Welt & Politik CDU-Connect-App: Danke für den Hinweis, Anzeige ist raus

20:45  05 august  2021
20:45  05 august  2021 Quelle:   zeit.de

Thüringen: WerteUnion für Wahl eines CDU-Regierungschefs mit Stimmen der AfD

  Thüringen: WerteUnion für Wahl eines CDU-Regierungschefs mit Stimmen der AfD In Thüringen scheiterte ein Misstrauensvotum der AfD gegen Regierungschef Ramelow – auch weil die CDU nicht mitzog. Die erzkonservative WerteUnion zeigt nun weniger Berührungsangst. Die Partei ist entsetzt. © Hoffmann / imago images Die WerteUnion fordert die Aufstellung eines CDU-Kandidaten für das Amt des Ministerpräsidenten in Thüringen. Dabei müsse man sich von allen demokratisch legitimierten Mitgliedern des Landtags wählen lassen – auch von der AfD, sagte der Vorsitzende der ultrakonservativen Organisation, Max Otte, der Nachrichtenagentur dpa.

Eine IT-Forscherin hat der CDU eine Schwachstelle in ihrer Connect-App gemeldet. Und die Partei? Verklagt sie. Der Fall zeigt das rechtliche Dilemma ethischer Hacker.

Wie sicher Apps auf unseren Smartphones sind, hängt auch davon ab, ob sich IT-Sicherheitsforscherinnen die Mühe machen, sie teils in ihrer Freizeit nach Schwachstellen zu untersuchen. © Jenny Ueberberg/​unsplash.com Wie sicher Apps auf unseren Smartphones sind, hängt auch davon ab, ob sich IT-Sicherheitsforscherinnen die Mühe machen, sie teils in ihrer Freizeit nach Schwachstellen zu untersuchen.

Was macht man, wenn man eine Sicherheitslücke in einer Wahlkampf-App findet, durch die knapp 20.000 Datensätze mit persönlichen Daten von CDU-Wahlkampfhelfern sowie mehr als 100.000 Datensätze über unbeteiligte Bürgerinnen zugänglich sind, deren Lebensumstände und politischen Ansichten im Haustürwahlkampf protokolliert wurden? Es gibt im Großen und Ganzen zwei Möglichkeiten: Man kann den Datensatz herunterladen und verkaufen, Menschen damit erpressen, Schadsoftware verschicken. Das wäre kriminell. Oder man kann die Sicherheitslücke den Machern melden und ihnen so eine Gelegenheit geben, die Schwachstelle zu stopfen.

30 unglaubliche Raspberry-Pi-Projekte

  30 unglaubliche Raspberry-Pi-Projekte Kaum ein anderes Gerät hat die Bastlerszene so begeistert wie der scheckkartengroße Minirechner. Wir zeigen euch 30 spannende Raspberry-Pi-Projekte, die auch euren Bastlertrieb wecken. © Zoltan Kiraly / Shutterstock.com 30 unglaubliche Raspberry-Pi-Projekte Rückläufige Bewerberzahlen für den Studiengang der Computerwissenschaften an der Universität Cambridge führten zur Entwicklung des Raspberry Pi. Dessen Verkaufsstart im Februar 2012 legte die Server der beteiligten Onlineshops lahm. Die 10.000 Einheiten zum Preis von rund 25 US-Dollar waren im Handumdrehen vergriffen.

Als die Sicherheitsforscherin Lilith Wittmann am Abend des 11. Mai 2021 jene Sicherheitslücke in der CDU-Connect-App entdeckte, entschied sie sich als verantwortungsbewusste Forscherin für letzteres. Um 21.59 Uhr teilte sie dem Notfallteam CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) ihren Fund per E-Mail mit, nannte die Dimension und beschrieb auch die Lücke technisch, sodass die Behörde sie nachvollziehen konnte. Parallel versuchte sie, in der CDU-Zentrale jemanden zu erreichen – erfolglos. Am nächsten Morgen meldete sich das BSI bei ihr mit dem Hinweis, dass man die Partei informiert habe. Die Macher nahmen die App daraufhin offline. Erst, als somit klar war, dass kein weiterer Schaden entstehen konnte, ging Wittmann mit ihren Erkenntnissen an die Öffentlichkeit.

