Im Mai fand die Security-Expertin Lilith Wittmann kritische Sicherheitslücken in einer Wahlkampf-App der CDU und meldete diese der Partei sowie den zuständigen staatlichen Stellen. "CDU Connect" wurde offline genommen,
die CDU strengte ein Strafverfahren gegen Wittmann an. Grundlage war der sogenannte "Hackerparagraph", der auch gegen gutwillige IT-Spezialistinnen in Anschlag gebracht werden kann, wenn sie in Systeme eindringen.
Wittmann drohte also Ungemach, weil sie die CDU und ihre Wähler vor Schaden schützen wollte und die Lücke nach eigenen Angaben nach Responsible Disclosure Regeln gemeldet hatte. Nun gibt es gute Neuigkeiten für die Softwareentwicklerin: Die Staatsanwaltschaft hat das Strafverfahren eingestellt, wie es in einem ausführlichen Blogbeitrag von Wittmann heisst.
Dieser Schritt erfolgte aber nicht, weil die CDU nach öffentlichem Druck die Anzeige zurückgezogen hatte. Die Staatsanwaltschaft liess sich offenbar von Wittmanns Argumentation überzeugen: Die Daten der CDU-App seien quasi ungeschützt gewesen und über simple Schnittstellen-Abfragen zu erreichen gewesen. Damit kann der "Hackerparagraph" nicht zur Anwendung gebracht werden. "Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar", heisst es in einem Aktenvermerk, der von Wittmann veröffentlicht wurde.
Die Softwareentwicklerin freut sich, dass sich der "Machtmissbrauch durch die CDU" nicht nachteilig ausgewirkt hat. Derzeit läuft noch ein Verfahren des Berliner Datenschützers. Dieses wiederum wird aber eher die CDU beunruhigen müssen, nachdem die Staatsanwaltschaft nun festgestellt hat, dass die Partei personenbezogene Daten ungesichert im Netz gelagert hatte.