Nach "Responsible Disclosure"
Lücke in CDUconnect-App: Partei stellt Strafanzeige gegen Aktivistin
Update: Die CDU macht einen Rückzieher.
Original-Eintrag: Mitten im Bundestagswahlkampf tanzt die CDU mit einer ungewöhnlichen Reaktion auf die gut gemeinte Meldung einer Sicherheitslücke in ihrer offiziellen CDUconnect-Applikation aus der Reihe.
Die Anwendung, die vor allem im lokalen Wahlkampf der Partei zum Einsatz kommt, dient zum Sammeln von Daten über potentielle Wähler und richtet sich an Partei-Helfer die klassischen Klinkenputzer-Wahlkampf machen.
Freier Zugriff auf zahlreiche persönliche Datensätze
Ordentlich gesichert waren die hier hinterlegten Personendaten allerdings nicht. Dies stellte die Digital-Aktivisten Lilith Wittmann des Chaos Computer Clubs fest, die sich bereits im Mai intensiv mit der iPhone-Applikation auseinandersetzt. Das Ergebnis der Prüfung: über die Anwendung waren die persönlichen Daten, E-Mail-Adressen und Fotos von über 18.000 Wahlkampfhelfern einsehbar. Zudem konnte auf mehr als 1000 Datensätze von CDU-Unterstützern zugegriffen werden.
Branchenüblich meldete Lilith Wittmann die von ihr entdeckte Sicherheitslücke an die Partei sowie das Bundesamt für Sicherheit in der Informationstechnik und den Berliner Datenschutzbeauftragten.
Anstatt sich für den Hinweis auf die ungeschützt im Netz zugänglichen Personendaten zu bedanken hat die CDU nun jedoch zu juristischen Keule gegriffen und einen Strafantrag gegen die Digital-Aktivistin gestellt.
Hey #Jurabubbel jemand zufällig Zeit für ein bisschen #cyber #Strafrecht? #cduconnect #dawareineHackerindrin
Und ja die #CDU hat genau so viel Ehre wie erwartet. pic.twitter.com/D3SZOFmHCr— Lilith Wittmann (@LilithWittmann) August 3, 2021
CCC meldet keine Sicherheitslücken mehr an CDU
Ein ungewöhnlicher Vorgang, auf den der Chaos Computer Club heute mit einer Pressemitteilung reagiert hat, die vor allem eine Botschaft beinhaltet: Deutschlands wichtigste Hacker-Vereinigung wird keine Sicherheitslücken mehr an die CDU melden und wünscht der Partei „viel Glück bei zukünftigen Schwachstellen“.
Zudem geht der Hacker-Club davon aus, dass zukünftige Schwachstellen in den Online-Angeboten der CDU nicht mehr über den regulären Responsible-Disclosure-Weg veröffentlicht werden, sondern anonym ins Netz schwappen dürften, ohne dass die Partei zuvor in Kenntnis gesetzt wird. Dies hätte man sich mit dem nicht nachvollziehbaren Verhalten verbaut.
Die haben sie doch nicht mehr alle!!!
Es darf bezweifelt werden, ob der Sachbearbeiter eine Mail mit rechtsverbindlichem Charakter versandt hat. Wirkt jedenfalls nicht professionell, wenn ein Behördenvertreter keine Anschrift recherchieren kann.
PayPals Inkasso hat meine Adresse auch nicht ermittelt. Pech gehabt.
Macht nichts. Eine Behörde könnte jetzt (also mal hypothetisch undim begründeten Fall) Deine Verbindungsdaten von ifun einfordern, ggf. Deinem VPN Anbieter und dann bekommst Du Deine Post auch bald. Kein Problem.
Sachbearbeiter=gehobener Diener=sollte studiert haben=na dann gute Nacht
CDU…der Verein, der nix mehr rafft was Themen wie Internet, Apps und Co. angeht.
Alleine die Weigerung aller Regierungen (egal ob rot, grün blau, violett oder sonstwas) mit dem CCC oder wie beispielsweise Netzpolitik.org zusammen zu arbeiten zeigt doch dass hier Angst vor Aufdeckung besteht. Es ist wie überall : die Leute, die wirklich Ahnung haben werden nicht gehört und die „bla bla bla“-Leute machen sich wichtig.
Ist für die immer noch alles Neuland.
