# taz.de -- Aufdecken von IT-Sicherheitslücken: Der Botin gebührt Dank
> Wer Cyber-Sicherheitslücken aufdeckt, darf nicht bestraft werden, das
> Gegenteil sollte der Fall sein. Daran erinnert der Fall der CDU-App.
IMG Bild: Wer Sicherheitslücken in der Wahl-App der CDU aufdeckt, wird angezeigt
Die Summen, die Unternehmen zahlen, weil kriminelle Angreifer:innen
Sicherheitslücken ausnutzen, steigen. [1][Gleichzeitig ermittelt ein
Landeskriminalamt gegen eine IT-Expertin, die verantwortungsvoll eine
Sicherheitslücke meldete.] Wie passt das zusammen? Natürlich gar nicht.
Dass es überhaupt zu diesen Ermittlungen kommt, ist ein Abgrund.
Die Expertin hatte die CDU auf eine gravierende Sicherheitslücke in deren
Wahlkampf-App hingewiesen, durch die persönliche Daten an Unbefugte geraten
konnten. [2][Zu Ermittlungen, über die zuerst das Portal netzpolitik.org
berichtet hat], kam es, weil die CDU Anzeige erstattet hatte.
Mittlerweile hat die Partei diese Anzeige zwar zurückgezogen – aber das
muss keineswegs das Ende der Ermittlungen bedeuten. Die Strategie, die die
CDU hier anwandte, ist bekannt und erprobt. Wenn jemand eine schlechte
Nachricht überbringt, unternimmt man nicht etwa etwas gegen die Ursache.
Man bestraft lieber die Botin.
Und da muss man sich fragen: Was hätte die CDU denn gewollt? Dass jemand
die Sicherheitslücke ausnutzt, die Daten abzieht und die Partei auffordert,
eine Million Euro in Bitcoins zu zahlen, bitte bis übermorgen? Kann sie
haben. Der Chaos Computer Club hat bereits angekündigt, falls er weitere
Sicherheitslücken in Systemen der CDU entdeckt, diese nicht an die Partei
zu melden. Damit besteht das Risiko, dass jemand anderes diese
Sicherheitsmängel auch entdeckt – und ausnutzt.
Das Problem liegt nicht alleine bei der CDU. Auch die Paragrafen, die
derartige Ermittlungen überhaupt ermöglichen, sind problematisch. Die
Regierungsparteien sind zudem seit Jahren nicht willens, einen guten Schutz
von Whistleblower:innen zu beschließen. Der könnte aber dazu
beitragen, dass auf Sicherheitsprobleme in Unternehmen frühzeitig
hingewiesen wird.
Ob wir dagegen eines Tages Ermittlungen und dann mindestens mal ein
saftiges Bußgeld gegen eine Partei sehen, die aufgrund einer
Sicherheitslücke persönliche Daten mehrerer Tausend Menschen schutzlos
ließ? Darauf sollte man besser nicht wetten.
5 Aug 2021
## LINKS
DIR [1] https://twitter.com/LilithWittmann/status/1422546380275556352
DIR [2] https://netzpolitik.org/2021/cdu-connect-berliner-lka-ermittelt-gegen-it-expertin-die-sicherheitsluecken-in-partei-app-fand/
## AUTOREN
DIR Svenja Bergt
## TAGS
DIR Internet
DIR Kriminalität
DIR Datenschutz
DIR Cybersicherheit
DIR Cyberkriminalität
DIR CDU/CSU
DIR CDU
DIR Schwerpunkt Brexit
DIR Dokumentarfilm
DIR Cyberkriminalität
DIR Funke Mediengruppe
## ARTIKEL ZUM THEMA
DIR EU-Regeln zum Datenschutz: Großbritannien will raus
Nach dem Brexit scheint nun der Exit aus der EU-Datenschutzgrundverordnung
bevorzustehen. Schon hat London neue Partnerländer im Visier.
DIR Doku über den Chaos Computer Club: Komputer und Lederhose
Die Dokumentation „Alles ist eins. Außer der 0“ erzählt die Geschichte des
Chaos Computer Clubs. Er liefert starkes Bild- und Tonmaterial.
DIR Statistik zu Kriminalität im Internet: BKA registriert mehr „Cybercrime“
Die Zahl krimineller Hackerangriffe stieg 2020 in Deutschland um etwa acht
Prozent. Die Täter:innen agierten laut Behörden zunehmend professionell.
DIR Hackerangriff auf Funke Mediengruppe: Kritische Infrastruktur
Eine Cyberattacke blockiert seit sechs Tagen die Zeitungen des Essener
Verlags Funke. Die Behörden stufen den Fall als besonders heikel ein.