Heute noch eine Nachricht zu einem Schildbürgerstück, dass wie ein angestochener Luftballon implodiert ist. Die Staatsanwaltschaft Berlin hat das Ermittlungsverfahren gegen die Sicherheitsforscherin Lilith Wittmann wegen deren Entdeckung schwerer Schwachstellen eingestellt. Basis der Ermittlungen waren ein handwerklich schlecht gemachter Hackerparagraph, der aber nicht greift, sowie fehlerhaft vorgetragene Sachverhalte der CDU-Anwälte und des CDU-Geschäftsführers. Auch die Ermittlungen gegen Unbekannt wegen Veröffentlichung von Daten ist substanzlos in sich zusammen gefallen. Hier einige Informationen zu einer beispiellosen Polit- und Justizposse, bei der die Staatsanwaltschaft noch die beste Figur macht.
Anzeige
CD Connect-App: Darum geht es
Die CDU verwendet die Wahlkampf-App CDU Connect, eine IT-Lösung, die aus einer App sowie einer dahinter gelagerten Datenbank besteht. Diese Lösung wurde wohl bereits im Bundestagswahlkampf 2017 eingeführt und wird auch 2021 weiter benutzt. Wahlkämpfer und Helfer der CDU besuchen deutsche Bürger, um an der Haustür Gespräche zu führen. Dabei protokollieren die Leute, worüber geredet wurde, wie die Position gegenüber der CDU ist etc.
Die Sicherheitsforscherin Lilith Wittmann hatte eine Sicherheitslücke in der CDU Connect-App gefunden und diese im Rahmen eines Responsible Disclosure (RD) an das BSI, dass CERT-Bund und an die CDU gemeldet. Die Wahlkampf-App der CDU ist eine wandelnde Datenschleuder – mit wenig Aufwand kann man die Daten von Wahlhelfern und aufgesuchten Bürgern auslesen.
Als Belohnung kassierte sie eine Anzeige der CDU und das LKA ermittelte. Ich hatte im Artikel Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik berichtet. Die Geschichte ging durch die Presse, worauf die CDU die Anzeige zurückziehen wollte, dies aber juristisch gar nicht konnte – weil das nur durch die Staatsanwaltschaft geht (siehe CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück). Inzwischen hat die CDU ein DSGVO-Prüfverfahren am Hals (siehe CDU Connect: DSGVO-Prüfverfahren der Landesdatenschutzbeauftragten läuft).
Verfahren gegen Wittmann eingestellt
Für Lilith Wittmann hatte die obige Geschichte die unangenehme Konsequenz, dass sie Gegenstand eines Ermittlungsverfahrens wurde. Basis war der sogenannte Hackerparagraph §202 a/b/c StGB (2007 gegen den Widerstand der Zivilgesellschaft von CDU und SPD beschlossen). Nun hat Lilith Wittmann auf Twitter mitgeteilt, dass die Staatsanwaltschaft das Verfahren gegen sie eingestellt hat.
Anzeige
In einem umfangreichen Blog-Beitrag geht Wittmann auf den Fall und seine Historie ein. An einigen Stellen schlackern einem Beobachter die Ohren, weil es schlicht surreal wird.
- So wurde die Anzeige gegen Wittmann 4. Juni 2021 bei der Abteilung Cybercrime des Bundeskriminalamts von einer Syndikusanwältin der Union Betriebs GmbH (UBG) als "Angriff, bei dem Daten abgezogen wurden" dargestellt. Das war zwar sachlich falsch, hielt die Anwältin aber nicht von weiteren Schritten im Auftrag ihrer Mandanten ab.
- Laut der Dokumentation von Wittmann erhielt die CDU bereits am 9. Juni 2021 von der Berliner Staatsanwaltschaft die Rückmeldung, dass das Bundeskriminalamt nicht für den Sachverhalt zuständig sei. Es könne allerdings u.U. eine Straftat nach § 202b StGB vorliegen. Die CDU solle nach Prüfung des Sachverhalts diese bei der zuständigen Polizeidienststelle zur Anzeige bringen.
- Am 1. Juli 2021 stellte die Syndikusanwältin dann per Post Strafantrag gegen "Lilith Wittmann und Unbekannt" – es liegen also einige Tage zwischen den einzelnen Schritten – da dürften Abstimmungen erfolgt sein und eigentlich hätte den Strategen im Hintergrund klar werden müssen, dass das alles ein Luftballon war, der den Verantwortlichen beim ersten Piks mit lautem Knall um die Ohren fliegen musste.
