wenn man dem eigenen Rechtsstaat nicht mehr vertraut, kann man auch gleich in die Anarchie abwandern.
Auch wenn Frau Witt Recht hat und ich die Arbeit von Sicherheitsforschern grundsätzlich begrüße… das Risiko hätte ihr aber durchaus bewußt sein müssen. Ist ja nicht so, daß das Thema erst seit Heute bekannt ist:
https://www.silicon.de/41685712/mehr-als-12-500-schwachstellen-im-ersten-halbjahr-2021-aufgedeckt
https://www.heise.de/newsticker/meldung/25C3-Hackerparagraphen-sorgen-weiter-fuer-Verunsicherung-192562.html
https://www.spiegel.de/netzwelt/web/hackerparagraf-regierung-will-moegliches-strafmass-verdoppeln-a-1025652.html
https://www.ccc.de/de/updates/2008/stellungnahme202c
Wie man sieht, die Thematik ist schon seit über 10 Jahren bekannt. Und nur weil man als nette Dame meint, dank Genderwahn würden Gesetze um Frauen einen Bogen um sie machen… ich meine, selbst der CCC hat sich da 2008 schon Gedanken drum gemacht.
Aber wie ich zuvor schon schrieb: Atm wirkt das alles ein wenig merkwürdig. Es fehlen handfeste Informationen von beiden Seiten.
"Die CDU ist weder Richter, noch Henker. Sie hat was ins Rollen gebracht"
Ja ins rollen haben sie anscheinend was gebracht.
Erst waren sie "beteiligt" am erschaffen des fragwürdigen 202c
Und jetzt geht es daraufhin in folgende Richtung.
https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
Wenn sich das rollen ausbreitet haben sie sich aktiv daran beteiligt das dieses Neuland unsicherer wird/bleibt ist als nötig.
Spitzenleistung Passt scho ^^.
Und egal ob Witmman übertreibt oder nicht (den angeblichen Genderwahn hab ich zB nicht mitbekommen schon aber das publik machen der Anzeige) die Probleme (Sowohl die App als auch der Paragraph) und damit auch die Schuld wurden durch die CDU hervorgerufen.
Beim nächsten mal wird sie vielleicht auch die Lücke Lücke sein lassen. Ist ja zu ihrem und aller Wohl :-D.
@Uwe Bieser: Bester Beitrag bisher hier – nüchtern, abwägend, Lücken aufzeigend. Wenn man einen Konflikt verstehen will, muss man beide Seiten hören und alle relevanten Dokumente zur Kenntnis nehmen. Das kann man derzeit leider (noch) nicht.
Die CDU hat in dieser Sache schwere Fehler gemacht. Aber auch Frau Wittmann befindet sich auf Abwegen, indem sie Sachverhalte recht eigenwillig verknüpft und unverhohlen Wahlkampf gegen die CDU macht. Das ist sicherlich nicht die Aufgabe einer ethischen Hackerin.
Und 350 EUR Honorar pro Stunde? Bitte, das ist auch unter Rechtsanwälten ein Mondsatz! Aber wer unbedingt einen Rolls Royce haben will, sollte hinterher nicht wegen der hohen Rechnung jammern und den Hut für Spenden aufstellen. Wenn ich rechtlichen Beistand brauche, muss ich mich auch an die einschränkenden Vorgaben meiner Rechtsschutzversicherung halten.
Und rebootnix? Der hat hier ganz tief ins Klo gegriffen, wirklich ganz tief. Ich würde mir wünschen, dass Günter Born diesen offen beleidigenden Kommentar als Hausherr löscht.
Für Selbstständige und Firmen lautet es :
"Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag am Ende höher ist)"
So, dann wollen wir mal Abwarten, wie viel CDU/CSU Bezahlen werden.
Wird bestimmt alles runtergespielt und ist ja nicht so schlimm.
Ich frage mich, wann bei Politiker das Gewissen Komplett Verschwunden und die Selbstverherrlichung und Skrupellosigkeit Übernommen hat.
Früher haben Politiker noch Konsequenzen aus ihren Handlungen gezogen, das ist schon lange vorbei.
Für den Sachverhalt an sich gilt der DSGVO-Erwägungsgrund 55 (siehe auch diese Bundestags-Stellungnahme zum Sonderstatus).
Wie das Konzernprivileg gemäß diesem Bundestagsdokument zu bewerten ist, habe ich noch nicht durchdrungen. Ich gehe aber davon aus, dass die Parteien sich von einer Verfolgung durch die DSGVO bei Verstößen, zumindest in Deutschland, ausgenommen haben. Ist so wie bei Behörden, denen keine Strafe auferlegt werden kann. We will see.
Nein. Für Parteien gilt die DSGVO analog zu Vereinen. Es gibt zwar einige Ausnahmen für Parteien, die auch angemessen sind. Die DSGVO gilt aber grundsätzlich auch für Parteien.
Interessant ist für Viele, was es an Bußgeldern gibt. Ich würde postulieren: Nichts – in Rumänien wurde mal ein Bußgeld von knapp 300 Euro verhängt.
Nun -teilweise wurde aber auch recht ordentlich hin gelangt.
Hie gibt es eine spannende Seite … ggfls rechts oben nach Land filtern !
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank.php
Man sagt, unser Land wäre 10-20 Jahre später soweit…
"Amerika first…"
Und wir sollen uns jetzt alle an Ungarn ein Beispiel nehmen, laut Fox-News…
ist es nämlich viel demokratischer als der Rest der EU… (Fox…was solls)
Stimme Dir bei Deinen Argumenten aber voll zu, man wird sich wieder raus mauscheln.
"Früher haben Politiker noch Konsequenzen aus ihren Handlungen gezogen, das ist schon lange vorbei."
Genau, und vor allem, die betroffenen Politiker haben wirklich noch SELBST (!) Verantwortung übernommen und sind sogar freiwillig (!) – oft noch verbunden mit einer Entschuldigung für ihre Fehler – zurückgetreten! Heute werden sie ja noch nicht einmal mehr gegangen, sondern es wird noch die schützende Hand der Chefin(nen) und Chefs über sie gehalten – egal wie groß der Bockmist ist/war, den sie verbrochen haben… Und klar, nach dem Ende der Legislaturperiode, wollen diese fähigen Personen natürlich wieder ein Amt haben, sofern das dann durch das Wahlergebnis wieder möglich ist… Selbstkritik, Selbstreflektion? Totale Fehlanzeige!
Im besten Fall werden sie heutzutage wegbefördert. Sie werden also aus der Schusslinie gebracht, um woanders ihre Fehler fortzuführen und kassieren dafür weiter fleißig ab. Im Grunde genommen wird dadurch alles nur noch schlimmer gemacht.