Sicherheitslücken in Wahlkampf-AppsKarl-Heinz T., Parteimitglied, hat gerade Bauland gekauft

Die Aktivistin Lilith Wittmann hat in der vergangenen Woche mehrere gravierende Sicherheitslücken in Wahlkampf-Apps gefunden. Im Interview erzählt sie, wie einfach sie tausende Datensätze mit Informationen zu Alter, Geschlecht und politischer Meinung finden konnte und was sie daran am meisten bestürzt.

Haustürdaten werden in Wahlkampf-Apps gespeichert
Hinter welcher Tür steckt welche politische Meinung? Das dürfen die Apps eigentlich nicht erfassen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Christian Stahl

Schon zur Bundestagswahl 2017 haben verschiedene Parteien eigene Apps für den Haustürwahlkampf eingesetzt. Darin können Wahlkampfhelfer:innen beispielsweise eintragen, an wie vielen Türen sie schon geklingelt haben und an wie vielen ihnen geöffnet wurde. In der App „CDU-connect“ ließen sich auch weitere Informationen wie Alter, Geschlecht und politische Gesinnung speichern. Seit vergangener Woche ist die App offline. Die Aktivistin und Hackerin Lilith Wittmann hatte mehrere Sicherheitslücken gefunden, die es genauso auch bei den baugleichen Wahlkampf-Apps der CSU, der Österreichischen Volkspartei und der Schweizer CVP gab.

Allein durch die Lücke in der CDU-App standen Wittmann zufolge über 100.000 Datensätze zu besuchten Personen sowie die Daten von über 18.000 Wahlkampfhelfer:innen und mehr als 1.000 potenzielle Unterstützer:innen seit vier Jahren relativ ungeschützt im Netz. Im Interview hat sie uns von den Hintergründen ihrer Recherche erzählt und erklärt, warum sie den Wahlkampf mit Daten so bedenklich findet.

„Ich hätte nicht erwartet, dass es so einfach ist“

netzpolitik.org: Die größte Sicherheitslücke, die du in der CDU-Connect-App gefunden hast, ermöglichte es dir, über die Programmierschnittstelle auf die Datensätze zu gespeicherten Hausbesuchen zuzugreifen. Warst du überrascht, als du das gemerkt hast?

Lilith Wittmann: Ich hätte nicht erwartet, dass es so einfach ist, über die Objektdatenbank an die Daten zu kommen, die dort eigentlich gar nicht gedacht waren. Als ich vor zehn Jahren angefangen habe, so einen Kram zu machen, waren viele noch nicht so weit – da hat man solche Lücken etwas häufiger gefunden. Ich habe erwartet, dass das Coolste, was ich jetzt finde, eine Möglichkeit ist, über QR-Codes und einen komischen Request herauszufinden, wer sich da alles registriert hat. Was auch schon witzig ist, aber naja. Das hätte ich gemeldet und danach darüber geschrieben: „Hihi, die hatten einen Luca-Style-Bug.“ Als ich dann aber auch noch den Bug gefunden habe, durch den ich mich im Web-Interface selbst zum Superadmin machen konnte, das war völlig unerwartet.

netzpolitik.org: Und anscheinend gar nicht so schwer. Mit wieviel IT-Kenntnis hätten andere das auch geschafft, sich den Zugang zu verschaffen?

Lilith Wittmann: Ich weiß nicht, was es da auf YouTube für Material gibt, aber wenn sich jemand dort mal ein Hacker-Tutorial angeschaut hat… Dann muss man aber auch auf die Idee kommen, genau diesen Request auszuführen. Ich habe relativ jung angefangen und ich glaube, ich hätte sowas auch in den ersten Jahren, in denen ich mich damit beschäftigt habe, hingekriegt. Jeder, der sich ein bisschen auskennt, kann das.

netzpolitik.org: Du hast in deinem Blogeintrag geschrieben, dass den Entwickler:innen die Mängel eigentlich bekannt gewesen sein müssten. Warum?

Lilith Wittmann: Wer so eine Software herstellt, baut so eine Funktion ja explizit ein. Also kann ich am Ende den Entwicklern unterstellen, dass sie so fundamentale Sachen wie den Aufbau von Datenbanken nicht verstanden haben. Und das will ich eigentlich nicht tun. Deswegen kann ich eigentlich nur darauf schließen, dass die Person gesagt hat: „Ich mach das jetzt schnell, dann funktioniert das und der Rest ist mir egal.“ Wenn ich darüber nachdenke, halte ich das für die plausiblere Antwort. Weil es wirklich so eine offensichtliche Sache ist. Es ist so offensichtlich, dass ich es fast nicht ausprobiert hätte.