Es kam, wie es kommen muss, wenn geballte "Kompetenz" aktiv wird. Der Strafantrag war – auf Basis falscher Behauptungen – gestellt, und die Geschichte flog der CDU auf Grund des Medienechos erwartbar um die Ohren. Die von Wittmann im Blog-Beitrag offen gelegten "Ermittlungsergebnisse" und Auszüge aus den Akten könnten als Slapstick durchgehen, wenn das Ganze nicht so ernst wäre.
Da haben Staatsdiener Zeit zur Ermittlung diverser Sachverhalte verbrannt, und Wittmann musste einen Strafverteidiger mit einem Stundensatz von 400 Euro anheuern, nur weil ein von CDU/SPD handwerklich schlecht gemachter Hackerparagraph überhaupt eine Handhabe für einen Strafantrag geschaffen hat – wie der Anwalt gegenüber Spiegel Online ausführt. Zudem waren die Vorträge der CDU zum Sachverhalt schlicht eine Luftnummer – von einem Hauch an Fachkompetenz zum Sachverhalt bei den Strafanträgen auszugehen, wäre eine Beleidigung eines jeden denkenden Wesens.
(Quelle: Pexels Lizenz)
Auf Grund der Ermittlungen stellte die Staatsanwaltschaft das Ermittlungsverfahren gegen Lilith Wittmann ein, weil kein hinreichender Tatverdacht bestehe. Der Tenor der Einstellungsbegründung: Eine Überwindung von Sicherheitsmerkmalen oder einer Zugangssicherung (der App) war auf Grund der Sicherheitslücke nicht notwendig. Eine Veröffentlichung von Daten durch Wittmann sei nicht festgestellt worden.
Fußnote am Rande: Der Anzeigensteller, der CDU-Geschäftsführer Stefan Hennewig, bekam von der Staatsanwaltschaft eine detaillierte Mitteilung über die Einstellung, während Wittmann als Beschuldigte über ihren Anwalt (kostenpflichtig) Akteneinsicht nehmen musste, um an die Details heranzukommen.
Trollalarm, CDU-Anzeige gegen Unbekannt eingestellt
Und dann gab es noch das zweite Verfahren, welches vom CDU-Geschäftsführer Stefan Hennewig gegen Unbekannt gestellt wurde. Sinnigerweise, nachdem er bezüglich des Strafantrags gegen Wittmann zurückrudern wollte.
Fußnote am Rande: Dr. Stefan Hennewig besitzt einen akademischen Grad. Dessen Promotion trägt den passenden Titel Internet-Politik in Deutschland, vom Mythos der Unregulierbarkeit. Sollte man sich auf der Zunge zergehen lassen.
Basis seiner zweiten Anzeige war ein Tweet eines Trolls, der darauf verwies, dass die Daten der CDU Connect App auf Pastebin im Klartext einsehbar wären. Die angegebene URL pastebin[.]com/cduconnect, wo angeblich die Daten zu finden sind, hat aber zwei Schönheitsfehler, die den "CDU-Profis" entgangen sind.
- Bei Pastebin werden URLs automatisch erstellt und können nicht vom Nutzer vergeben werden – eine Adresse cduconnect in der URL, die zum Fall passt, wäre so wahrscheinlich wie 10 Sechser im Lotto binnen einer Woche.
- Unter der (in der Anzeige der CDU) angegebenen URL waren niemals Daten aus der CDU Connect-App einsehbar – die Phantasie-URL führt schlicht auf Pastebin ins Leere.
Was macht so ein armer Staatsanwalt, wenn ihm so ein Schmarrn auf den Tisch kommt? Ablage P geht nicht so direkt. Er lässt ermitteln, um dann herauszufinden, dass das Ganze eine Luftnummer war und die CDU niemals die angeblich auf Pastebin geleakten Daten eingesehen hatte. Und damit wird auch das zweite Verfahren gegen Unbekannt eingestellt. Die CDU ist also auf einen Troll hereingefallen, hat die Backen aufgeblasen und ist nochmals auf den Bauch gefallen. Allerdings wurde auch in dieser Angelegenheit sinnlos Geld verbrannt.
Abschließende Gedanken
Die Lektüre des Blog-Beitrags von Lilith Wittmann mit den offen gelegten Details lässt einem die Haare zu Berge stehen. Manches aus der Politik kommt uns Bürger teuer zu stehen. Und um Sachverstand in Bezug auf Internet-Politik scheint es bei einigen Protagonisten (egal ob nun CDU, CDU oder SPD) nicht zum Besten bestellt zu sein – so jedenfalls mein Schluss.
