Mit einer Strafanzeige gegen eine Sicherheitsforscherin, die eine Schwachstelle einer Partei-App aufzeigte, demonstriert die CDU einmal mehr, dass sie die elementaren Prinzipien einer digitalen Gesellschaft nicht verstanden hat, ärgert sich Chefredakteur Jörg Luther.
Sehr geehrte Leserinnen und Leser,
Deutschland zählt weltweit zu den Nachzüglern bei der Digitalisierung der öffentlichen Verwaltung. Im EU-Ranking DESI [1] landete es 2020 deutlich unter dem europäischen Durchschnitt auf Platz 21 von 28. Nur auf dem Balkan sowie in Tschechien und der Slowakei sieht es in Sachen E-Gov noch düsterer aus. Lediglich bei digitalen Diensten für Unternehmen bescheinigt DESI den deutschen Behörden deutliche Verbesserungen, doch bei Umfang und Qualität der Online-Interaktionen zwischen Bürger und Staat steht das Land heute sogar schlechter da als noch 2015.
Nach Meinung von Jürgen Pruss, CTO Government bei Dell Technologies in Deutschland, haben die deutschen Behörden in sechs Sektoren dringenden Nachholbedarf: bei durchgehenden digitalen Prozessen, digitaler Inklusion, hybriden Infrastrukturen und offenen Plattformen, der sinnvollen Datennutzung, bei sicheren und vertrauenswürdigen Diensten und ganz generell beim kulturellen Wandel [2]. Die nächste Regierung wäre dringend gefordert, hier schnell und effektiv nachzulegen.
Der Wahlen zum 20. Bundestag – und damit die Entscheidung über die künftige Regierung – finden am 26. September statt, und entsprechend läuft der Wahlkampf bereits mit voller Kraft. Wahlhelfer der CDU versuchen Wählerstimmen zu gewinnen, indem sie von Haustür zu Haustür ziehen und dabei die Ergebnisse mit der hauseigenen Android-App CDU-connect [3] erfassen. Wer hat wann an welcher Haustür geklingelt? Welches Alter und Geschlecht hatte die Person, die aufmachte? Worüber wurde geredet, und welche Einstellung hatte der oder die Befragte zur CDU? Diese und viele weitere Datenpunkte lässt die CDU von ihren Helfern erfassen. Die App gibt es schon seit dem letzten Wahlkampf 2017, sodass die Datenbasis mittlerweile Hunderttausende Datensätze umfasst.
Mitte Mai 2021 wurde die CCC-Aktivistin Lilith Wittmann [4] via Twitter auf die App aufmerksam, wo über die Legalität der App aus datenschutzrechtlicher Sicht diskutiert wurde. Das Team um CDU-connect äußerte dazu, die App würde überhaupt keine personenbezogenen Daten erfassen. Wittmann wollte das etwas genauer wissen und sah sich die App näher an. Das Ergebnis: Über simple HTML-GET-Abfragen ließen sich die persönlichen Daten von 18 500 Wahlkampfhelfern mit E-Mail-Adressen und Fotos, von 1350 CDU-Unterstützern inklusive Adresse, Geburtsdatum und Interessen sowie rund eine halbe Million Datensätze über politische Einstellungen kontaktierter Personen von jedermann über das Netz auslesen [5].
Lilith Wittmann folgte den Prinzipien der Responsible Disclosure [6] und meldete die Lücke umgehend beim CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik, beim Berliner Datenschutzbeauftragten und beim Datenschutz der CDU. Die Partei reagierte darauf, indem sie die App abschaltete, die betroffenen Wahlkampfhelfer und Unterstützer informierte – und Wittmann beim Berliner Landeskriminalamt anzeigte, offensichtlich unter Bezug auf den unsäglichen “Hackerparagrafen” 202c StGB [7]. Erst unter dem Druck einer breiten Welle gesellschaftlicher Empörung nach Bekanntwerden dieses unglaublichen Vorgangs zog die CDU Anfang August den im Mai gestellten Strafantrag gegen Wittmann wieder zurück [8].
Damit demonstriert die CDU einmal mehr überdeutlich, dass sie die elementaren Prinzipien einer digitalen Gesellschaft nicht verstanden hat: Erst schlampt sie mit personenbezogenen Daten Tausender Menschen, dann zeigt sie diejenigen an, die auf diesen Fehler hinweisen – “shooting the messenger” [9]. Dass es sich dabei um dieselbe Partei handelt, die in der Regierungsverantwortung stehend in den letzten Jahren die Digitalisierung des Landes verschlafen und die digitale Souveränität [10] untergraben hat, wirft unweigerlich eine Frage auf: Ergibt es Sinn, dieser Partei bei den anstehenden Wahlen für weitere vier Jahre die Verantwortung für die Zukunftsentwicklung der Nation zu übertragen? Mir erscheint die Antwort eindeutig.
Herzliche Grüße,
Jörg Luther
Chefredakteur
Infos
-
Pressemitteilung Dell: https://pr-com.de/company_news/dell-technologies-sechs-erfolgsfaktoren-fuer-die-digitalisierung-der-oeffentlichen-verwaltung/
-
CDU-connect: http://www.example.org/folder/
-
“Wenn die CDU ihren Wahlkampf digitalisiert”: https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d
-
Umfang des Leaks: https://netzpolitik.org/2021/cdu-connect-berliner-lka-ermittelt-gegen-it-expertin-die-sicherheitsluecken-in-partei-app-fand/
-
Responsible Disclosure: https://en.wikipedia.org/wiki/Responsible_disclosure
-
Hackerparagraf: https://de.wikipedia.org/wiki/Vorbereiten_des_Aussp%C3%A4hens_und_Abfangens_von_Daten
-
Twitter Stefan Hennewig: https://twitter.com/StefanHennewig/status/1422899620498321409
-
“Shooting the messenger”: https://en.wikipedia.org/wiki/Shooting_the_messenger
-
Editorial: Jörg Luther, “Und täglich grüßt …”, LU 04/2020, S. 3, https://www.linux-community.de/44051