Karl-Heinz T., Parteimitglied, hat gerade Bauland gekauft

netzpolitik.org: Du meinst also, der Schutz von personenbezogen Daten war den Entwickler:innen wahrscheinlich einfach nicht so wichtig?

Lilith Wittmann: Genau. Ich gehe davon aus, dass denen das egal war. Es kann natürlich auch organisatorische Gründe haben. Vielleicht hat mal ein Hackathon-Team irgendwas zusammengehackt und danach haben das Leute übernommen, die nicht so viel Ahnung hatten. Aber alle vorstellbaren Gründe laufen darauf hinaus, dass der Schutz der personenbezogenen Daten relativ egal war. Das sieht man auch an den Daten selbst: Ich habe am Ende Daten aus der Anfangszeit der App gefunden, die auf jeden Fall die Hausnummernzuordnung hatten. Und die verbietet der Datenschutz.

netzpolitik.org: Du hast die CDU dann damit konfrontiert, dass über 100.000 personenbezogene Daten von Bürger:innen abgeflossen seien. Von der Partei hieß es jedoch, die Daten seien nicht zu einer einzelnen Person rückverfolgbar, weil die gesamten Daten immer nur in Häuserblocks erfasst werden.

Lilith Wittmann: Man muss unterscheiden zwischen den alten Daten, die sie noch hausgenau erfasst haben, und den neuen Daten. Ich denke, bei den alten Daten haben wir den Konsens drüber, dass wir die auf jeden Fall rückbeziehen können. Die neueren Daten wurden nur noch auf die Straße genau gespeichert. Die CDU behauptet, man würde alle Straßen mit unter sieben Datensätzen löschen. Das tun sie nicht. Es finden sich auch Straßen mit drei Häusern. Wenn dann zusätzlich Alter und Geschlecht bekannt sind, lässt sich in der Regel sehr gut zuordnen.

netzpolitik.org: Außerdem konntest du in manchen Fällen sogar einzelne Bemerkungen zu den besuchten Personen einsehen.

Lilith Wittmann: Genau, da gibt es diese witzigen Kommentare. Ich lese mal beispielhaft einen vor: „Letztes Haus, sieben Haushalte, Familie so und so hat geöffnet, bei den anderen Einwurf-Flyer.“ Da hab‘ ich sofort einen Personenbezog. Und: „Karl-Heinz T.“, da steht der ganze Name, „es wurde über Schulpolitik gesprochen. Parteimitglied. Hat sich zuletzt ein Stück Bauland gekauft. Straße und so weiter und so fort.“ Da hab‘ ich auch einen Personenbezug. Und so kann man das immer wieder durchspulen und wird eine ganze Menge Datensätze finden, die einen Personenbezug haben.

Erst reagiert, als das Problem nicht mehr zu leugnen war

netzpolitik.org: Dieses Problem hast du auch in den Wahlkampf-Apps der CSU und der Österreichischen Volkspartei festgestellt, die von derselben Entwicklerfirma stammen. Gab es da noch weitere Probleme?

Lilith Wittmann: Sie hatten lustigerweise genau dieselben Probleme. Es ist wirklich eins zu eins dieselbe App. Aber es war ein bisschen einfacher auszumachen: Die CSU und die ÖVP hatten eine Registrierungsseite im Internet, wo sich jeder hätte registrieren können, der die Seite kannte. Dort konnte man sich selbst zum Superadmin machen und hätte dann Zugriff auf alle Daten gehabt.

netzpolitik.org: Dein Vorwurf war, dass CSU und ÖVP nicht von alleine reagiert haben, obwohl sie das eigentlich gewusst haben müssen, als du die Sicherheitslücken der CDU-App öffentlich gemacht hast.

Lilith Wittmann: CDU und CSU reden ja üblicherweise miteinander, wenn sie dieselbe App benutzen. Und ein weiteres Indiz ist, dass es am Donnerstag – trotz Feiertag – wirklich nur 15 Minuten nach meiner Meldung gedauert hat, bis die App offline war. Fast so, als hätte jemand darauf gewartet, ob das gemeldet wird oder nicht. Man hätte sagen können: „Hey, wir haben den Fehler gemacht und wir haben den nicht nur da gemacht, sondern auch noch in drei anderen Apps. Nämlich auch noch bei der CVP, der Schweizer Schwesterpartei. Und wir nehmen die Apps gemeinsam offline.“ Stattdessen tun sie so, als wäre mit den anderen Apps nichts und lassen sie weiterlaufen.

netzpolitik.org: Wie findest du das?

Lilith Wittmann: Das ist zum einen völlig unverantwortlich gegenüber den eigenen Leuten, die dort einen Account haben. Und es ist zum anderen völlig abstrus gegenüber all den Leuten, von denen am Wahlkampfstand oder an der Tür persönliche Daten erfasst wurden. Obwohl man das wusste, solche Daten im Internet zu lassen – ich finde, das ist Vorsatz.

