Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik

Sicherheit (Pexels, allgemeine Nutzung)Heute noch ein kleiner Ausflug nach Absurdistan. Es geht um Digitalkompetenz bei deutschen Politikern in der Einschätzung der Deutschen, und speziell um die "Volkspartei" CDU und deren Wahlkampf-App CDU Connect. Der Plot: Die Wahlkampf-App der CDU ist eine wandelnde Datenschleuder – mit wenig Aufwand kann man die Daten von Wahlhelfern und aufgesuchten Bürgern auslesen. Die Sicherheitsforscherin Lilith Wittmann hat das aufgedeckt und das BSI sowie CERT-Bund informiert – und hat nun ein Ermittlungsverfahren am Hals. Ergänzung: Die CDU rudert zurück und wollte sich entschuldigen.


Anzeige

Ich hatte den Sachverhalt nur am Rande mitbekommen und bisher nicht im Blog thematisiert. Aber heute sind einige Puzzleteile in ein Gesamtbild gefallen, wo spontan die Idee entstand, dieses Bild mal in einem Blog-Beitrag auszuleuchten. Zeigt, wie irre die Zustände inzwischen geworden sind.

Darum geht es bei CDU Connect

Bei CDU Connect handelt es sich um einen IT-Lösung der gleichnamigen Partei, die aus einer App sowie einer dahinter gelagerten Datenbank besteht. Diese Lösung wurde wohl bereits im Bundestagswahlkampf 2017 eingeführt und wird auch 2021 weiter benutzt. Wahlkämpfer und Helfer der CDU besuchen deutsche Bürger, um an der Haustür Gespräche zu führen. Dabei protokollieren die Leute, worüber geredet wurde, wie die Position gegenüber der CDU ist etc. Die Wahlkämpfer werden dabei für die Einträge mit Punkten belohnt – Motivation muss schließlich sein. Wäre ja auch egal, wenn die IT-Lösung sicher wäre – was sie aber mitnichten ist, wie die Sicherheitsforscherin Lilith Wittmann herausgefunden hat.

 Lilith Wittmann und CDU Connect

Ich bin heute über den obigen Tweet von Wittmann erneut auf die Thematik aufmerksam geworden. Wittmann hat die Details zu diesem Thema im Artikel Wenn die CDU ihren Wahlkampf digitalisiert… aufbereitet. Auf netzpolitik.org findet sich ebenfalls ein aufschlussreiches Interview zur ganzen Geschichte. Das Ganze lässt einem nur noch die Haare zu Berge stehen, denn durch simple Anpassungen von Abfragen der App konnte Wittmann sich die Daten aus der Datenbank anzeigen lassen.


Anzeige

CDU Connect und die DSGVO

Während die CDU-Verantwortlichen der Meinung waren, dass nur anonyme Daten erhoben würden und für den Rest die Zustimmung der Betroffenen vorläge (siehe obiger Tweet), sieht die Sache wohl etwas anders aus. In den Datensätzen stecken viele Informationen, die sehr schnell eine De-Anonymisierung der Betroffenen – speziell in Straßen mit wenigen Häusern (Straße xyz, 70 jähriger Mann) – ermöglichen. Zudem finden sich in der Datenbank die persönlichen Daten der Helfer und Helferinnen, inklusive Foto, Name, E-Mail etc. Die Details lassen sich im verlinkten Medium-Artikel von Wittman nachlesen.

Nur zur allgemeinen Information – bereits 2019 gab es einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE, weil deren Software nicht DSGVO-konform war (siehe). Und heise berichtete zum 3.8.2021 von einem Bußgeld in Höhe von 65.000 Euro gegen eine Firma aus aus Niedersachsen, die veraltete Shop-Software eingesetzt hat.

Die Sicherheitsforscherin Lilith Wittmann hat das BSI sowie CERT-Bund über ihre Erkenntnisse informiert. Das einzig Gute an der Geschichte: Die CDU hat die App sowie die Infrastruktur dahinter zumindest zeitnah offline genommen (siehe diesen Tweet von Wittmann).

Ergänzung: Interessant wäre auch, welche Tracker in der App enthalten sind. Diesbezüglich verweise ich auf diesen Kommentar im heise-Forum. Da ist offenbar mächtig was entgleist. Bezüglich der DSGVO erwartet ich auch wenig an Sanktionen, wenn ich diese Ausarbeitung des wissenschaftlichen Diensts des Bundestags lese.

