{"id":256376,"date":"2021-08-04T09:16:00","date_gmt":"2021-08-04T07:16:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256376"},"modified":"2021-08-05T06:49:13","modified_gmt":"2021-08-05T04:49:13","slug":"die-cdu-die-wahlkampf-app-der-datenschutz-und-das-strafrecht-sowie-digitalkompetenz-in-der-politik","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/08\/04\/die-cdu-die-wahlkampf-app-der-datenschutz-und-das-strafrecht-sowie-digitalkompetenz-in-der-politik\/","title":{"rendered":"Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik"},"content":{"rendered":"

\"SicherheitHeute noch ein kleiner Ausflug nach Absurdistan. Es geht um Digitalkompetenz bei deutschen Politikern in der Einsch\u00e4tzung der Deutschen, und speziell um die \"Volkspartei\" CDU und deren Wahlkampf-App CDU Connect. Der Plot: Die Wahlkampf-App der CDU ist eine wandelnde Datenschleuder – mit wenig Aufwand kann man die Daten von Wahlhelfern und aufgesuchten B\u00fcrgern auslesen. Die Sicherheitsforscherin Lilith Wittmann hat das aufgedeckt und das BSI sowie CERT-Bund informiert – und hat nun ein Ermittlungsverfahren am Hals. Erg\u00e4nzung:<\/strong> Die CDU rudert zur\u00fcck und wollte sich entschuldigen.<\/p>\n

<\/p>\n

\"\"Ich hatte den Sachverhalt nur am Rande mitbekommen und bisher nicht im Blog thematisiert. Aber heute sind einige Puzzleteile in ein Gesamtbild gefallen, wo spontan die Idee entstand, dieses Bild mal in einem Blog-Beitrag auszuleuchten. Zeigt, wie irre die Zust\u00e4nde inzwischen geworden sind.<\/p>\n

Darum geht es bei CDU Connect<\/h2>\n

Bei CDU Connect handelt es sich um einen IT-L\u00f6sung der gleichnamigen Partei, die aus einer App sowie einer dahinter gelagerten Datenbank besteht. Diese L\u00f6sung wurde wohl bereits im Bundestagswahlkampf 2017 eingef\u00fchrt und wird auch 2021 weiter benutzt. Wahlk\u00e4mpfer und Helfer der CDU besuchen deutsche B\u00fcrger, um an der Haust\u00fcr Gespr\u00e4che zu f\u00fchren. Dabei protokollieren die Leute, wor\u00fcber geredet wurde, wie die Position gegen\u00fcber der CDU ist etc. Die Wahlk\u00e4mpfer werden dabei f\u00fcr die Eintr\u00e4ge mit Punkten belohnt – Motivation muss schlie\u00dflich sein. W\u00e4re ja auch egal, wenn die IT-L\u00f6sung sicher w\u00e4re – was sie aber mitnichten ist, wie die Sicherheitsforscherin Lilith Wittmann herausgefunden hat.<\/p>\n

\"<\/a><\/p>\n

Ich bin heute \u00fcber den obigen Tweet<\/a> von Wittmann erneut auf die Thematik aufmerksam geworden. Wittmann hat die Details zu diesem Thema im Artikel Wenn die CDU ihren Wahlkampf digitalisiert\u2026<\/a> aufbereitet. Auf netzpolitik.org findet sich ebenfalls ein aufschlussreiches Interview<\/a> zur ganzen Geschichte. Das Ganze l\u00e4sst einem nur noch die Haare zu Berge stehen, denn durch simple Anpassungen von Abfragen der App konnte Wittmann sich die Daten aus der Datenbank anzeigen lassen.<\/p>\n

\"CDU<\/a><\/p>\n

W\u00e4hrend die CDU-Verantwortlichen der Meinung waren, dass nur anonyme Daten erhoben w\u00fcrden und f\u00fcr den Rest die Zustimmung der Betroffenen vorl\u00e4ge (siehe obiger Tweet<\/a>), sieht die Sache wohl etwas anders aus. In den Datens\u00e4tzen stecken viele Informationen, die sehr schnell eine De-Anonymisierung der Betroffenen – speziell in Stra\u00dfen mit wenigen H\u00e4usern (Stra\u00dfe xyz, 70 j\u00e4hriger Mann) – erm\u00f6glichen. Zudem finden sich in der Datenbank die pers\u00f6nlichen Daten der Helfer und Helferinnen, inklusive Foto, Name, E-Mail etc. Die Details lassen sich im verlinkten Medium-Artikel von Wittman nachlesen.<\/p>\n

