Umgang mit EDV-Sicherheitslücken
#1
Aus einem Artikel von heute (04.08.21) aus heise online:

Gegen eine Entwicklerin, die Sicherheitslücken in insgesamt drei Wahlkampf-Apps entdeckt hatte, wird ermittelt. Dabei war sie verantwortungsbewusst vorgegangen.

Gegen eine Softwareentwicklerin, die in einer App der CDU für den Haustürwahlkampf eklatante Sicherheitslücken gefunden hat, wurde ein Strafverfahren eingeleitet. Das hat Lilith Wittmann auf Twitter öffentlich gemacht. Demnach wird sie in dem Ermittlungsverfahren als Beschuldigte geführt.

Von wem das Verfahren eingeleitet wird, geht es aus dem Statement nicht hervor, aber Wittmann weist darauf hin, dass die CDU ihr gegenüber schon angedeutet habe, den Vorgang zur Anzeige bringen zu wollen. In einer ersten Reaktion hat der Chaos Computer Club umgehend angekündigt, der CDU künftig keine Sicherheitslücken mehr melden zu wollen.

Bei der "CDU-connect-App" – und zwei baugleichen Anwendungen der CDU und von Österreichs Volkspartei mit denselben Lücken – handelt es sich um Software für Wahlkämpfende. Die sollen damit erfassen, wo sie im Wahlkampf bereits geklingelt und was sie dort besprochen haben. Wittmann war nach eigener Aussage bei einer Analyse der Anwendung schnell auf Lücken gestoßen und konnte unter anderem über 18.000 Datensätze zu Wahlkämpfenden für die CDU einsehen. Auch auf Details zu den Besuchten habe man aus den Daten schließen können, auch wenn keine personenbezogenen Daten zu denen von der Anwendung gespeichert wurden. Wittmann hatte nach eigenen Angaben nicht nur den CERT-Bund und Berlins Datenschutzbeauftragten, sondern auch die CDU informiert.

Die Apps für Android und iOS waren umgehend nach den Hinweisen offline genommen worden, inzwischen sind sie wieder verfügbar. Einzelheiten zu dem nun anhängigen Verfahren gibt es bislang nicht, eine Anfrage von heise online an die CDU wurde noch nicht beantwortet. Trotzdem hat der einflussreiche Chaos Computer Club bereits reagiert und der CDU öffentlich mitgeteilt, gefunden Sicherheitslücken künftig nicht mehr im Verfahren der sogenannten Responsible Disclosure mitteilen zu wollen. Dank dieser impliziten Vereinbarung könnten IT-Schwachstellen gemeldet werden, ohne dass Entdecker und Entdeckerinnen juristische Konsequenzen befürchten müssen. Die habe die CDU aber nun aufgekündigt.

Wenn die CDU Überbringende von schlechten Nachrichten angreife und nicht das Problem, zeige sie sich äußerst undankbar für die ehrenamtliche Nachhilfe. Dabei handle es sich doch immerhin um "eine kostenlose Nachhilfe in IT-Sicherheit", die im vorliegenden Fall etwa dem Schutz von 18.000 Personen diente. Um rechtliche Auseinandersetzungen, wie sie Wittmann nun drohen, in Zukunft zu vermeiden, "sehen wir uns leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten", erklärte CCC-Sprecher Linus Neumann nun, und der "CCC wünscht CDU viel Glück bei zukünftigen Schwachstellen".

Quelle: https://www.heise.de/news/Sicherheitsluecken-in-CDU-connect-App-Strafverfahren-gegen-Entdeckerin-6154663.html


Anmerkung: Das muss man sich mal vorstellen, was hier heutzutage los ist. Da wird jemand der verantwortungsbewusst Schwachstellen in einer Software der CDU an entsprechende Stellen meldet und auf offensichtliche Fehler aufmerksam macht von dieser postwendend strafrechtlich verfolgt. Eine schlechtere Reaktion kann man sich kaum vorstellen und zeigt den Geist der Hintermänner der heutigen CDU an. 
Im A & O das Geheimnis liegt - Omega siegt!
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste

Termine

Nächster Vollmond ist in 11 Stunden und 39 Minuten am 15.11.12024, 23:29
Nächster Neumond ist in 15 Tagen und 20 Stunden am 01.12.12024, 08:22
Letzter Neumond war vor 13 Tagen und 21 Stunden