Ermittlungsverfahren gegen Wittmann

Was mir aber heute Morgen die Sprache verschlagen und diesen Artikel befeuert hat, war der nachfolgende Tweet von Lilith Wittmann, den man nur noch als skurril bezeichnen könnte, wenn es nicht so traurig wäre:

LKA ermittelt gegen Lilith Wittmann wegen CDU Connect

Bei einem Landeskriminalamt läuft ein Ermittlungsverfahren wegen der CDU Connect App, in der Lilith Wittman als Beschuldigte geführt wird. Der Hauptsachbearbeiter bittet Wittmann um die Übermittlung einer ladungsfähigen Anschrift.

Anmerkung: Was mir sofort im Kopf herum ging: Das war doch das Szenario, vor dem 2007, vor der Einführung des Hackerparagraphs (§ 202c des deutschen Strafgesetzbuches), gewarnt wurde.

Streisand, Wahlkampf und Digitalkompetenz

Keine Ahnung, wie das Ermittlungsverfahren in Gang kam – irgend jemand hat da in meinen Augen was sehr voreilig angestoßen. Das Signal ist aber fatal:

Auch wenn unsere Zeugs sicherheits- und datenschutztechnisch löchrig wie ein Schweizer Käse ist, lasst eure Finger davon. Sicherheit ist, wenn wir nicht über Schwachstellen sprechen. Wir kriegen zwar keinen Ransomware-Fall gebacken, aber wir können Hacker, oder was wir dafür halten, dann in einem Ermittlungsverfahren festnageln. Hacken dürfen nur wir – so will es das Gesetz.

Ich denke, das Verfahren wird irgendwann eingestellt, aber der Streisand-Effekt wird sich einstellen. Spontan schoss mir ein "wie dämlich kann man eigentlich sein …" durch den Kopf – hab jetzt nur vergessen, auf wen der Gedanke bezogen war. Und dann gab es rein zufälligerweise heute noch ein Puzzle-Teil …

Digitalkompetenz deutscher Spitzenpolitiker

Wir haben aktuell ja zufällig Bundestags-Wahlkampf. Da passt auch der aktuelle Artikel des Handelsblatts, der in obigem Tweet verlinkt ist. Die Deutschen durften die Digitalkompetenz der Spitzenpolitiker beurteilen. Herr Lindner (FDP) erreicht mit 36,1% den Spitzenwert (hat mich überrascht, steht er doch mit seiner Partei für "Digitalisierung first, Bedenken second", Staatsekretärin fürs Digitale, Frau Bär, liegt nach einer Legislaturperiode bei 15,4%, wie nachfolgender Screenshot zeigt. Ein Armutszeugnis für die aufgeführten Personen.

Einschätzung Digitalkompetenz deutscher Politiker
Einschätzung Digitalkompetenz deutscher Politiker, Quelle: Handelsblatt/Civey-Umfrage

Ob wir wirklich auf einem guten Weg in Sachen Digitalisierung sind? Der Abriss in diesem Blog-Beitrag lässt mich da doch irgendwie arg zweifeln. Oder wie seht ihr das so?

Ergänzung: Inzwischen haben die Kollegen bei heise diesen Vorgang ebenfalls aufgegriffen. Eine Stellungnahme des Chaos Computer Clubs gibt es hier. Inzwischen hat auch SPON das Thema aufgegriffen.

Ich hatte ja bereits im Artikel Videokonferenzsoftware Visavid, die Sicherheitslücke sowie bayerische Schulen und Steuerberater darauf hingewiesen, dass Wittmann auch die CSU-Bayern bzw. das bayerischen Kultusministerium in der Software Visavid auf gravierende Schwachstellen hinwies und auch von dort als "Hackerin" (allerdings ohne Anzeige) dargestellt wurde.

CDU rudert zurück

Ergänzung 1: Nach der Berichterstattung in den Medien und der Ankündigung des Chaos Computer Clubs, keine Sicherheitslücken mehr an die CDU zu menden, rudert die CDU zurück und wollte sich bei Wittmann entschuldigen.

CDU-Anzeige gegen Lilith Wittmann

CDU-Geschäftsführer Stefan Hennewig gibt in obigem Tweet an, dass man eigentlich Anzeige wegen der vermuteten Veröffentlichung von Daten erstattet habe, aber Frau Wittmann mit dem Responsible Disclosure-Verfahren (RD) nicht gemeint war. Er habe die Anzeige gegen die Sicherheitsforscherin beim LKA zurückgezogen und sich bei Wittmann entschuldigt. Unklarheit gibt es, ob so etwas wie "die Anzeige zurückziehen" überhaupt möglich ist. Der Flurschaden ist auf jeden Fall passiert und es wird für diese Partei Folgen haben. Artikel zur neuen Entwicklung gibt es hier und bei heise.