Eindeutig. So kann man sich die Sympathien der nicht mehr ganz jungen Wählerschaft auch wundervoll verspielen
Welche Sympathien verspielen? Gab es für informierte junge Menschen jemals ein Grund CDU zu wählen?
Und was wählst du dann bitte? Grün? Links? Dann solltest du mal besser deren „Programme“ mal lesen…
Neuland hin oder her – eine stabile Wirtschaft ernährt dich …
Aber denken und so…
Hat dein Vater auch schon cdu oder fdp gewählt? Wenn es schon immer so war, dann mach das bitte genauso. Never touch a running system. Nooot.
Genau so. Wie sieht es denn mit der Haftung in so einem Fall laut DSGVO?
Ich hoffe sie haben das auch gemeldet und nicht nur den Mangel stillschweigend abgestellt.
Ich denke auch das dürfte für die „Hackerin“ ohne Strafe ausgehen da sie eine offene API genutzt hat. Und das Problem ist eher das die CDU nicht DSGVO Konform gehandelt hat.
Könnte vor Gericht teuer werden
Hoffentlich
Am besten die CDU mal wegen dem nicht-schützen der persönlichen Daten.
Gibt da die DSGVO was her?
vermutlich reagieren sie deswegen so..
Angriff ist die beste Verteidigung ;)
Scheint so.
Ich hatte vor einiger Zeit (bereits zu DSGVO-Zeiten) ein Problem mit Vodafone. Ich bekam Rechnungen von einer anderen Person, die allerdings genau den gleichen Namen wie ich hat, und auch im selben Ort wohnt.
Das Problem zu schildern (Hotline) war sehr anstrengend.
Bis ich dann irgendwann mal den Datenschutzbeauftragten von VF am Telefon hatte. Dieser meinte dazu dann, „warum ich da so ein Fass aufmachen“ würde.
Am nächsten Tag rief er erneut an, um sich zu entschuldigen.
Erstmal rumpöbeln und von dem Problem ablenken…
Ich bin selbst DSB und ja, das wird für die CDU rechtliche Folgen haben. Der Strafantrag war ein Eigentor. Gönne ich diesem Drecksverein aber auch ordentlich…
+1
Immer wieder faszinierend. Frage mich manchmal, wer sowas anordnet, der oder die Person muss doch klar sein, dass man als Partei dann nur noch schlimmer da steht. Selbst wenn dort alle Entscheidungsträger Ü60 sind, sollten die doch was merken oder?
Deren Wähler wird das nicht interessieren bzw. gar nicht mitbekommen. Glaube nicht, dass es dir Meldung in die Mainstream-Medien schafft.
„Mainstream Medien“. Was soll ich mir denn angucken? Telegram-Kanäle oder was? ;) Andere Staaten wären auf solch einen Rundfunk stolz. Es läuft nicht immer gut, aber jedes mal alles in Frage zu stellen ist sehr lächerlich.
@eti97 du hast Marcel nicht verstanden. Er meint, dass zB der ÖR eben gar nicht über diese Ereignisse berichten wird und daher die meisten CDU Wähler von diesem absoluten Versagen und Unvermögen nichts mitbekommen werden. Das hat nichts mit Bashing von „Mainstream Medien“ im Allgemeinen zu tun. Ich gehe auch davon aus, dass das hier einfach medial verpuffen wird.
Die ÖRs und viele andere Mainstream-Medien haben es längst aufgegriffen.
Ja, und die CDU rudert zurück
https://www.spiegel.de/netzwelt/cdu-entschuldigt-sich-fuer-anzeige-gegen-sicherheitsforscherin-a-2332e1a4-4f65-47aa-a2ff-e3345632f522
Richtiges Eigentor. Ich ie kann man so engstirnig und kurzsichtig handeln?
Da ist die Digitalkompetenz der CDU schön zu sehen. Nicht. #neuland
Nicht-Witze sind voll witzig. … Nicht. Aber recht hast du.
Ja wie immer halt, nicht das selbstgemachte Problem angehen, sondern andere beschuldigen und in Bedrängnis bringen.
Die kann man nicht mehr ernst nehmen!
Oh oh, der Schuss geht nach hinten los. Da zeigt sich wieder mal wieviel digitale Kompetenz die CDU hat.
