Freitag, 17.09.2021
 
Seit 09:10 Uhr Europa heute
StartseiteComputer und KommunikationWarum gegen eine Sicherheitsforscherin ermittelt wird07.08.2021

Lücke in der CDU-connect-AppWarum gegen eine Sicherheitsforscherin ermittelt wird

Die Sicherheitsforscherin Lilith Wittmann hat in der CDU-connect-App schwerwiegende Lücken aufgedeckt und diese gemeldet. Nun wird gegen sie ermittelt. Der Grund liegt auch im rechtlich unsicheren Rahmen solcher Aktivitäten.

Von Peter Welchering

Hören Sie unsere Beiträge in der Dlf Audiothek
Symbolbild Sicherheitslücken (picture alliance / Pacific Press / Andrea Ronchini)
Weil eine Sicherheitsforscherin Lücken in der CDU-connect-App aufgedeckt hat, wird nun gegen sie ermittelt (picture alliance / Pacific Press / Andrea Ronchini)
Mehr zum Thema

Router und Smart-TV Digitaler Alltag mit Sicherheitslücken und Datensammlern

Wahlmanipulation Sicherheitslücken der Demokratie

Spionage-Software Alles Wissenswerte zum Pegasus-Trojaner

Sicherheitslücken sind in immer komplexerer Software und IT-Systemen unvermeidlich. Wir müssen also mit Sicherheitslücken leben, aber sie müssen auch konsequent gesucht, gefunden und schnell geschlossen werden. Dazu tragen Sicherheitsforscherinnen und -forscher bei.

In einem aktuellen Fall hat die Sicherheitsforscherin Lilith Wittmann sich die CDU-connect-App genauer angeschaut und ist dabei unter anderem auf 18.000 Datensätze mit persönlichen Daten von Wahlhelferinnen und Wahlhelfern der CDU gestoßen. Sie hat also ein massives Datenschutzproblem entdeckt. Nun wird gegen sie ermittelt. Aber warum eigentlich?


Warum arbeiten Sicherheitsforscher oftmals in rechtlich unsicherem Terrain?

Zum einen weigern sich einige Politiker mit Regierungsverantwortung schon seit vielen Jahren, ein durchdachtes Management für Sicherheitslücken zu etablieren. Sicherheitsbehörden wollen zudem Sicherheitslücken offen halten, damit sie diese nutzen können – denn ihre Spionageprogramme funktionieren auf der Basis von Sicherheitslücken.

Kindle-Lesegerät in einer Bibliothek: Flops beim Publikum gibt es auch im E-Book-Bereich nicht zu knapp. (dpa / picture alliance / Thomas Eisenhuth) (dpa / picture alliance / Thomas Eisenhuth)Sicherheitslücke bei E-Book Kindle entdeckt
Sicherheitsforscher von Checkpoint haben im Kindle-Lesegerät von Amazon Sicherheitslücken entdeckt. Damit können Angreifer das gesamte Amazon-Konto übernehmen. Die E-Books lassen sich auch für die organisierte Kriminalität oder Geheimdienste zum Ausspionieren einsetzen.

Deshalb fehlt noch immer eine gesetzliche Meldepflicht für Sicherheitslücken. Mit der Verabschiedung etwa des Ausspähparagrafen §202aStGB hat die Politik einen Graubereich geschaffen, der Sicherheitsforscherinnen- und Forschern die Rechtssicherheit nimmt, die sie eigentlich für ihre Arbeit brauchen.

Wie ist Lilith Wittmann bei der Entdeckung von Schwachstellen in der CDU-connect-App vorgegangen?

Sie hat sich im Prozess an das sogenannte Responsible Disclosure gehalten. Sie hat die Sicherheitslücke dokumentiert und dann das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Landesdatenschutzbeauftragte und die CDU über die Lücke informiert. Bei diesem Verfahren ist es so, dass die Sicherheitslücke nicht veröffentlicht wird, bevor sie geschlossen wurde.

Warum ermittelt das Landeskriminalamt jetzt gegen sie?

Zunächst hat ihr die CDU sogar ein Jobangebot gemacht. Das hat Frau Wittmann aber abgelehnt, um ihre Unabhängigkeit nicht zu gefährden. Dann hat das Landeskriminalamt Berlin Frau Wittmann mitgeteilt, dass eine Anzeige gegen sie vorliege. Die CDU hatte Anzeige erstattet, diese aber später wieder zurückgenommen – vermutlich auch weil die Anzeige in der Öffentlichkeit sehr negativ diskutiert wurde. Die Ermittlungsbehörden sind aber gehalten, festzustellen, ob der Anfangsverdacht für Straftat vorliegt, wenn sie von einem solchen Vorfall erfahren. Und erfahren haben sie davon durch die Anzeige.

Das Foto zeigt einen Rechner von innen. Man sieht mehrere Platinen von oben.  (picture alliance / ap /  Jenny Kane) (picture alliance / ap / Jenny Kane)Ransomware: Gehackt, bestohlen, erpresst
Auch in kriminellen Kreisen gibt es bestimmte Trends. Einer davon heißt Ransomware. Dabei werden Daten geklaut und die Opfer dann erpresst. Mittlerweile sind auch deutsche Unternehmen betroffen und ein Ende der Angriffe ist nicht abzusehen – im Gegenteil.

Solche Ermittlungsverfahren sind nach dem Aufdecken von Sicherheitslücken gar nicht selten. Deshalb fordern Sicherheitsforscher ja schon seit längerem zum einen Ausnahmetatbestände beim Straftatbestand "Ausspähen von Daten", was ja im §202a StGB geregelt ist und beim 202c.

Wie haben das andere Länder geregelt?

Die Schweiz ist hier etwas besser aufgestellt. Dort wird eine neutrale Meldestelle eingerichtet, an die Sicherheitsforscher Schwachstellen senden können. Diese Meldestelle nimmt dann Kontakt zu den Herstellern auf. Die Überlegung dabei: Wenn eine neutrale Stelle den Hersteller auf die Lücke aufmerksam macht, ist der Druck höher und der Hersteller kann keine rechtlichen Schritte gegen den Sicherheitsforscher einleiten, der die Lücke an die Meldestelle weitergegeben hat. Langfristig, das sagen auch die Sicherheitsforscher in der Schweiz, brauchen wir Ausnahmetatbestände für Sicherheitsforscher bei den entsprechenden Strafnormen.

Das könnte sie auch interessieren

Entdecken Sie den Deutschlandfunk