URI: 

       # taz.de -- Cyberattacke auf CDU: Selber schuld
       
       > Die CDU ist Opfer einer Cyberattacke geworden. Auch wenn
       > Opfer-Täter-Umkehrungen daneben sind: Die Partei hat selbst einiges dafür
       > getan.
       
   IMG Bild: Kurz vor der Europawahl war die CDU einer Cyberattacke ausgesetzt
       
       Es gibt einen unangenehmen Mechanismus, wenn eine Organisation einen
       Cyberangriff abbekommt und nicht abwehren kann: die reflexartige
       Erwiderung, dass ebenjene Partei, Institution oder Firma auch ein bisschen
       selbst schuld sei. Die haben ihre Datensicherheit eben nicht im Griff!
       
       Es ist eine Opfer-Täter-Umkehr, die wir in anderen Lebensbereichen klar
       verurteilen. Nein, der Rock ist nicht zu kurz. Nein, ein Land darf nicht
       angegriffen werden, nur weil es sich Richtung Westen orientiert. Nein, Oma
       hat die Einbrecher nicht mit dem gehorteten Bargeld in der Besteckschublade
       angelockt. Manchmal aber ist es schwer, den Opfern von Cyberangriffen keine
       Schuld zu geben. Jetzt etwa der CDU. Denn die hat in der Vergangenheit
       helfende Hände zur Seite geschlagen.
       
       [1][Am Wochenende wurde bekannt, dass die CDU einer Cyberattacke ausgesetzt
       war], kurz vor der Europawahl. Wie groß der Schaden ist, ist bisher nicht
       öffentlich bekannt. [2][Der Spiegel berichtet] unter Berufung auf
       Sicherheitskreise, dass kritische Daten ausgelesen worden seien. Mehrere
       Medien und Expert*innen mutmaßen, dass eine Gruppe im Auftrag der
       chinesischen Regierung dahintersteckt. Der Verfassungsschutz und das
       zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) haben
       die Ermittlungen aufgenommen.
       
       Auch andere Parteien kennen Angriffe dieser Art. Erst im Mai ist bekannt
       geworden, dass ein Jahr vorher, [3][im Januar 2023, eine einstellige Zahl
       von E-Mail-Konten des SPD-Parteivorstandes angegriffen wurden]. Die
       mutmaßlichen Täter: eine Gruppe, die dem russischen Militärgeheimdienst
       zugeordnet wird. Für politische Inhalte wird also nicht nur die CDU
       angegriffen. Aber: Sie hat auch einiges dafür getan, keine Hilfe aus der
       äußerst fähigen Zivilgesellschaft mehr zu bekommen.
       
       ## Daten lagen einfach rum
       
       [4][Im Mai 2021 untersuchte Lilith Wittmann, Aktivistin für
       Datensicherheit, die Wahlkampf-App der CDU und fand gravierende
       Sicherheitslücken im System], in dem die Partei Daten von
       Wahlhelfer*innen ebenso sammelte wie Daten von Menschen, die die CDU an
       der Haustür aufsuchte. Wittmann meldete die Lücke an die Partei, das BSI
       und die Datenschutzbeauftragte und bekam dafür: eine Anzeige von der CDU.
       Die kündigte damit eine Art inoffizielle Abmachung.
       
       Denn beim Responsible Disclosure suchen IT-Expert*innen nach
       Sicherheitslücken bei Parteien, Firmen, Bundesanstalten, melden diese,
       warten ab, bis die Lücken gestopft sind und veröffentlichen danach, wie sie
       die Lücken gefunden haben. Dafür bekommen sie keinen Ärger vom Staat,
       sondern Anerkennung bei den Peers. Es ist ein Rätselspiel und es ist
       wertvoll für unsere Gesellschaft und Sicherheit.
       
       Angezeigt werden können sie aber trotzdem manchmal. Dafür sorgt der
       sogenannte Hackerparagraf. Der wurde 2007 – unter Angela Merkel und
       getragen von der CDU – im Bundestag verabschiedet und macht es strafbar zu
       versuchen, an zugangsgeschützte Daten heranzukommen. Wegen des großen
       Medienechos um die Wahlkampf-App wurde die Anzeige gegen Wittmann
       zurückgezogen. [5][Bei den Ermittlungen kam ohnehin raus, dass die
       IT-Expertin nichts falsch gemacht] hatte. Die Daten lagen nämlich einfach
       so rum.
       