Tja, wenn der CCC die CDU wegen dem Datenschutzverstoß anzeigt, wird es wohl ein interessantes Kräftemessen. Wenn die nicht gerade CDU-hörige Richter bekommen, gehts sicher zugunsten des CCC aus.
Andererseits ist diese Reaktion so typisch CDU, dass alles andere eher verwundert hätte.
Die CDU passt sich mehr und mehr ihrem Vorsitzenden an und wird nach dessen Vorbild zur Lachnummer. Wer Clown liebt, kann sie dann auch wählen
Schreibt doch direkt mal einfach mal eurem CDU Abgeordneten:
Die Kontaktadressen findet ihr im Internet.
Sehr geehrter Herr Biadacz,
wenn ich solche Nachrichten in der Presse lese, fällt mir zunehmend die Entscheidung schwer bzw. macht es mir unmöglich die CDU zu wählen.
Die CDU macht die gleichen Fehler wie die Grünen bei den, Annalena Baerbock‘s Plagiatsvorwürfen.
Erst mal juristisch vorzugehen bevor man Fehler einräumt.
CDU nicht lernfähig.
Lücke in CDUconnect-App: Partei stellt Strafanzeige gegen Aktivistin
https://www.iphone-ticker.de/luecke-in-cduconnect-app-partei-stellt-strafanzeige-gegen-aktivistin-177894/
Ich habe es tatsächlich mal gemacht, obwohl ich die CDU eh nicht wähle. Hauptsache es entsteht interna ein Druck wegen diesem Thema
Ich glaube mich knutscht ein „e CDU“ähh Elch.
Wissen die überhaupt was sie selbst fordern?
Typisch das zeigt es sich wieder mal das sie nicht wissen was sie tun.
Für die CDU sind alle Themen inzwischen „Neuland“
Hier sehe ich die Mitschuld am ‚Befragten‘. Wenn er seine Daten her gibt…
Nonsense.
Schon klar. Du bist natürlich nicht schuld, wenn du denen deine Daten gibst. Ich kann dieses Gejammer nicht mehr hören.
Du darfst sehr wohl erwarten, dass sich eine Stelle, FÜR DIE DU ARBEITEST (Wahlkampfhelfer!), mit deinen Daten sorgfältig umgeht. Mal ganz abgesehen davon, dass die CDU per Gesetz verpflichtet ist, das zu tun. Die DSGVo ist keine Handlungsempfehlung, sondern Pflicht.
@Bob, von der ‚Stelle‘ erwarte ich natürlich die ‚korrekte‘ Verarbeitung bzw. ‚Verschwiegenheit‘ meiner Daten, wenn ich sie denn denen gebe. Der Punkt ist aber doch, keiner MUSS.
Selbstverständlich ist das ein Muss. Die DSGVO ist bindend, auch für die CDU. Das ist eine in deutsches Recht umgesetzte EU-Verordnung, also Gesetz in Deutschland. Wie kommst Du darauf, das die korrekte Behandlung von Daten kein MUSS sei?
Teilt doch alle den Originalbeitrag auf Facebook…ich habe das sofort in allen von mir genutzten Kanälen verteilt.
Was will man auch von einer Partei der ewig gestrigen erwarten?
Upps, ich dachte das ist hier ein Apple-Forum und kein politisches.
Wenn unsere Politiker keine Ahnung von IT haben, darf man das auch in einem Apple‑Forum zur Sprache bringen
Manchmal lassen sie Dinge nicht so einfach trennen, so auch bei den aktuellen Untersuchungen der EU in Bezug auf Apple oder eben eine in Deutschland genutzte App.
Zumal es die App in Apples App Store gibt!
Für den typische CDU Wähler reicht leider die Info: „Wir wurden gehackt, böse böse.“
So ist es ja auch! Deshalb der Strafantrag!
Für dich ist das auch Neuland?
Ja, scheint so.
@askanier Menschen die so reden halte ich für dumm, nach deiner Logik bist du es dann leider auch. qed
Hat die CDU als Partei diese App programmiert oder eine beauftragte Firma? Frage nur wer hier hamdwerklich zu belangen ist. Meiner Ansicht nach nicht die Partei, egal welcher Couleur.
