Blamage für die „Digitalkompetenz“ der CDU: Strafverfahren gegen Lilith Wittmann in Sache “CDU Connect” durch die Staatsanwaltschaft eingestellt
CDU connect ist eine App der CDU, die Werber*innen für die Partei unterstützen soll. Die App wurde speziell für den Straßenwahlkampf entwickelt, bei dem die Protagonisten von Haustür zur Haustür gehen. Mit dem Wissen darum, wo potentielle CDU-Wähler wohnen, sollen die Haustüraktionen optimiert werden. Die Informationen basieren auf den Ergebnissen früherer Wahlen und Adressdaten, die die CDU gekauft hat. Zudem werden soziodemographische Informationen durch das System ausgewertet, auf das die App zugreift. Ein weiteres Merkmal der App: Wer sich als Unterstützer angemeldet hat, bekommt für diverse Aktivitäten Punkte gutgeschrieben. So wird bei „Tür zu Tür“ belohnt, wer mit möglichst vielen Bürgern an der Haustür spricht. Unter dem Punkt „Social Media“ wird belohnt, wer entsprechende Facebookposts absetzt oder SMS an Freunde und Bekannte verschickt. Beim Punkt „Unterstützer“ können neue Wahlhelfer registriert werden.
Lilith Wittmann, Softwareentwicklerin, IT-Sicherheitsexpertin und Datenschutz-Aktivistin aus Berlin fand Anfang 2021 eine Sicherheitslücke in CDU Connect. In einem Beitrag unter dem Titel „Wenn die CDU ihren Wahlkampf digitalisiert…“ vom 12.05.2021 teilt sie auf Ihrer Homepage u. a. mit: „…abrufbar waren…
- Die persönlichen Daten von 18500 Wahlkampfhelfern, mit E-Mail-Adressen, Photos, teilw. Facebook Tokens, …
- Die persönlichen Daten von 1350 Unterstützer*innen, die Angeworben wurden, der CDU im Wahlkampf zu helfen, inklusive Adresse, Geburtsdatum und Interessen.
Nachdem ich diese Sicherheitslücke gefunden hatte, reichte ich am 11.05 um 22 Uhr beim CERT-Bund meine Informationen zur Sicherheitslücke als Responsible Disclosure ein, parallel informierte ich den Berliner Datenschutzbeauftragten. Am 12.05 morgens meldete sich das BSI mit der Information, das die Meldung weitergegeben wurde und parallel kontaktierte ich noch den Datenschutz der CDU.“
Vn der CDU wurde Lilith Wittmann auf Basis von §202 a/b/c StGB, auch bekannt als Hackerparagraf, am 04.06.2021 bei der Staatsanwaltschaft angezeigt.
Am 17.09.2021 teilt sie auf ihrer Homepage mit: „Das Strafverfahren gegen mich in der Sache ‚CDU Connect‘ wurde durch die Staatsanwaltschaft eingestellt. Sie vertritt die Auffassung, dass die Daten der CDU überhaupt nicht technisch geschützt waren — Ich die CDU also nicht im Sinne des Hackerparagrafen ‚gehackt‘ habe. Die Ermittlungsakte gibt tiefe Einblicke — vor allem in die Digitalkompetenz der CDU.“ Der gesamte Vorgang
- von der Feststellung der Sicherheitslücke in CDU connect,
- über die Meldung an das BSI,
- den darauf folgenden Strafantrag der CDU,
- die Ermittlungen der Staatsanwaltschaft und
- deren Beschluss zur Einstellung des Strafverfahrens
wird im Beitrag umfangreich dokumentiert. Am Ende ihrer Dokumentation erklärt Lilith Wittmann: „Ich warte jetzt gespannt auf die Ergebnisse des DSGVO-Prüfverfahrens zum Fall CDU-Connect und hoffe, dass man dort die Ansicht der Staatsanwaltschaft bzgl. nicht Vorhandensein von Sicherheitsmaßnahmen teilt.“