Informatikerin meldet Lücke in App: Polizei ermittelt… gegen die Informatikerin

5. August 2021 um 14:03
image

CDU stellt Strafanzeige gegen White Hat Hackerin und rudert nach öffentlicher Empörung zurück. Das zeigt: Verbindliche Melderegeln sind zwingend.

Eine Posse in Deutschland zeigt einmal mehr, wie wichtig Vulnerability Disclosure Policies sind, Regeln nach denen ethische Hacker und Hackerinnen Schwachstellen melden können. Die Story, die derzeit durch die deutschen Medien gereicht wird, macht deutlich, warum White Hat Hacker oftmals lieber schweigen, als Lücken zu melden.
Die Vorgeschichte ist rasch erzählt: Die Security-Expertin Lilith Wittmann findet im Mai kritische Sicherheitslücken in einer Wahlkampf-App der CDU und meldet diese der Partei sowie den zuständigen staatlichen Stellen. "CDU Connect" wird offline genommen, die Sache scheint erledigt. Doch statt eines feuchten Händedrucks von Kanzlerkandidat Armin Laschet stehen für die Entdeckerin der Lücke möglicherweise juristische Konsequenzen ins Haus: Das Berliner Landeskriminalamt ermittelt gegen die "Hackerin".
Die CDU hat nämlich ein Strafverfahren gegen Wittmann angestrengt. Im Mai "hat mich Bundesgeschäftsführer Stefan Hennewig angerufen und mir einen Beratungsvertrag angeboten", sagte Wittmann zur 'Süddeutschen Zeitung'. Nachdem sie abgelehnt habe, habe der CDU-Mann mit einem Strafverfahren gedroht und die Tippgeberin schliesslich angezeigt.
Wittmann folgte, wie sie in einem Blogbeitrag darlegt, nach bestem Wissen und Gewissen dem üblichen Vorgehen bei der Meldung und Offenlegung solcher Lücken. Bloss: Das ist juristisch nicht gedeckt. Schliesslich hatte Wittmann, um die Lücke überhaupt entdecken zu können, unbefugt in die Datensammlung der App schauen müssen. Wie einfach das ging, kann man ebenfalls in ihrem Beitrag nachlesen.
Im Deutschen Gesetz gibt es einen sogenannten "Hackerparagraphen" gegen den Wittmann verstossen haben soll. Auch im Schweizer Strafgesetzbuch steht: Auf Antrag werde mit bis zu drei Jahren Freiheitsstrafe bestraft, "wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt". Das kann auch auf jene Hacker Anwendung finden, die in guter Absicht ein System unter die Lupe nehmen.
Für sie braucht es dringend verbindliche Regelwerke, wie sie einige Firmen und Institutionen bereits veröffentlich haben. Es gibt einige Bewegung in der Sache. Gerade angesichts öffentlicher Tests werden solche Regelwerke unumgänglich. So teilt die Post vor ihrem Bug-Bounty-Projekt mit, man habe in Zusammenarbeit mit Bund und Kantonen einen rechtlichen Rahmen geschaffen, der Hacker vor einer Strafverfolgung schütze.
Im Falle von Wittmann kommen Regelungen allerdings zu spät. Zwar ist die CDU nach einem Sturm öffentlicher Entrüstung zurückgerudert und hat sich offiziell entschuldigt. Das Verfahren läuft aber vorerst trotzdem weiter. Wittmann sammelt Spenden für ihre Strafverteidigung.
CDU-Mann Hennewig argumentierte in einem Tweet, dass es zur Veröffentlichung von Daten durch Dritte gekommen sei. Man habe erst durch ein Telefongespräch erfahren, dass Wittman nichts damit zu tun habe. Ausserdem sei öffentlich auf die Lücke hingewiesen worden, bevor die Partei informiert worden sei.
Anders sieht das der deutsche Ableger des Chaos Computer Clubs (CCC). Für ihn ist klar: Die Entschuldigung der CDU ist ein Wahlkampf-Stunt, um negative Schlagzeilen zu verhindern. Er hat Konsequenzen gezogen und angekündigt: "Der CCC wird CDU-Schwachstellen künftig nicht mehr melden. (…) viel Glück."

Loading

Mehr zum Thema

image

Wurde Lockbit zerschlagen?

Ermittler haben den Spiess umgedreht. Auf der Darknet-Seite der Ransomware-Bande zeigt ein Timer, wann die Website abgeschaltet werden soll. Ist das schon das Ende von Lockbit?

publiziert am 20.2.2024
image

Auslieferungsanhörung von Wikileaks-Gründer Assange hat begonnen

Liefert Grossbritannien Julian Assange an die USA aus oder nicht? Das entscheidet heute und morgen letztinstanzlich der High Court in London.

publiziert am 20.2.2024
image

OpenAI sichert sich in der Schweiz "GPT" als Markenname

Die USA haben die Eintragung als Marke nicht akzeptiert, in der EU ist ein Löschungsverfahren hängig. Eine Einschätzung.

publiziert am 20.2.2024
image

St. Galler Kantonsrat bewilligt Nachtragskredite für Steuersoftware

Mitte-EVP und GLP wollten die Entwicklung einer neuen Steuersoftware für die Steuerverwaltung stoppen, wurden aber von der Mehrheit überstimmt. Dem 74-Millionenprojekt steht nichts mehr im Weg.

publiziert am 20.2.2024