Eine von Parteimitgliedern gegründete Firma:
„Diese App wurde von der Agentur PXN GmbH entwickelt. Eine Agentur, die sich auf “Digital Campaign Strategies” spezialisiert und von CDU-Mitgliedern gegründet wurde. Die haben die App nicht nur an die CDU verkauft sondern auch and die CSU und die österreichische Volkspartei.“
[https://lilithwittmann.medium.com/wenn-die-csu-und-die-volkspartei-digitalen-wahlkampf-machen-6d9e245efefc]
Mangelnde Sorgfalt. Der Auftraggeber haftet mit.
Die DSGVO ist da eindeutig. Die CDU sammelt und verwertet die Daten, also ist sie verantwortlich!
Die CDU hat sogar die Verpflichtung die App auf Schwachstellen zu prüfen.
Mich würde zudem interessieren wie hier die Daten erfasst wurden und ob die „potentiellen CDU- Wähler“ überhaupt wissen, dass sie in dieser Datenbank stehen und über ihre Rechte aufgeklärt wurden.
Like
Ich gehe davon aus, dass es keine Bürokraft war, die entschieden hat, Anzeige zu erstatten. Des weiteren gehe ich davon aus, dass der Vorgang erst nach Rücksprache mit (Fach-) Anwälten ausgeführt wurde. Könnte es also sein, dass das Ganze sich nicht so abgespielt hat, wie es dargestellt wurde? Ich finde, es wird oft viel zu schnell Partei für die eine oder andere Seite ergriffen, ohne die genauen Hintergründe zu kennen. Weil sie z.B. noch nicht vollumfänglich bekannt sind.
Selbst ohne die Gesamte Aktenlage zu kennen stellt sich der Fall wie Folgt dar: Eine IT-Security Forscherin schaut sich die App der CDU an. Findet innerhalb eines Nachmittags gravierende Scheunentor große Schwachstellen die noch nichtmal ein 6. Klässler nach der 3 Informatik Stunde gemacht hätte. Eine API offen ins Netz zu stellen, nicht zu Rate Limiten, ohne Rollenprüfung, Ohne Zugangslimitation, das ganze dann nur im UI der React-Native App in der Anzeige gefiltert darzustellen macht man nicht. Das weiß einfach jeder der Programme entwickelt. Punkt.
Freundlich, wie sie ist, Nutzt sie die Schwachstellen, die sie gefunden hat nicht aus. Verkauft sie auch nicht an die Russen die ja immer die Wahl hacken, sondern Meldet diese Vertraulich an die CDU, das BSI und den Datenschutzbeauftragten um darauf hin zu wirken, dass diese Schwachstellen geschlossen werden.
Der CDU fällt darauf hin nichts besseres ein als Strafanzeige zu erstatten. Und das bei der Partei mit der nach eigener Aussage größten Digitalkompetenz.
In dieser Zeit bekomme ich die meiste Körperertüchtigung durch schütteln meines Kopfes. Das Lesen dieses Artikels hat heute kräftig dazu beigetragen. CDU = Clowns Der Urzeit?
Habe den Artikel Dr. Roy Kühne von der CDU weitergeleitet über den Messenger. Mal schauen ob eine Antwort kommt
Die CDU hat inzwischen zurück gerudert. Jetzt wo der Schaden da ist. Typisch CDU halt.
https://www.spiegel.de/netzwelt/cdu-entschuldigt-sich-fuer-anzeige-gegen-sicherheitsforscherin-a-2332e1a4-4f65-47aa-a2ff-e3345632f522
Liebe CDU, dank eurer Digitalkompetenz ist Deutschland ein digitales Entwicklungsland. Ihr solltet wie die meisten Behörden in Deutschland beim Fax bleiben. Dann ist die einzige Möglichkeit gehackt zu werden wenn euch jemand das Faxpapier oder den Toner klaut. :-)
Wurde grad im Radio drüber berichtet. Das Thema hat es also gerechterweise in die breite Öffentlichkeit geschafft. Anzeige wurde zurückgenommen, als Fehler bezeichnet und bei der Hackerin wurde sich entschuldigt.
Klar wie bei dem Lachen im Flutgebiet ist alles nicht so schlimm. Die CDU sitzt es aus das kann sie ja auch am besten.
Wenn man sich die Videos der beiden Interviews ansieht, dann ist da eigentlich nur eine Gemeinsamkeit auffällig: es ist immer die eine ältere Frau zu sehen, die sich vor Lachen krümmt.
Sicherheitsforscherin