CDU Mega Digital Fail

Die CDU hat die IT-Sicherheitsforscherin LilithWittmann die eine Sicherheitslücke an die CDU gemeldet hat um zu helfen diese zu beheben zum “Dank” dafür bei der Polizei angezeigt.

Daraufhin hat der CCC beschlossen in Zukunft keine Sicherheitslücken mehr an die CDU zu melden:

https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu

In Folge werden Sicherheitslücken bei der CDU jetzt eben nicht mehr vertraulich an die CDU gemeldet damit diese eine Chance bekommt diese zu beheben. Sondern teilweise einfach anonym im Internet gepostet.

We decided to bring the issue directly to the public after the CDU opened a court case to criminalise a German hacker following a Whitehat report. Normally we wanted to report the vulnerabilities directly via Responsible Disclosure, but were deterred by incidents mentioned above. These did not stop us but we therefore chose another way to make noise.

Quelle: Full Disclosure: by date

Man kann sich ausdenken das es jetzt wohl nicht sehr lange dauern wird bis die CDU so einige Probleme mit Hacks und Angriffen bekommen wird. Einige Leute in der Security Szene dürften sich jetzt vermutlich erst recht richtig dazu motiviert fühlen bei der CDU nach Sicherheitslücken zu suchen. Wir dürfen daher sehr gespannt sein was so als nächstes passieren wird !

EDIT: CDU hat die Anzeige mittlerweile zurück gezogen und sich entschuldigt.

Jedoch kann es durchaus sein das die Behörden die Ermittlungen nun eigenständig weiter fortführen werden.

2 Likes

Die CDU hat bereits die Anzeige zurückgezogen und um Entschuldigung gebeten.

Ja, dennoch möglich das die Behörden die nun aufgenommen Ermittlungen dennoch weiter fortführen werden. Es ist also noch nicht sicher das die Sache damit dann auch wirklich erledigt ist.

1 Like

Das kannst du spätestens jetzt der CDU nicht mehr vorwerfen.

Achso, ja dann ist es ja ok! Dann sind ja alle bürokratischen Bedingungen erfüllt, damit die CDU jetzt wieder unschuldig ist. :^)

Doch. Wer Feuer legt ist trotzdem verantwortlich, wenn es weiter brennt.

1 Like

Das Feuer hat sie doch gelöscht?

Aber nicht den Schwelbrand … die sind einfach nur weggegangen.

Die haben nur das Streichholz weggeworfen und nichts gelöscht.

Das Interview von Lilith Wittmann bei Heise ist ziemlich aufschlussreich.

Als Nächstes gab es das erste Gespräch mit dem CDU-Bundesgeschäftsführer Stefan Hennewig. Wie kam es dazu?

[…] Dann hat er mir angeboten für die Partei zu arbeiten, man habe da ganz viele Sicherheitsprobleme. Ich habe ihm dann erklärt, dass ich nicht für Leute arbeite, bei denen ich gerade Lücken gefunden habe, denn dann würde ich in der Sicherheitsbranche arbeiten und könnte das nicht mehr als zivilgesellschaftliches Engagement machen. Und dann habe ich ihm noch gesagt, was ich von der CDU halte.

Das scheint im Nachhinein ein Fehler gewesen zu sein…

Ja, er meinte, er müsse mich eigentlich schon anzeigen. Ich erklärte, dass ich das nicht glaube, und wir haben ein bisschen darüber gestritten, ob die CDU personenbezogene Daten von ihren Wählern speichert. Ich glaube das, und dann meint er nochmal, dass er mich anzeigen wolle. Daraufhin habe ich das Gespräch beendet.

[…]

Es dauerte dann bis zum 3. August, als ein Schreiben des LKA Berlin bei Ihnen eintraf, das über eine Anzeige informierte, und das Sie auch veröffentlicht haben. Kurz darauf meldet sich Stefan Hennewig wieder bei Ihnen.

Ja, und zwar gegen 11 Uhr am folgenden Tag. Er meinte, das sei dumm gelaufen, er hätte die Anzeige nicht selbst geschrieben, und da hätte mein Name nicht drinstehen sollen. Das hätte so nicht passieren dürfen, sagte er. Das habe ich als Pseudo-Entschuldigung aufgefasst. Wir haben noch etwas über die Digitalkompetenz der CDU geredet und er meinte: “Wo gehobelt wird, fallen Späne.” […]

Jetzt kann man eine Anzeige nicht einfach so zurückziehen, da läuft ein Ermittlungsverfahren. Was für Konsequenzen hat das für Sie?

4 Likes

Das Beste daran: Laschet wird wohl neuer Kanzler. Und wenn nicht: Die anderen beiden gäben höchstens marginal ein bessere Figur ab.

Ich sehe nicht, wo Baerbock eine weniger peinliche Figur wäre als Laschet. Scholz ist tatsächlich der am wenigsten grässliche Kandidat derzeit.

1 Like

Ich finde es legitim, dass Sicherheitsforscher der CDU keine Lücken mehr melden, wenn ich mir Arbeit und Mühe mache, dann möchte ich nicht als “Danke” angezeigt werden. Aber dann soll man auch keine mehr suchen.

1 Like