Nur zur allgemeinen Information – bereits 2019 gab es einen Bu\u00dfgeldbescheid in H\u00f6he von 14,5 Millionen Euro gegen die Deutsche Wohnen SE, weil deren Software nicht DSGVO-konform war (siehe<\/a>). Und heise berichtete<\/a> zum 3.8.2021 von einem Bu\u00dfgeld in H\u00f6he von 65.000 Euro gegen eine Firma aus aus Niedersachsen, die veraltete Shop-Software eingesetzt hat.<\/p><\/blockquote>\n

Die Sicherheitsforscherin Lilith Wittmann hat das BSI sowie CERT-Bund \u00fcber ihre Erkenntnisse informiert. Das einzig Gute an der Geschichte: Die CDU hat die App sowie die Infrastruktur dahinter zumindest zeitnah offline genommen (siehe diesen Tweet<\/a> von Wittmann).<\/p>\n

Erg\u00e4nzung:<\/strong> Interessant w\u00e4re auch, welche Tracker in der App enthalten sind. Diesbez\u00fcglich verweise ich auf diesen Kommentar<\/a> im heise-Forum. Da ist offenbar m\u00e4chtig was entgleist. Bez\u00fcglich der DSGVO erwartet ich auch wenig an Sanktionen, wenn ich diese Ausarbeitung<\/a> des wissenschaftlichen Diensts des Bundestags lese.<\/p><\/blockquote>\n

Ermittlungsverfahren gegen Wittmann<\/h2>\n

Was mir aber heute Morgen die Sprache verschlagen und diesen Artikel befeuert hat, war der nachfolgende Tweet<\/a> von Lilith Wittmann, den man nur noch als skurril bezeichnen k\u00f6nnte, wenn es nicht so traurig w\u00e4re:<\/p>\n

\"LKA<\/a><\/p>\n

Bei einem Landeskriminalamt l\u00e4uft ein Ermittlungsverfahren wegen der CDU Connect App, in der Lilith Wittman als Beschuldigte gef\u00fchrt wird. Der Hauptsachbearbeiter bittet Wittmann um die \u00dcbermittlung einer ladungsf\u00e4higen Anschrift.<\/p>\n

Anmerkung:<\/strong> Was mir sofort im Kopf herum ging: Das war doch das Szenario, vor dem 2007, vor der Einf\u00fchrung des Hackerparagraphs<\/a> (\u00a7 202c des deutschen Strafgesetzbuches), gewarnt wurde.<\/p><\/blockquote>\n

Streisand, Wahlkampf und Digitalkompetenz<\/h2>\n

Keine Ahnung, wie das Ermittlungsverfahren in Gang kam – irgend jemand hat da in meinen Augen was sehr voreilig angesto\u00dfen. Das Signal ist aber fatal:<\/p>\n

Auch wenn unsere Zeugs sicherheits- und datenschutztechnisch l\u00f6chrig wie ein Schweizer K\u00e4se ist, lasst eure Finger davon. Sicherheit ist, wenn wir nicht \u00fcber Schwachstellen sprechen. Wir kriegen zwar keinen Ransomware-Fall gebacken, aber wir k\u00f6nnen Hacker, oder was wir daf\u00fcr halten, dann in einem Ermittlungsverfahren festnageln. Hacken d\u00fcrfen nur wir – so will es das Gesetz. <\/em><\/p><\/blockquote>\n

Ich denke, das Verfahren wird irgendwann eingestellt, aber der Streisand-Effekt wird sich einstellen. Spontan schoss mir ein \"wie d\u00e4mlich kann man eigentlich sein …\" durch den Kopf – hab jetzt nur vergessen, auf wen der Gedanke bezogen war. Und dann gab es rein zuf\u00e4lligerweise heute noch ein Puzzle-Teil …<\/p>\n