 

Ähnliche Artikel:
Videokonferenzsoftware Visavid, die Sicherheitslücke sowie bayerische Schulen und Steuerberater
Datenschutzsplitter: Johannes Caspar hört auf; CDU will beim Datenschutz aufräumen
CDU-Strategiepapier: Datensammelparadies für die Wirtschaft
CDU-Staatssekretär möchte Datenschutz schleifen
Clubhouse: 3,8 Milliarden Telefonnummern im Darknet verfügbar


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Antworten zu Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik

  1. Niels sagt:

    Wenn das LKA genau so eine Digitalkompetenz wie die CDU hat, braucht Frau Wittmann einfach nur nicht auf die Mail antworten und die finden niemals heraus wie Ihre ladefähige Addresse lautet…

  2. KlausB. sagt:

    Bei der Digitalkompetenz sind aber nicht nur die Politker gefragt, die fehlt auch bei Leuten, die den ganzen Tag am PC arbeiten, wie ich supportenderweise täglich merke.
    Zu unserem Programm gibt es eine gleichlautende Internetseite, im Hilfemenü sind Einträge zur Hilfe, zum PDF-Handbuch, zum Update und zur Homepage.
    Trotzdem kommen dann Fragen wie:
    – ich habe Ihre E-Mail-Adresse nicht gefunden
    – wie kann ich ein Update einspielen
    – wo bekomme ich das Update her
    – wie haben kein Handbuch (wenigstens wollen sie es lesen ;-) )
    und und und, die typischen DAU-Fragen, die gibt es immer noch. Ich fasse es nicht, 'zefix.
    Heutzutage sollte doch, wenn man etwas zu einer Software wissen will, der Blick ins Hilfe-Menü die erste, und auf derer Homepage die zweite Reaktion sein. Wenigstens einen Versuch sollte man machen. Anstatt dessen erhalte ich sogar E-Mails zu den DAU-Fragen, dafür braucht man doch viel länger.
    Naja, die Leiden des jungen Entwicklers…

  3. icke sagt:

    Unabhängig von der Digitalisierung empfinde ich es einen Eingriff in meine Privatsphäre, wenn Wahlkämpfer meine Freizeit stören.
    So eine App muss man ja nicht installieren. Dennoch sollten auch Leute, die reine Nutzer von IT sind, darauf vertrauen können, dass sie Anwendungen oder Geräte bedenkenlos nutzen können.
    Leider hat sich eine "Achherrje, das wollte ich nicht"-Mentalität breitgemacht, wo selbst haarsträubende Fehler mit einem Achselzucken quittiert werden, dann geht man zum nächsten Tagesordnungspunkt über.

  4. Michael Eicher sagt:

    Es ist ja eigentlich noch schlimmer: da werden mit mangelnder Sachkompetenz Eu Gesetze zu den Themen Abhören und Verschlüsselung beschlossen, und man hat das Gefühl, dass die Abstimmenden gar nicht wissen, worüber im Kern abgestimmt wird. Auch ist überall Aufregung über die israelische Spionage Software, während die Bundesregierung eine eigene Lösung haben will C't : der Bundestrojaner kommt… Auch in weiteren Teilen der nicht IT Presse, und des öffentlich rechtlichen Rundfunks scheint man das wirkliche Problem nicht zu durchschauen, und tut so, als könne uns das nicht passieren. Die Redaktion brauchen mehr Beratung in Sachen IT Kompetenz.

  5. Hans Thölen sagt:

    In einer Demokratie ist es strengstens verboten, Kritik an Politikern oder an den
    Parteien zu äußern, auch wenn Diese unseriöse Machenschaften ausüben.
    Das kann man immer wieder daran sehen, wie unsere Volksvertreter und die
    Parteien mit dem Datenschutz verfahren.

  6. Michael sagt:

    Bei der letzten Bundestagswahl kam bei uns auch so ein Wahlhelfer an die Haustür, vielleicht weil ich als Rentner der "Zielgruppe" angehöre.
    Beim Einwohnermeldeamt der Weitergabe aller Daten / Adresse an alle Organisationen / Parteien etc. untersagen, dann ist Ruhe.

    • Uwe Bieser sagt:

      So einfach ist das nicht. Die Telefonterroristen betreiben ja z. B. Namensfilterung um auf eine Zielgruppe zurückzuschließen. Aus meinem Vornamen können sie ziemlich gut zurückschließen welcher Jahrgangsgruppe ich angehöre. Dann gibt es ja noch typische Merkmale am oder im Haus, die auf eine gewisse Zielgruppe schließen lassen.