Mir schoss dann ein Bonmot von Erich Honnecker durch den Kopf. Von dieser Adresse hörte ich mal "Von der DDR lernen, heißt siegen lernen" (vielleicht habe ich mich auch verhört, und die UDSSR war gemeint). Aber von Honnecker gibt es auch den Bonmot "schlimmer geht's (n)immer" – oder sollte ich mich da auch verhört haben, und es hieß "vorwärts immer, rückwärts nimmer" – ist aber auch alles so verdammt lang her, mit Honnecker und den Zeiten, zu denen dieses Internet im Neuland eingeführt wurde.
Ähnliche Artikel:
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik
CDU zieht Anzeige gegen Sicherheitsforscherin Wittmann zurück
CDU Connect: DSGVO-Prüfverfahren der Landesdatenschutzbeauftragten läuft
Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik
Videokonferenzsoftware Visavid, die Sicherheitslücke sowie bayerische Schulen und Steuerberater
Anzeige
"Basis war der sogenannte Hackerparagraph §202 a/b/c StGB"
"handwerklich schlecht gemacht"
Das ist nicht ein Paragraph. Das sind drei Paragraphen.
Was genau an diesen Paragraphen sei "handwerklich schlecht gemacht?"
Vorwurf gegen die Dame war, wenn ich mich an die damaligen Presseberichte recht erinnere, nicht nur der unberechtigte Zugriff auf diese Daten (liegt unbestreitbar vor, nur die Rechtswidrigkeit wurde mittlerweile als nicht gegeben erkannt), sondern auch die Veröffentlichung der Daten. Letzteres konnte bislang nicht nachgewiesen werden, da das fragliche Forum wohl keine Spuren des Leaks mehr aufweist. Entsprechende Ermittlungen laufen wohl noch, wie man auf einer anderen Seite nachlesen kann.
Nicht verfolgt wird der Vowurf der Datenausspähung (202a), da der objektive Tatbestand unter anderem die Überwindung einer "besonderen Zugangssicherung" erfordert, den diese merkwürdige App aber nicht aufweist. Woher sollte die anzeigende GmbH wissen, dass ihnen Softwareschrott verkauft worden war? Technische Details wie diese wurden erst im Rahmen der staatswaltschaftlichen Prüfung festgestellt. Das konnte damals lediglich der Programmierer wissen, nicht der Anwender (die GmbH der CDU). Die Anzeige war nicht völlig aus der Luft gegriffen, wie du hier suggerierst. Die Anzeige war taktisch unklug, insbesondere vor der anstehenden Wahl, aber nicht unbegründet.
Kleine Anmerkung: Selbstverständlich kann jeder in einer Anzeige alles behaupten. Ob es aber klug ist, wenn mir im Responsible Disclosure mitgeteilt wird, dass ein Datenleck besteht, den Boten dieser Botschaft anzuzeigen und auch noch eine Datenveröffentlichung vorzuwerfen? Von den Verantwortlichen erwartet ich schlicht mehr Weitsicht und ggf. auch eine summarische Prüfung des Sachverhalts. Das war in meinen Augen diletantisch vorbereitet – und musste den Beteiligten mit Recht um die Ohren fliegen.
Zum Kommentar: Dass §202 a/b/c StGB drei Paragraphen sind, geschenkt. Dieses Gesetzeswerk gilt m.W. umgangssprachlich als Hackerparagraph. Das "handwerklich schlecht gemacht" ist ein Zitat des Anwalts von Lilith Wittmann im Spiegel.
Und die anzeigende Sozietät war nach meiner Einschätzung nicht die einkaufende GmbH, mag mich aber irren. Zum "aus der Luft gegriffen" – ich habe mir nochmals den Text von heute Nacht durchgelesen. Das "aus der Luft gegriffen" kommt als Formulierung nur in deinem Kommentar vor. Geht man die Ausrisse aus den Akten durch, hinterlässt der Vorgang schon ein "Geschmäckle". Würde ich einen solchen Rechtsvertreter für eigene Verfahren einsetzen? Nein. Würde ich mich bei den Verantwortlichen (CDU Geschäftsführung) in der Sache kompetent aufgehoben fühlen? In meinen Augen gilt da auch ein klares Nein.
Ich weiß, es ist Wahlkampf – und das Letzte, was der Artikel diesbezüglich zum Ziel hatte, war eine Empfehlung: die nicht – muss und kann jeder selbst entscheiden. Die Nacht gab es schon den Gedanken "lässt Du das wegen der anstehenden Wahl entfallen" – aber das Thema ist dazu zu wichtig. Und ich schrieb:
Das Bittere: Wittmann musste als Betroffene Geld in die Hand und einen Anwalt an die Hand nehmen, um in der Sache Akteneinsicht zu erhalten. Und es wurden auf Seiten der Strafverfolgung einige Leute damit befasst, Texte in Schriftsätze einzuhacken. Die Spuren, die dies in der Scene der White Hat-Hacker hinterlassen hat, wird uns noch auf die Füße fallen. Spätestens, wenn irgendwo eine Desinformationskampagne aus dem Ausland den "oh, wie konnte das passieren, hätten wir das bloß gewusst" Effekt auslöst.
