Umgang mit Sicherheitslücken in der CDU-App „CDUconnect“

CDUconnect Responsible Disclosure

Ob nun in der griechischen Antike oder in der Bibel: Oft wird den Überbringern schlechter Nachrichten eine Behandlung zuteil, die sie nicht verdienen und für deren Inhalt sie vor allem nichts können. Wenn die Überbringerin einer solchen Nachricht aber durch die Beschreibung der für den Verantwortlichen Umstände, sogar lediglich zu einer Verbesserung des Zustandes beitragen will, ist diese Behandlung noch weniger nachvollziehbar.

Ein aktuelles Bespiel hierfür dürfte der Umgang der CDU mit den zu Tage getretenen Schwachstellen in ihrer App „CDUconnect“ sein.
Die CCC-Aktivistin Lilith Wittmann entdeckte Mai 2021, dass eine Schwachstelle der App dazu führte, dass zumindest die persönlichen Daten von 18.500 Wahlkampfhelferinnen, mit E-Mail-Adressen & Photos und die persönlichen Daten von 1.350 Unterstützerinnen der CDU inklusive Adresse, Geburtsdatum und Interessen sowie eine halbe Million Datensätze über politische Einstellungen kontaktierter Personen ungeschützt und frei über das Netz zugänglich waren.

In so einem Fall gab im Wesentlichen zwei Offenlegungsmöglichkeiten für Lilith Wittmann:
Direkt die Öffentlichkeit darüber informieren (Full Disclosure) oder erst eine Abstimmung mit den verantwortlichen Stellen suchen und Einzelheiten zu der Schwachstelle erst dann ggf. veröffentlichen, wenn die Entwickler des Verantwortlichen genügend Zeit hatten, diese zu beheben (Responsible Disclosure). Die CCC-Aktivistin entschied sich für die, vor allem auch für den Verantwortlichen vorteilhaftere Variante und meldete die Schwachstellen den verantwortlichen Stellen der CDU, dem Bundesamt für Sicherheit in der Informationstechnik und der Berliner Datenschutzbeauftragten (BlnBDI).

Ergebnis: Die CDU schaltete die unsichere Datenbank der App ab UND stellte einen Strafantrag beim LKA Strafantrag gegen Lilith Wittmann. Auf eine solche Reaktion der CDU erfolgte die wohl verdiente Gegenreaktion der Netzgemeinde und des CCC (Chaos Computer Club): Unverständnis, Häme (Netzgemeinde) und eine Erklärung des CCC, solche Funde zumindest im Falle der CDU nur noch im Wege des Full Disclosure öffentlich zu machen.

Ob der involvierte Berliner Datenschutzbeauftragte den Datenschutzvorfall als eine Datenpanne im Sinne des Art. 33 DS-GVO bewerten wird, dürfte eine weitere interessante Frage sein. Vor dem Hintergrund der Tatsache, dass es sich hier um Verletzung des Schutzes personenbezogener Daten, die zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten, die unter Art. 9 DS-GVO subsumiert werden können geführt haben könnte, erscheint dieser Ausgang nicht unwahrscheinlich. Informationen nach Art. 9 DS-GVO können regelmäßig besonders kompromittierend sein. Der BlnBDI geht etwa bei unbefugter Kenntnisnahme Dritter von Gesundheitsdaten per se davon aus, dass schwerwiegende Beeinträchtigungen drohen (vgl. BlnBDI TB 2011, S. 166; BlnBDI TB 2014, S. 150, vgl. Franck, Heidelberger-Kommentar DS-GVO/BDSG, Rdnr. 52).

Angesichts solcher Reaktionen von Verantwortlichen ist es zudem nachvollziehbar, warum Regelungen der Whistleblower-Richtlinie unbedingt auch Vorkehrungen für den Schutz von Hinweisgebern enthalten müssen (vgl. Art. 6 des Entwurfs: „Voraussetzungen für den Schutz von Hinweisgebern“).

(Foto: duncanandison – stock.adobe.com)


Letztes Update:08.08.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    2022-05-12, 08:00 | Frankfurt/M.

    696.15 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Compliance-Tests und Schwachstellenscannen

    Compliance-Tests und Schwachstellenscannen

    Seminar

    2022-03-16, 09:00 | Köln

    963.90 € Mehr erfahren
  • USA Überwachungsgesetz

    DSK-Gutachten: Aktueller Stand des US-Überwachungsrechts

    Die DSK (Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder) haben ein von Prof. Stephen Vladek erstelltes Gutachten zu den US-Überwachungsbefugnissen veröffentlicht. Es existiert auch eine deutsche Übersetzung des Gutachtens. Das Dokument könnte ein Schlüsselelement für Durchsetzungsmaßnahmen im Zusammenhang mit den deutschen Datenschutzbehörden sowie eine gute Informationsquelle für die Bewertung von

    Mehr erfahren
  • TTDSG

    DSK: Konsultationsverfahren zur „Orientierungshilfe Telemedien 2021“

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 20.12.2021 eine neue Fassung ihrer Orientierungshilfe für Anbieter/-innen von Telemedien veröffentlicht („Orientierungshilfe Telemedien 2021“). Mittels des überarbeiteten Papiers soll Betreibern und Betreiberinnen von Webseiten, Apps oder Smarthome-Anwendungen konkrete Hilfestellung bei der Umsetzung der am 01.12.2021 in Kraft getretenen Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG)

    Mehr erfahren
  • Umsetzung des Auskunftsrechts: EDSA beschließt Leitlinien

    „Das Auskunftsrecht ermöglicht es Einzelpersonen, sich darüber zu informieren, wie und warum ihre personenbezogenen Daten verarbeitet werden. Die Leitlinien enthalten Beispiele, die den für die Verarbeitung Verantwortlichen helfen sollen, Auskunftsanträge in einer der DS-GVO entsprechenden Weise zu beantworten“, so die Vorsitzende des europäischen Datenschutzausschusses (EDSA), Andrea Jelinek. Auf seiner Plenartagung im Januar hat der EDSA

    Mehr erfahren