(C) All-in-Media GmbH

Update: Aufspüren von Sicherheitslücken – Ein Negativbeispiel anhand der CDU-Connect-App

Ein Blog-Beitrag, der anhand einer suboptimalen Reaktion von Verantwortlichen betrachtet, was für Lehren Unternehmen bei dem Auftauchen von Sicherheitslücken ziehen sollten.

Was war passiert?

Die CDU nutzt seit 2016 auch im Bundestags-Wahlkampf 2021 für Ihre Wahlkampfehler:innen eine App für den „Haustürwahlkampf“.

Damit wird erfasst, ob …

  • an einer Tür schon geklingelt wurde
  • wenn ja, diese auch geöffnet wurde
  • wie die Einstellung der Bewohner:innen zur CDU ist
  • Notizen und was man noch so alles meint verwerten zu müssen

Die Straßen und Hausnummern der Betroffenen wurde nicht erfasst – aber die ganz genauen GPS-Koordinaten.

Die Sicherheitsforscherin Lilith Wittmann hatte über Twitter mitbekommen, dass sich Anwender:innen fragten, wie dass denn in der App so mit dem Schutz personenbezogener Daten sei.

Daraufhin fragte Frau Wittmann bei der CDU direkt nach und bekam zur Antwort, dass in der App „überhaupt keine personenbezogenen Daten“ erhoben würden.

Keine personenbezogenen Daten?

Mit einem bisschen Verständnis für Datenschutz und den obigen Angaben zur App dürfte klar sein, dass diese Antwort des CDU-Team nicht haltbar ist. Alleine die Erfassung der politischen Meinung und auch weltanschauliche Überzeugungen sind besondere Kategorien personenbezogener Daten nach Artikel 9 der Datenschutzgrundverordnung (DSGVO). Und damit besonders schützenswert.

Daraufhin nahm sich Frau Wittmann im Mai 2021 die App unter Sicherheitsgesichtspunkten vor und kam zu sehr unschönen Erkenntnissen:

„Auf den ersten Blick ist mir dabei aufgefallen, dass die App gängige Security Practises wie Zertifikatspinning nicht umsetzt und dass es somit supereinfach war, auf die Programmierschnittstelle zuzugreifen.“

Dadurch gelang es ihr, in der App alleine durch Anhängen von Parametern an die Abfragen direkt auf den Server zu kommen und dort Daten des Haustürwahlkampfs einzusehen.

Jede Menge personenbezogener Daten …

Darin waren auch Notizen von Gesprächsinhalten, mit denen man sehr schnell auf die personenbezogenen Daten der Angetroffenen schließen kann. Laut Wittmann fand sich darin z.B. soetwas wie

„Fragen, warum ich einfach so bei denen vorbeikomme und die vollquatsche wegen der CDU – 20-Jährige aus Königs Wusterhausen.“

Und das in Kombi mit der Wohnung inkl. deren GPS-Koordinaten – das sind natürlich personenbezogene Daten.
Und leider auch in hoher Zahl – nach Frau Wittman so einige „Hundertausend Datensätze„… – darunter wohl auch 18.000 Datensätze der Wahlkämpfenden.

Meldung der Sicherheitslücke

Wie das bei den „guten“ Hackern üblich ist, meldete Wittmann Ihre Ergebnisse an den CERT-Bund, der Berliner Datenschutzbeauftragten und auch der CDU.

Die CDU gab daraufhin gegenüber dem Spiegel die Lücke zu und gelobte Besserung:

„Der CDU Deutschlands tut der Vorfall sehr leid und wir bitten für die entstandenen Unannehmlichkeiten um Entschuldigung.“

Und man sei

„… mit Hochdruck daran, die Lücke zu schließen. Wir informieren unsere Wahlkämpferinnen und Wahlkämpfer, sobald die App wieder in vollem Umfang zur Verfügung steht.“

Soweit – so in Ordnung. Wenn man davon absieht, dass CDU-Kanzlerkandidat Laschet Frau Wittmann als „Hackerin“ bezeichnet hat.

Als Dank für den Hinweis: Anzeige

Dann im August 2021 – also etwa 2 Monate nach der Info an CDU über ihre Sicherheitslücke – erhielt Frau Wittmann vom Landeskriminalamt Berlin ein Schreiben, sie möge doch bitte eine ladungsfähige Anschrift mitteilen, da Frau Wittmann als Beschuldigte „betrifft die CDU Connect App“ geführt werde.

Ermittlungen der Berliner Datenschutzbeauftragten gegen die CDU

Wie heise am 06.08.2021 meldet, hat die Berliner Datenschutzbeauftragte schon im Juli 2021 ein Verfahren gegen die CDU „wegen möglichen Verstoßes der DSGVO“ eingeleitet.

Security bzw. Bug Bounty Programme

So vergrault man sich aber die Hilfe bei der Suche nach Sicherheitslücken.
Ob die verantwortlichen Menschen dort schon mal was von dem Begriffen „Security Bounty“ oder „Bug Bounty“ gehört haben. Hier in einfachen Worten:

Die kompetenten Hersteller von IT-Produkten loben hohe Preisgelder aus, wenn die guten Hacker Sicherheitslücken finden und diese melden. Das kann schon mal bis zu 7-stelligen „Preisgeldern“ gehen.
Selbst das Pentagon lobt Kopfgelder aus, wenn man Sicherheitslücken in deren Programmen findet…

 

Digitale Kompetenz?

Und was macht die CDU: Sie würgt die Hilfe einfach ab und stellt die Helfende in die kriminelle Ecke.