Zum Absatz, der mit "Das Bittere" anfängt: Als Blogger stehe ich häufiger vor der Frage "was und wie schreibst Du etwas, was für Betroffene unangenehm werden könnte". Da überprüfe ich viele Formulierungen doppelt und dreifach, so dass es auf Meinungsäußerung hinausläuft. Und ich versuche peinlich auf Quellenschutz zu achten (ein Whistleblower-Gesetz gibt es nicht, ob ich mich als Blogger auf Presserecht berufen kann, müsste vermutlich auch ausgefochten werden).
Betrifft nicht nur Sicherheitsvorfälle, sondern auch Sachen, die im juristischen Graubereich segeln (wie Produkt-Key-Verkäufe). Und Produktvergleiche fallen hier auch unter den Tisch, weil es bloggende Kollegen da mit Abmahnungen schon mal getroffen hat. Kann man am Ende des Tages juristisch vor Gericht abbügeln, aber es kostet unnötige Ressourcen, weil die Rechtslage unklar daher kommt und oft der richterlichen Auslegung bedarf.
So weit sind wir leider schon gekommen. Hatte ich eigentlich so ganz früher in den Bereich der sprichwörtlichen Bananenrepubliken vorortet. Aber jede Gesellschaft bekommt halt das, was sie verdient – sic!
..auch wenn es vielleicht kleinkariert klingt, aber du solltest Dich besser Informieren: es ist ein Pharagraph (§202 StGB) mit ergänzenden Gesetzesänderungen (a/b/c).
Auch zum Sachverhalt selbst wäre es vielleicht sinnig sich noch mal etwas zu Informieren (Erinnerung können täuschen), denn Du suggerierst hier auch einiges, was politisch einseitig eingefärbt klingt…
Hab den Kommentar aus dem Papierkorb gefischt – vielleicht hatte der Spam-Filter zugeschlagen (kann ich leider nicht erkennen). Falls der Kommentar bewusst gelöscht wurde, bitte informieren, ich nehme den dann raus. Danke.
Hääääää?
P.B.: "…Woher sollte die anzeigende GmbH wissen, dass ihnen Softwareschrott verkauft worden war?…"
Das ist ja nicht neu, siehe Luca App. Wir shopen blind einfach alles, bis …
Wo bleibt die Kompetenz?
Unsere Daten sind sicher?
Da fühlt man sich doch richtig gut aufgehoben ;-)
Je nun, ob nun cdu, spd oder fdp ist da schon ein signifikanter Unterschied (jetzt in Sachen "neuland") – wie auch dieser Fall mal wieder exemplarisch belegen will + kann.
Denn soviel substanzloses, tumbes, vollkommen ahnungsloses Gewese leistet sich auffälligerweise nunmal nur? se cdu! Ein extremer Tümmerhaufen in Sachen Netz und Co., unfassbar dämlich und in allem vollkommen inkompetent! Dass solche Wesen jahrelang Zugang zur Macht hatten, sagt viel aus – auch und v.a. über die "Wähler", die so etwas ja erst ermöglichen…
Im verlinkten Blog ist dann auch zu lesen, dass festgestellt wurde das die Beschuldigte keine Schusswaffe beim Hacken mitführte. Ja sowas auch. Mittlerweile frage ich mich ob man als Politiker keine anderen Sorgen hat oder ob man Politiker wird weil man keine anderen Sorgen hat. Wenigstens hat sie die Daten nebst Sicherheitslücke nicht erschiessen können.
Etwas anderes lässt sich aber auch herauslesen. Daten werden gesammelt um auszuwerten wie man sich als Partei und Politiker geben muss um möglichst viele Stimmen zu bekommen. Das sehe ich so, dass es längst nicht mehr um das Wohl des Volkes bzw. Landes geht, eher geht es wohl um Machtausübung. Die sind damit dann auch nicht besser als facebook. Und dann wundern sie sich über die vielen Nichtwähler und Unmutsäusserungen.
"[…] während Wittmann als Beschuldigte über ihren Anwalt (kostenpflichtig) Akteneinsicht nehmen musste, um an die Details heranzukommen."
Als Beschuldigter hat man nach StPO §147 Abs. 4 eigentlich das Recht auf Akteneinsicht¹, auch ohne Anwalt.
1)https://www.gesetze-im-internet.de/stpo/__147.html