CDU ConnectErmittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt

Die CDU hatte die Entwicklerin Lilith Wittmann, die Sicherheitslücken in der Wahlkampf-App der Partei entdeckt hatte, angezeigt. Nun stellen auch die Ermittler fest: Die Daten standen ungeschützt und offen im Netz. Sie beenden die Ermittlungen gegen Wittmann, doch der CDU steht ein Datenschutzverfahren ins Haus.

Die Daten standen offen im Netz, der Hackerparagraf greift nicht. (Symbolbild) CC-BY-NC 2.0 Thomas Hawk

Die Staatsanwaltschaft Berlin hat das Verfahren gegen die Entwicklerin und Sicherheitsforscherin Lilith Wittmann eingestellt, schreibt die Betroffene in einem Blogbeitrag. Zuletzt war bekannt geworden, dass die CDU Wittmann angezeigt hatte, die Cybercrime-Abteilung des Berliner Landeskriminalamts ermittelte wegen Verstoß gegen den sogenannten Hackerparagrafen. Nach lauten Protesten und zahlreichen Medienberichten hatte die CDU dann den Strafantrag zurückgezogen.

Die Anzeige gegen Wittmann hatte für Verwunderung gesorgt, weil sie Sicherheitslücken in der Wahlkampf-Software CDU Connect aufgedeckt hatte, die Lücken aber nach dem Responsible-Disclosure-Verfahren verantwortungsvoll meldete. Durch die Sicherheitslücke waren tausende personenbezogene Daten offen abrufbar. Im Zuge des Protests gegen die Anzeige der CDU hatte der Chaos Computer Club angekündigt, in Zukunft keine Sicherheitslücken mehr an die CDU zu melden.

150 Seiten starke Ermittlungsakte

Wittmann zitiert nun in ihrem Blog aus der 150 Seiten starken Ermittlungsakte und veröffentlicht Teile aus dieser. Daraus geht hervor, dass die Datenschutzbeauftragte der CDU die Anzeige gegen Wittmann gestellt hatte. Aus den Akten geht auch hervor, dass die CDU die umfangreichen mit der Wahlkampf-App gespeicherten (persönlichen) Daten noch nie ausgewertet hatte, sondern diese einfach nur sammelte. Gleichzeitig stellten die Ermittler fest, was Wittmann bereits dargelegt hatte, nämlich dass die Daten in der CDU-App überhaupt nicht gesichert waren. In der Akte heißt es: „Die Daten waren somit nicht vor einem unberechtigten Zugriff geschützt und aus technischer Sicht öffentlich abrufbar.“

Dort, wo es keinen Schutz vor unberechtigtem Zugriff gibt, dort greift auch kein Hackerparagraf. Laut den Akten stellte die Staatsanwaltschaft das Verfahren deswegen ein und nicht wegen der Rücknahme des Strafantrages durch die CDU. 

Wittmann ist sauer auf den Umgang der CDU mit ihr. Es fühle sich für sie nach Machtmissbrauch durch die Partei an:

Menschen dadurch zu unterdrücken, dass man sie als zweitgrößte Partei Deutschlands einfach erst mal anzeigt. Denn eine Anzeige bedeutet in unserem Rechtssystem immer ein Risiko für weitere Repressionsmaßnahmen wie Hausdurchsuchungen, Festnahmen, …. Eine Anzeige bedeutet natürlich auch eine Menge verschwendete Zeit, Rechtsanwaltskosten und einfach nur Stress. Und all das führt dazu, dass immer mehr Menschen in Deutschland den Prozess eines Responsible-Disclosure-Verfahrens scheuen werden. Aber all das war der CDU scheinbar egal. Anders kann ich mir jedenfalls nicht erklären, dass ich bis heute weder eine Zusage für die Erstattung der durch sie angefallenen Kosten noch eine ordentliche Entschuldigung bekam.

Wittmann spricht sich deswegen unter anderem für die Abschaffung des Hackerparagrafen aus, weil er „gefährlicher Quatsch“ sei. Auch Carsten Hoenig, der Anwalt von Wittmann, bewertet gegenüber Spiegel Online den Paragrafen 202a des Strafgesetzbuchs als „handwerklich einfach schlecht gemacht.“ Die Regelung drohe, Sicherheitsforschung zu kriminalisieren und sei auch schlicht zu vage formuliert, so Hoenig weiter.

Prüfverfahren gegen die CDU

Der CDU steht nun selbst ein Verfahren ins Haus. Die Berliner Datenschutzbehörde prüft Verstöße gegen die Datenschutzgrundverordnung (DSGVO) im Rahmen der Wahlkampf-App CDU Connect und den Umgang mit personenbezogenen Daten durch die CDU. Dass die Daten jetzt auch von einer weiteren Stelle als ungeschützt und aus „technischer Sicht öffentlich abrufbar“ bezeichnet werden, verbessert die Position der CDU in diesem Verfahren sicherlich nicht.

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

4 Ergänzungen

  1. Im Neuland kennt man sich halt noch nicht so gut aus, dass kann man auch nicht innerhalb von 8 Jahren lernen, das ist viel zu schnell.
    Das klappt ja schon nicht bei der CDU-„Kernkompetenz“ Sicherheitspolitik. Ein verfassungsgemäßes BKA oder BND Gesetz braucht ja schon mindestens so 10 Jahre… Halt Moment das haben sie ja noch gar nicht hinbekommen. Dann muss man doch zumindest bei der CDU-Kerninkompetenz die Schuld bei anderen suchen drüfen…

  2. Die CDU hat keinen Straf,,antrag“ zurückgezogen, sondern vergeblich versucht, eine Straf,,anzeige“ zurückzuziehen, was nicht geht. (Strafantrag stellen Betroffene, Strafanzeige ist ein Hinweis an die Ermittlungsbehörden auf rechtswidriges Verhalten — soweit mein laienhaftes Verständnis.)

  3. ich kann noch hinzufügen: eine anzeige bedeutet darüberhinaus magenschmerzen und schlaflose nächte, jede menge kosten und allgemeines ungemach.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.