Damit hat die Partei das Responsible Disclosure aufgekündigt. Dahinter steht, dass erst ein Fehler an die Verantwortlichen gemeldet wird, Zeit zur Behebung gegeben wird und erst dann an die Öffentlichkeit gegangen wird.
Also genauso, wie Frau Wittmann es gemacht hat.

Aber Responsible Disclosure beinhaltet auch: die Meldenden werden nicht vor Kadi gezogen werden. Aber genau das hat die CDU gemacht.

Einer der aktuellen Folgen dieses Verhaltens der CDU:
Der Chaos Computer Club CCC hat in einer Stellungnahme schon gesagt, dass von seiner Seite keine Hilfe mehr an die CDU geht.

„Der CCC wird CDU-Schwachstellen künftig nicht mehr melden …. Schon im Austausch mit der Sicherheitsforscherin stellte die CDU rechtliche Schritte in Aussicht; ein häufiger erster Impuls aus Frustration und Inkompetenz. Üblicherweise verfliegt die fixe Idee, eine ehrenamtliche Sicherheitsforscherin anzuzeigen, recht schnell…“

Das passierte bei der CDU aber leider nicht.

Der CCC-Sprecher Linus Neumann weiter:

„Um künftig rechtliche Auseinandersetzungen zu vermeiden, sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten“

Am 04.08.2021 zog die CDU die Anzeige zurück und bedauerte laut Stefan Hennewig, Bundesgeschäftsführer der CDU auf Twitter, dass es ein Fehler gewesen sei, Frau Wittmann in der Anzeige zu nennen.
Die Ermittlung der Berliner Datenschutzbeauftragte wurde von ihm in seinem Twitter-Thread nicht erwähnt.

Meinung des Autors:
Was können Unternehmen daraus lernen?

Betrachten wir erst einmal die Folgen für die Partei.
Es wird ab jetzt kein Sicherheitsforscher mehr wagen, etwaige Kenntnisse über Schwachstellen der Partei mitzuteilen. Das ist mehr als fatal.
Denn es gibt ja nicht nur die App in der CDU-IT-Welt.
Gerade solche eine große Organisation wie die CDU hat eine Vielzahl von IT-Systemen. Alleine wenn man die hohe Anzahl der lokalen Verbände betrachtet und die Herausforderung der Vernetzung untereinander, kann einem als IT-Verantwortlicher ganz schwindlig werden.

Der Stellenwert von Datenschutz und Datensicherheit

Aber solche IT Strukturen finden sich auch in Unternehmen.

In solch einer Vernetzung mit einer sicherlich großen Zahl unterschiedlichster Software, Versionstände sind einfach Fehler drin. Das liegt schon an der Komplexität. Und dazu kommt dann noch schnell „zusammengehauene Software“, die mal eben schnell her musste und dann nie wieder aktualisiert wurde.

Und bei den ja unbedingt notwendigen individuellen Apps, die in horrender Zahl von allen möglichen „Fachleuten“ auf dem Markt beworben werden, steht die Sicherheit selten auf dem Papier.

Apps sind nicht böse. Aber sie sind genauso zu betrachten wie „normale“ Software.

Design und Funktion vor Sicherheit und Gesetz

Wie das mit einem Penetrationtest einer App – also der gezielte Versuch, die App zu hacken?
Wird nicht gemacht. Kostet. Dauert. Passiert schon nix.
Prüfung und Stellungnahme des Datenschutzbeauftragten im Vorfeld und während der Entwicklung behindern ja nur und kosten Zeit. Also lässt man es häufig.

Das sind leider Realitäten.

Als Unternehmen kommt man aus so einer Nummer raus, wenn man im Vorfeld für solche Fälle einen klaren Prozess mit kompetenten Fachleuten definiert. Und die Sicherheit klar in den Fokus stellt.
Und vielleicht auch seinen kompetenten und wirklich „unabhängigen“ Datenschutzbeauftragten zu Rate zieht. Dann hätte man vieles im Vorfeld verhindern können.

Denn die EU-Datenschutzgrundverordnung DSGVO fordert in Artikel 35 eine Datenschutz-Folgenabschätzung.

Oder anders ausdrückt: Das ist eine gesetzliche Pflichtveranstaltung.
Dazu hat sicherlich die Berliner Datenschutzbeauftragte die eine oder andere Frage an die CDU…
Eine jede Geschäftsführung würde es nicht toll finden, in solch einer Situation von einer Aufsicht gegrillt zu werden.

Auch, weil anscheinend fundamentale Fehler gemacht wurden:

  • die Sicherheit der App nicht geprüft
  • wohl auch keine korrekte Datenschutzfolgeabschätzung
  • keine Einwilligung
  • keine Informationspflichten nach Artikel 13 DSGVO (welche Rechte haben Betroffene – also auf Löschung, Veränderung usw.)
  • und wohl auch keine (wenn überhaupt) ordentliche Datenschutzfolgeabschätzung nach Artikel 35 – und die ist bei besonderen Kategorien personenbezogener Daten zwingend

Was bleibt für ein Bild?

Denn nicht nur das jetzt bei der CDU einsetzende Bild in der Öffentlichkeit von mangelnder digitaler Kompetenz würde in solcher einer Situation auch Unternehmen treffen. Das, gepaart mit nur als Kommunikationsdesaster zu bezeichnenden Äußerungen aus der CDU (Laschet bezeichnet die Hinweisgeberin Wittmann als „Hacker“), machen es nur schlimmer.

Unternehmen und Organisationen verlieren durch so ein Verhalten, wie es die CDU an den Tag legte, ihre Glaubwürdigkeit und auch das Vertrauen der Kunden.

Das muss nicht sein.

 


Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen?
Nehmen Sie einfach Kontakt mit uns auf.