  7. nook sagt:

    Da hat wohl jemand die gute Lilith auf dem Schirm. Am 08. Juli diesen Jahres bezeichnete das bayr. Kultusministerium schon Ihre Arbeit (Sicherheit-Visavid) als Hackerangriff.
    https://lilithwittmann.medium.com/visavid-datensicherheit-im-warteraum-77c184c1d58a

    Mangels eigener Kompetenz haut man erst mal richtig drauf und markiert den strammen Max.

    Wo es mir aber richtig die Schuhe auszieht, ist ein Gros der Jugend und mittelalter kritischer Menschen.

    Will ich hier eine Liste zum Bürgerbegehren Klima zeichnen, werde ich zum US Dienstleister weitergeleitet. Kontakt via gmail und follow us on facebook, twitter und Konsorten.

    Projekte der hiesigen Uni: Kontakte über gmx, web.de, gmail etc. Und logisch "follow us…"

    Sascha Lobo, ja leck mich doch am … die Homepage, ein Antiquariat. Man twittet heute, ist auf Instagramm und was weiß ich sonst noch wo, nur nicht in Europa!
    Homepage, da war noch was: Google fonts und Amazon Partnerprogramm sind erwähnt ;-)

    Das Handelsblatt übersah den Ulrich Kelber, der zwischenzeitlich bei Mastodon gelandet ist https://bonn.social/@ulrichkelber.
    "Behörden sollen Facebook verlassen (28.06.21)", pure Kompetenz!

    Die Grünen stimmen der QuellenTKÜ zu, wen soll ich denn noch wählen?

    Welche dieser kompetenten Genies bringen hier den digitalen Alltag auf die Reihe um anschließend europäische Instanzen als Gegenstück zu Google etc. zu schaffen.

    • Ficus Elastica sagt:

      > Da hat wohl jemand die gute Lilith auf dem Schirm. …

      Ob ihre Berichterstattung damals aus dem Hambacher Forst damit zu tun hat? Die Wege des Nachtragens sind unergründlich…

  8. Bolko sagt:

    Durch das "CreatedAt" kennt man die exakte Uhrzeit jedes Besuchs.
    Man darf annehmen, dass man nicht zufällig von Tür zu Tür springt, sondern systematisch vorgeht und alle Türen der natürlichen Reihenfolge folgend abklappert. Zusammen mit Alter und Geschlecht dürfte das zumindest in Wohngegenden mit Einfamilienhäusern ausreichend sein zur Identifizierung.

    Generell sollte man bei Gesinnungsschnüffelei jeglicher Art immer äußerst misstrauisch sein und man muss sich klar machen, dass man nie mit einer einzelnen Person spricht, sondern immer mit einem Netzwerk aus unsichtbaren Personen und dass nichts vergessen wird.

    Was ich ebenfalls problematisch finde und verboten gehört:
    Die CDU schickt Wahlzettelausfüllhilfen in Altenheime.

    • Blackii sagt:

      Und dann vertreiben die CSU alle anders gesinnten Menschen aus ihrem Dorf in Bayern :D

      Finde das Abstempeln von Menschen total falsch und die Datensammelung dahinter unnötig…

      Wollte ich nur mal anbringen :§

    • Uwe Bieser sagt:

      Für die Besuchten besteht eigentlich weniger ein Problem. Rückverfolgen lässt sich in dem Fall nur, wen man auch selbst kennt und nur wenn es keine alternative Person gibt. Noch leben wir aber nicht in China, dass man für kritische Worte über die CDU/CSU Maluspunkte erhält.
      Problematischer ist die APP für die CDU Unterstützer selbst, die die APP zur Datenerhebung nutzen, denn deren eindeutige Daten lagen abgreifbar vor.

  9. Thomas sagt:

    Politik und digitale Kompetenz schließen sich aus!

  10. Hans Thölen sagt:

    So lange Deutschland Mitglied der EU ist, sind von der Politik in D keine
    sinnvollen Entscheidungen zu erwarten. D steht unter der Diktatur der EU,
    und D ist nur zum Finanzieren dieser EU gut genug.

  11. Bolko sagt:

    Eventuell kommt Mitte August etwas Brisantes von Anonymous, denn die hatten Ende Juli ein Video veröffentlicht als "letzte Warnung an Regierung und Medien" und ein 2-wöchiges Ultimatum gesetzt.
    In dem Video gab es Anspielungen auf erfolgreich ausgenutzte Sicherheitslücken und damit Zugriff auf Daten, die die Öffentlichkeit noch nicht kennt.