„Da fehlt es dann an einem absoluten Grundverständnis, wie man mit Daten umgeht“

netzpolitik.org: Was meinst du, wie es jetzt mit den Wahlkampf-Apps weitergehen wird? Die CDU hat die App ja erstmal offline genommen.

Lilith Wittmann: Der Stand von Donnerstagabend ist: Sie wollen die App wieder online nehmen und nicht darauf verzichten. Für mich ist die logische Schlussfolgerung aus dem Ganzen aber, dass man diese Daten löschen und die App abschalten sollte. Ich glaube, das, was sie da jetzt haben, müssen sie auf jeden Fall wegwerfen. Da sind auch noch viele andere witzige Sicherheitslücken. Für ein richtiges Audit würde man eine ganze Menge mehr ausprobieren. Bis zu dem Punkt habe ich gar nicht weitergemacht, denn das ist nicht mein Job.

netzpolitik.org: Mal abgesehen von den Sicherheitslücken: Sind Apps, die im Haustürwahlkampf Daten sammeln, grundsätzlich problematisch?

Lilith Wittmann: Wenn ich die Person sein muss, die darauf schaut, dass die Parteien das Datensammeln ordentlich lösen, dann traue ich ihnen das Verantwortungsbewusstsein nicht zu, das in der Zukunft zu tun. Da fehlt es dann an einem absoluten Grundverständnis, wie man mit Daten umgeht. Ich finde es schwierig, zu sagen: „Macht die App ein bisschen sicherer, dann ist das okay.“

Und dann ist da die gesellschaftliche Perspektive. Sobald politische Meinungen oder demografische Informationen über die Personen erfasst werden, sehe ich das sehr kritisch. Gerade, wenn man sich das im US-Kontext anschaut, da gibt es dieses Gerrymandering. Dabei werden Wahlkreise so zugeschnitten, dass es passt. Das hat in den letzten Jahren krass zugenommen. Wahlen wurden dadurch fast schon gewonnen.

netzpolitik.org: Sind dir da auch Fälle in Deutschland bekannt?

Lilith Wittmann: Es gibt Beispiele, wo man in den frühen 2000ern in Berlin versucht hat, West- und Ostbezirke so zu verknüpfen, dass die PDS möglichst wenig Direktmandate hatte. Und in Sachsen hat man 2014 was ähnliches zugunsten der CDU gemacht. Wenn eine Partei häuserbasierte Daten hat und die auch noch selber managt, kann sie das natürlich perfekt machen. Gerade weil es in Deutschland diese Fälle gab, sollten wir darüber nachdenken, ob wir wollen, dass Wahlkampf mit Daten gemacht wird, oder nicht – aus dieser gesellschaftlichen Perspektive.

netzpolitik.org: Die Parteien wissen also deiner Meinung nach nicht, wie sie mit den Daten richtig umgehen, aber dennoch wissen sie, dass Daten im Wahlkampf wichtig sein können?

Lilith Wittmann: Es ist dieses Copy-Muster, das man auch in ganz vielen anderen gesellschaftlichen Bereichen erkennt, wenn es um Innovationen geht. Nach dem Motto: Den Obama-Wahlkampf haben sie damals mit den Daten gewonnen. Dann machen wir jetzt auch was mit Daten.

Wenn die CDU jemals noch reagiert, möchte ich noch fragen, ob sie die Datensätze überhaupt ausgewertet haben. Denn um ehrlich zu sein, gehe ich nicht davon aus. Wahrscheinlich haben sie die Daten und Punkte auf einer Karte einfach nur gesammelt. Weil sie gehört haben, dass Daten wichtig sind. Ich meine, die gesamte Datenpolitik der CDU ist ja völlig von Inkompetenz geprägt. Ich glaube, da kann man schon diese Vermutung anstellen.

netzpolitik.org: Moment, heißt das, dass die CDU sich nach deiner Enthüllung gar nicht mit dir in Verbindung gesetzt hat?

Lilith Wittmann: Doch, ein ranghoher Mitarbeiter aus dem Konrad-Adenauer-Haus hat sich bei mir relativ kurz, nachdem sie es öffentlich gemacht hatten, gemeldet. Da ich allerdings sehr klar gemacht habe, dass ich nicht für sie arbeiten will und auch, was ich sonst von ihm, der CDU und seiner App halte, wurde er etwas ungemütlich und drohte mir juristische Schritte an. Seitdem habe ich nichts mehr gehört. Von der CSU kam immerhin eine kurze aber nette „Danke“-E-Mail, von der ÖVP hörte ich nichts.