       ## Belohnung für Hacker
       
       Der Schaden liegt seitdem bei der CDU. Denn der Chaos Computer Club (CCC),
       die Instanz im Finden von Sicherheitslücken, hat sich hinter Wittmann
       gestellt und bekanntgegeben, dass er „[6][CDU-Schwachstellen künftig nicht
       mehr melden“] wird. Wer bekommt schon gerne Anzeigen?
       
       Ob der CCC trotzdem weiter nach Sicherheitslücken bei der CDU sucht? Ob die
       Expert*innen die aktuelle Schwachstelle gefunden hätten? Vielleicht.
       Sicher ist: Die CDU hat zuerst ein Gesetz mitgetragen, das ethisches
       Hacking gefährdet, und danach auch noch eine Person angezeigt, die helfen
       wollte und konnte. Also doch ein bisschen selbst schuld.
       
       In anderen Kontexten funktioniert das mit der responsible disclosure
       übrigens. [7][Apple hat etwa 2019 ein 1,5-Millionen-Dollar-Preisgeld
       ausgelobt] für das Finden von schlimmsten Sicherheitslücken beim damaligen
       iPhone.
       
       Und auch andere Länder können es besser als Deutschland: Die Niederlande
       haben [8][eine eigene Seite], auf der sie erklären, wie man
       Sicherheitslücken ordentlich melden kann. Und belohnt solche Meldungen mit
       einem Shirt. Darauf steht übersetzt: „Ich habe die niederländische
       Regierung gehackt und alles, was ich dafür bekommen habe, ist dieses
       lausige T‑Shirt.“ Der Spruch ist peinlich oldschool, aber lange nicht so
       altbacken wie die CDU.
       
       4 Jun 2024
       
       ## LINKS
       
   DIR [1] /Cyberangriff-auf-CDU/!6014271
   DIR [2] https://www.spiegel.de/politik/hackerangriff-auf-die-cdu-schuld-war-die-sicherheits-software-a-1daf1fd3-3e37-483c-ba68-372c7ac56dd9
   DIR [3] /Russische-Cyber-Angriffe/!6008364
   DIR [4] /Lilith-Wittmann-ueber-Wahlkampf-Apps/!5802119
   DIR [5] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205
   DIR [6] https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
   DIR [7] https://www.forbes.com/sites/daveywinder/2019/12/20/apple-confirms-iphone-hacking-reward-of-15-million/
   DIR [8] https://www.government.nl/topics/cybercrime/fighting-cybercrime-in-the-netherlands/responsible-disclosure
       
       ## AUTOREN
       
   DIR Johannes Drosdowski
       
       ## TAGS
       
   DIR Schwerpunkt Chaos Computer Club
   DIR Hacker
   DIR Cybersicherheit
   DIR Cyberattacke
   DIR CDU
   DIR Social-Auswahl
   DIR CCC-Kongress
   DIR Schwerpunkt Krieg in der Ukraine
   DIR Cybersicherheit
   DIR Cybersicherheit
       
       ## ARTIKEL ZUM THEMA
       
   DIR Kongress der Hacker: Geregeltes Chaos
       
       Der Chaos Communication Congress in Hamburg vereint Technik und Aktivismus.
       Dieses Jahr ging es vor allem um eins: Solidarität.
       
   DIR Russische Cyber-Angriffe: Kriegsführung aller Art
       
       Russland führt Krieg – auch im digitalen Raum. Nato, EU und die
       Bundesregierung verurteilen die Cyberangriffe scharf. Die Gegenmaßnahmen
       sind dünn.
       
   DIR Hackerangriff aus Russland?: Auswärtiges Amt aktiviert
       
       2023 griffen Hacker E-Mail-Konten der SPD an. Baerbock macht Russland dafür
       verantwortlich. Das Außenamt hat den Geschäftsträger der russischen
       Botschaft einbestellt.
       
   DIR Versichertendaten in Gefahr: Cyberattacke auf Krankenkassen
       
       Einer der größten IT-Dienstleister der gesetzlichen Krankenkassen muss nach
       einem digitalen Angriff Systeme abschalten. Das Ausmaß ist unklar.