    4N4HZ-Sr3rU

    • Ralf S. sagt:

      Klingt fast schon diabolisch, das Video – und gleichzeitig doch auch sehr einleuchtend. Das "Netz", das sich die Politik und sonstige Organisationen seit etlichen Jahren selbst aufgebaut haben, könnte ihnen "dank" ihrer eigenen und ständig bewiesenen digitalen Inkompetenz, schon um die Ohren fliegen… Und wie im Clip erwähnt: "Abschalten" geht so einfach inzwischen nicht mehr, da die Angesprochenen sich damit selbst die Lebensgrundlage entziehen würden…! :-) Ich persönlich rechne eh schon länger mit einem zumindest nationalen "Super-Hack", bei dem so manche "nette Schweinerei" öffentlich wird. Wenn es dann auch noch weltweit geschehen sollte, umso besser!

  12. mvo sagt:

    Wenn SPON nun auch darüber berichtet, wird es für die CDU zum wirklichen Problem:

    https://www.spiegel.de/netzwelt/cdu-entschuldigt-sich-fuer-anzeige-gegen-sicherheitsforscherin-a-2332e1a4-4f65-47aa-a2ff-e3345632f522

    Zumindest beginnt man schon heftig mit dem Zurückrudern. Aber trotzdem ist er da:

    https://de.wikipedia.org/wiki/Streisand-Effekt

    • Tom sagt:

      Dieses Vorgehen seitens einer Partei spiegelt ganz gut die derzeitige Situation und auch die Kompetenz(en) wider!

    • Uwe Bieser sagt:

      Natürlich wird es zum Problem. Weil wir bedingt durch die sog. sozialen Medien längst keine sachlichen Diskussionen mehr erleben.
      Da haben sich anscheinend zwei Personen mit unterschiedlichen Ansichten ordentlich verhakt.

      Eine umfängliche Erörterung beider Standpunkte findet in der Öffentlichkeit praktisch nicht mehr statt.

      Es macht keinen Sinn, sich die Interpreatation einer Partei zu eigen zu machen, denn diese gibt ja nur die eigene Wahrnehmung wieder.

      In diesem Fall ist das ja noch relativ harmlos, aber diese unsachlichen Twitterorgien nehmen allzuoft den Platz einer Schattenjustiz ein.
      Seit es Twitter gibt, habe ich mich nicht aus Datenschutzgründen gegen Twitter entschieden, sondern aufgrund der stark beschränkten Zeichenanzahl, die geradezu dazu nötigt Sachverhalte derart verkürzt darzulegen, dass man durchaus von einer systemimmantenten Wahrheitsverzerrung und Scharfmacherei sprechen muss.

    • Uwe Bieser sagt:

      Der Streisand Effekt beschreibt aber den Versuch etwas zu verhindern. Die CDU hat in dem Fall gar nicht versucht die Aussagen von Frau Wittmann zu verhindern, denn Sie hat die Datenbanken gemäß den Ausagen von Frau Wittman sofort nach Inkenntnis setzen durch sie selbst sofort dem Zugriff entzogen und in einem Tweet Frau Wittmanns Erkenntnisse als Grund dafür angeführt.

      Der eigentliche Zoff begann wohl erst mit einigen Monaten Verzögerung und aufgrund von persönlichen Verzahnungen von Frau Wittmann und CDU`ler Hennewig. Das Frau Wittmann das als Racheakt für einen abgelehnte Beratervertrag darstellt, zeigt im übrigen, dass die öffentliche Wahrnehmung bereits selbst von der Darstellung Wittmanns abweicht. Im übrigen empfinde ich diese Interpreatation als nicht sonderlich plausibel. Gelegentlich droht man wichtigen Leuten die einen Arbeitgeber verlassen möchten, aber die umgekehrte Richtung wäre mir neu. ich will damit aber nicht behaupten, dass Frau Wittmann lügt.

  13. Steffen K sagt:

    Laut Artikel bei Heise Anzeige zurückgezogen… Habs aber noch nciht gelesen.

  14. ThBock sagt:

    Korrigiere einen klugen Menschen und er wird sich bedanken.
    Korrigiere einen dummen Menschen und er wird dich beschimpfen…

  15. WANA sagt:

    Volkspartei ???

  16. janil sagt:

    Sind halt Kompetent in ihrer Inkompetenz.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.