Die App der Grünen ist handwerklich noch schlechter gemacht

netzpolitik.org: CDU, CSU und ÖVP sind nicht die einzigen Parteien, die eine App für ihren Wahlkampf entwickelt haben. Gehen die anderen Parteien dabei besser mit den Daten um?

Lilith Wittmann: Die App der Grünen hat den Vorteil, dass sie aufgehört hat, personenbezogene Daten wie politische Meinungen oder das Alter zu speichern. Jetzt speichern sie nur noch Adressen. Wie sie das tun, das ist eigentlich handwerklich noch schlechter als bei der CDU umgesetzt. Da muss ich wirklich nur den Quellcode der App aufmachen und finde die URL, wo ich die 50.000 erfassten Hausbesuche rausholen kann. Auch der Datensatz über 30.000 Wahlplakate, die sie aufgehängt haben, lässt sich so finden. Und dann sind da noch einige andere Sicherheitslücken. Man kann beispielsweise Dateien auf den Server hochladen, egal, ob man authentifiziert ist oder nicht. Die App wirkt so, als hätte einfach jemand in seiner Freizeit mal irgendwas gehackt und dann hat sich da niemand mehr drum gekümmert.

netzpolitik.org: Aber du meinst, dass diese Lücken in Bezug auf Datenschutz nicht so problematisch sind?

Lilith Wittmann: Die haben keine personenbezogenen Daten. Also ich meine: Ob da jemand aufgemacht hat oder nicht, das sind keine besonders schlimmen Daten. Wenn man das erfassen will, soll man das erfassen.

netzpolitik.org: Die SPD hat ja auch eine Wahlkampf-App, hast du dir die auch schon angeschaut?

Lilith Wittmann: Ja, ich hab‘ da mal 30 Minuten draufgeschaut. Die App erfasst einen Straßenabschnitt und macht dann ein Questionnaire aus zwei bis drei Fragen, wovon die letzte Frage ist: Was hältst du von der SPD? Sie erfasst keine demografischen Daten, sondern nur die Straßenabschnitte und diese Fragen. Vom Gefühl her ist die App handwerklich eher schlecht. Nur hatte ich echt keinen Bock mehr, mir die App anzuschauen. Derjenige, der die App macht, hat mir auf Twitter geschrieben, ob ich ihm die Probleme direkt melden könnte. Seine App zu zerlegen oder sie jetzt nicht zu zerlegen – beides hätte Vorteile für ihn und da war ich dann einfach demotiviert.

netzpolitik.org: Im Grunde ist das ja auch unbezahlte Arbeit, die du in deiner Freizeit gemacht hast. Warum überhaupt?

Lilith Wittmann: Na, es ist wirklich so ein bisschen dieses Sportliche. Es ist halt Pandemie und man kann keinen Sport machen. Auf Twitter haben ganz viele über diese App geschrieben, da dachte ich: Das schau ich mir an. Dass ich dann tatsächlich etwas finde, da hätte ich nicht unbedingt mit gerechnet. Was ich aber wirklich, wirklich unerwartet fand, war das Verhalten der Parteien nach meiner Meldung.

netzpolitik.org: Inwiefern?

Lilith Wittmann: Dass sie versucht haben zu vertuschen, dass es noch andere Apps gibt. Der Punkt, dass sie sich so unverschämt verhalten haben und dachten, sie kommen damit durch. Das ist verantwortungslos. Das ist der Grund, weshalb ich die Recherche weitergeschoben habe. Aber ich hatte jetzt mit der CDU genug zu tun und habe auch andere, sinnvollere Aufgaben als Wahlkampf-Apps, um die ich mich kümmern kann.

Es ist krass, dass man sich als Teil der Zivilgesellschaft mittlerweile nicht nur darum kümmern muss, dass die CDU gerade im Wochentakt schlechte Digitalgesetze beschließt, sondern auch noch um den Quatsch, den sie sich innerhalb der Partei ausdenken und umsetzen. Ich hoffe, dass die jetzt einfach alle aufhören, solche dummen Sachen zu machen und ich mich schöneren Dingen zuwenden kann.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

Eine Ergänzung

  1. Bei mir haben im letzten Kommunalwahlkampf (NRW) drei Leute von der CDU geklingelt. Einer davon, der Kandidat für den Bezirk, hat in seinen Unterlagen als Beruf „Data-Manager“ für einen großen Konzern angegeben, er wertet wohl alle möglichen erreichbaren Daten an die er kommen kann für seinen Arbeitgeber aus. Dass so jemand nicht versteht, welche Brisanz eine Datensammlung wie die bei cdu-connect hat, ist nicht glaubhaft.
    Um das klarzustellen: Natürlich weiß ich nicht, ob die App eingesetzt wurde. Falls ja wurden Daten über mich und meine Familie ohne mein Einverständnis elektronisch gespeichert.

    Was muss man tun, wenn man das nicht will?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.