Informatikerin meldet Lücke in App: Polizei ermittelt… gegen die Informatikerin

5. August 2021, 14:03
image

CDU stellt Strafanzeige gegen White Hat Hackerin und rudert nach öffentlicher Empörung zurück. Das zeigt: Verbindliche Melderegeln sind zwingend.

Eine Posse in Deutschland zeigt einmal mehr, wie wichtig Vulnerability Disclosure Policies sind, Regeln nach denen ethische Hacker und Hackerinnen Schwachstellen melden können. Die Story, die derzeit durch die deutschen Medien gereicht wird, macht deutlich, warum White Hat Hacker oftmals lieber schweigen, als Lücken zu melden.
Die Vorgeschichte ist rasch erzählt: Die Security-Expertin Lilith Wittmann findet im Mai kritische Sicherheitslücken in einer Wahlkampf-App der CDU und meldet diese der Partei sowie den zuständigen staatlichen Stellen. "CDU Connect" wird offline genommen, die Sache scheint erledigt. Doch statt eines feuchten Händedrucks von Kanzlerkandidat Armin Laschet stehen für die Entdeckerin der Lücke möglicherweise juristische Konsequenzen ins Haus: Das Berliner Landeskriminalamt ermittelt gegen die "Hackerin".
Die CDU hat nämlich ein Strafverfahren gegen Wittmann angestrengt. Im Mai "hat mich Bundesgeschäftsführer Stefan Hennewig angerufen und mir einen Beratungsvertrag angeboten", sagte Wittmann zur 'Süddeutschen Zeitung'. Nachdem sie abgelehnt habe, habe der CDU-Mann mit einem Strafverfahren gedroht und die Tippgeberin schliesslich angezeigt.
Wittmann folgte, wie sie in einem Blogbeitrag darlegt, nach bestem Wissen und Gewissen dem üblichen Vorgehen bei der Meldung und Offenlegung solcher Lücken. Bloss: Das ist juristisch nicht gedeckt. Schliesslich hatte Wittmann, um die Lücke überhaupt entdecken zu können, unbefugt in die Datensammlung der App schauen müssen. Wie einfach das ging, kann man ebenfalls in ihrem Beitrag nachlesen.
Im Deutschen Gesetz gibt es einen sogenannten "Hackerparagraphen" gegen den Wittmann verstossen haben soll. Auch im Schweizer Strafgesetzbuch steht: Auf Antrag werde mit bis zu drei Jahren Freiheitsstrafe bestraft, "wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt". Das kann auch auf jene Hacker Anwendung finden, die in guter Absicht ein System unter die Lupe nehmen.
Für sie braucht es dringend verbindliche Regelwerke, wie sie einige Firmen und Institutionen bereits veröffentlich haben. Es gibt einige Bewegung in der Sache. Gerade angesichts öffentlicher Tests werden solche Regelwerke unumgänglich. So teilt die Post vor ihrem Bug-Bounty-Projekt mit, man habe in Zusammenarbeit mit Bund und Kantonen einen rechtlichen Rahmen geschaffen, der Hacker vor einer Strafverfolgung schütze.
Im Falle von Wittmann kommen Regelungen allerdings zu spät. Zwar ist die CDU nach einem Sturm öffentlicher Entrüstung zurückgerudert und hat sich offiziell entschuldigt. Das Verfahren läuft aber vorerst trotzdem weiter. Wittmann sammelt Spenden für ihre Strafverteidigung.
CDU-Mann Hennewig argumentierte in einem Tweet, dass es zur Veröffentlichung von Daten durch Dritte gekommen sei. Man habe erst durch ein Telefongespräch erfahren, dass Wittman nichts damit zu tun habe. Ausserdem sei öffentlich auf die Lücke hingewiesen worden, bevor die Partei informiert worden sei.
Anders sieht das der deutsche Ableger des Chaos Computer Clubs (CCC). Für ihn ist klar: Die Entschuldigung der CDU ist ein Wahlkampf-Stunt, um negative Schlagzeilen zu verhindern. Er hat Konsequenzen gezogen und angekündigt: "Der CCC wird CDU-Schwachstellen künftig nicht mehr melden. (…) viel Glück."

Loading

Mehr zum Thema

image

Neues Bündner Hochschulzentrum wird massiv teurer

Statt 130 soll der Neubau in Chur 178 Millionen Franken kosten. Schuld sind auch gestiegene IT-Kosten.

publiziert am 10.8.2022
image

Chaos Computer Club hackt Verfahren zur Videoidentifikation

Laut CCC ist die Video-Identifizierung ein "Totalausfall". Als Konsequenz des Berichts wurde in Deutschland der Zugang zur E-Patientenakte mittels Video-Ident gestoppt.

publiziert am 10.8.2022
image

Bundesverwaltung testet Videoidentifikation

Als Alternative zur Smartcard wird die Ausweiskontrolle per Video geprüft. Die von Intrum gelieferte Lösung soll einen einfacheren Zugang zu den Bundessystemen bieten.

publiziert am 10.8.2022 3
image

Mobilzone darf für bis zu 85 Millionen Franken Geräte an den Bund liefern

Die Bundesverwaltung hat Mobilezone als Lieferant für Smartphones, Tablets und Smartwatches gewählt. Das Beschaffungsvolumen beläuft sich auf bis zu 85 Millionen Franken.

publiziert am 10.8.2022