\"Digitalkompetenz<\/a><\/em><\/p>\n

Wir haben aktuell ja zuf\u00e4llig Bundestags-Wahlkampf. Da passt auch der aktuelle Artikel<\/a> des Handelsblatts, der in obigem Tweet<\/a> verlinkt ist. Die Deutschen durften die Digitalkompetenz der Spitzenpolitiker beurteilen. Herr Lindner (FDP) erreicht mit 36,1% den Spitzenwert (hat mich \u00fcberrascht, steht er doch mit seiner Partei f\u00fcr \"Digitalisierung first, Bedenken second\", Staatsekret\u00e4rin f\u00fcrs Digitale, Frau B\u00e4r, liegt nach einer Legislaturperiode bei 15,4%, wie nachfolgender Screenshot zeigt. Ein Armutszeugnis f\u00fcr die aufgef\u00fchrten Personen.<\/p>\n

\"Einsch\u00e4tzung
\nEinsch\u00e4tzung Digitalkompetenz deutscher Politiker, Quelle: Handelsblatt\/Civey-Umfrage<\/p>\n

Ob wir wirklich auf einem guten Weg in Sachen Digitalisierung sind? Der Abriss in diesem Blog-Beitrag l\u00e4sst mich da doch irgendwie arg zweifeln. Oder wie seht ihr das so?<\/p>\n

Erg\u00e4nzung: <\/strong>Inzwischen haben die Kollegen bei heise diesen Vorgang ebenfalls aufgegriffen<\/a>. Eine Stellungnahme des Chaos Computer Clubs gibt es hier<\/a>. Inzwischen hat auch SPON das Thema aufgegriffen<\/a>.<\/p>\n

Ich hatte ja bereits im Artikel Videokonferenzsoftware Visavid, die Sicherheitsl\u00fccke sowie bayerische Schulen und Steuerberater<\/a> darauf hingewiesen, dass Wittmann auch die CSU-Bayern bzw. das bayerischen Kultusministerium in der Software Visavid auf gravierende Schwachstellen hinwies und auch von dort als \"Hackerin\" (allerdings ohne Anzeige) dargestellt wurde.<\/p>\n

CDU rudert zur\u00fcck<\/h2>\n

Erg\u00e4nzung 1:<\/strong> Nach der Berichterstattung in den Medien und der Ank\u00fcndigung<\/a> des Chaos Computer Clubs, keine Sicherheitsl\u00fccken mehr an die CDU zu menden, rudert die CDU zur\u00fcck und wollte sich bei Wittmann entschuldigen.<\/p>\n

\"CDU-Anzeige<\/a><\/p>\n

CDU-Gesch\u00e4ftsf\u00fchrer Stefan Hennewig gibt in obigem Tweet<\/a> an, dass man eigentlich Anzeige wegen der vermuteten Ver\u00f6ffentlichung von Daten erstattet habe, aber Frau Wittmann mit dem Responsible Disclosure-Verfahren (RD) nicht gemeint war. Er habe die Anzeige gegen die Sicherheitsforscherin beim LKA zur\u00fcckgezogen und sich bei Wittmann entschuldigt. Unklarheit gibt es, ob so etwas wie \"die Anzeige zur\u00fcckziehen\" \u00fcberhaupt m\u00f6glich ist. Der Flurschaden ist auf jeden Fall passiert und es wird f\u00fcr diese Partei Folgen haben. Artikel zur neuen Entwicklung gibt es hier<\/a> und bei heise<\/a>.<\/p>\n

 <\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nVideokonferenzsoftware Visavid, die Sicherheitsl\u00fccke sowie bayerische Schulen und Steuerberater<\/a>
\nDatenschutzsplitter: Johannes Caspar h\u00f6rt auf; CDU will beim Datenschutz aufr\u00e4umen<\/a>
\nCDU-Strategiepapier: Datensammelparadies f\u00fcr die Wirtschaft<\/a>
\nCDU-Staatssekret\u00e4r m\u00f6chte Datenschutz schleifen<\/a>
\nClubhouse: 3,8 Milliarden Telefonnummern im Darknet verf\u00fcgbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Heute noch ein kleiner Ausflug nach Absurdistan. Es geht um Digitalkompetenz bei deutschen Politikern in der Einsch\u00e4tzung der Deutschen, und speziell um die \"Volkspartei\" CDU und deren Wahlkampf-App CDU Connect. Der Plot: Die Wahlkampf-App der CDU ist eine wandelnde Datenschleuder … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[451],"class_list":["post-256376","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenschutz"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256376","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256376"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256376\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256376"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256376"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256376"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}