„CDUconnect“: Hackerin findet Sicherheitslücke in CDU-App und wird verklagt

  „CDUconnect“: Hackerin findet Sicherheitslücke in CDU-App und wird verklagt Wer und mit welchem Vorwurf die Hackerin verklagt hat, ist nicht bekannt.Bei den Daten handelt es sich ihr zufolge um persönliche Informationen, Fotos und E-Mail-Adressen von 18.500 Wahlkampfhelfern sowie Daten, Adressen, Geburtsdaten, Interessen und weitere bei Haustürgesprächen erhaltene Informationen von 1350 CDU-Unterstützern. Wie sie auf die Lücke aufmerksam geworden ist, erklärt sie auf ihrem Blog.

Was Lilith Wittmann gemacht hat, nennt man in der Fachsprache responsible disclosure, übersetzt etwa verantwortungsvolle Offenlegung. Es ist der gängige Weg, wie IT-Sicherheitsforscherinnen und -Sicherheitsforscher auf Schwachstellen hinweisen: Sie prüfen zunächst das Ausmaß einer Schwachstelle in einer App oder auf einer Website, melden es dann den Macherinnen – und erst, wenn die genug Zeit hatten, die Lücke zu schließen, oder wenn sie das Angebot eben offline nehmen und kein weiterer Schaden zu befürchten ist, veröffentlichen die Wissenschaftlerinnen ihre Erkenntnisse. Das Problem: Trotz guter Absichten bewegen sie sich damit rechtlich auf dünnem Eis.

Don't shoot the messenger

Die CDU hat Glück gehabt, dass eine sogenannte ethische Hackerin wie Wittmann die Schwachstelle gefunden hat und nicht irgendwelche Kriminellen. Glück, weil die Lücke nach Aussage von Wittmann offenbar über Jahre bestand. Zwar gibt es keine Anzeichen dafür, dass sie von Kriminellen ausgenutzt wurde, ganz sicher kann man das aber nicht wissen. Eigentlich hat Wittmann der CDU mit ihrem Hinweis also einen Gefallen getan. Eigentlich.

Die CDU, Wahlkampf-Apps und Strafanzeigen: Einmal Shitstorm reicht wohl nicht

  Die CDU, Wahlkampf-Apps und Strafanzeigen: Einmal Shitstorm reicht wohl nicht Die CDU hat eine Sicherheitsforscherin für die ehrenamtliche Mitarbeit an der Sicherheit der partei-eigenen Wahlkampf-App angezeigt. Das zeigt, diese Partei kann auch 2021 weder grundlegende IT-Grundsätze noch vernünftige Fehlerkultur. © Adriana Iacob/Shutterstock Du CDU lernt offenbar nicht dazu. Erst im Mai geriet die CDU mit ihrer Wahlkampf-App CDU Connect in die Schlagzeilen. Die IT-Sicherheitsexpertin Lilith Wittmann hatte eine gravierende Sicherheitslücke in der Software entdeckt. Sie meldete die Schwachstelle der CDU, dem BSI und dem Berliner Datenschutzbeauftragten.

Offenbar war die CDU aber alles andere als dankbar: Wie Wittmann auf Twitter öffentlich machte, hat die Partei die Überbringerin der schlechten Nachricht beim Landeskriminalamt Berlin angezeigt. Die Empörung war groß. Der Chaos Computer Club (CCC) verkündete am Mittwoch, dass er der CDU fortan keine Sicherheitslücken mehr melden würde. "Leider hat die CDU damit das implizite Ladies-and-Gentlemen-Agreement der responsible disclosure einseitig aufgekündigt", schreibt der CCC. Um künftige rechtliche Auseinandersetzungen zu vermeiden, sehe man sich "leider gezwungen, bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten". Der Verein bedauere ausdrücklich, "dass damit das Risiko anonymer full-disclosure-Veröffentlichungen für die CDU und ihre freiwilligen Unterstützerinnen steigt".

Full disclosure bedeutet, dass die Betreiber eines Systems nicht vorgewarnt, sondern zeitgleich mit der Öffentlichkeit informiert werden. Dieses Vorgehen wird in Teilen der Security-Szene generell befürwortet, weil damit auch Betroffene frühzeitig informiert sind und weil der so entstehende öffentliche Druck oft dazu führt, dass Unternehmen schnell aktiv werden und Lücken schließen. Dadurch steigt natürlich aber auch die Gefahr, dass sie von Kriminellen ausgenutzt werden, bevor die Verantwortlichen entsprechende Lücken schließen können. "Die Verantwortung für zukünftige derartige Veröffentlichungen weisen wir vorsorglich von uns", so der CCC weiter.

„Deutschlandkoalition“: CDU, SPD und FDP in Sachsen-Anhalt einigen sich auf Regierungsbündnis

  „Deutschlandkoalition“: CDU, SPD und FDP in Sachsen-Anhalt einigen sich auf Regierungsbündnis Nach harmonischem Beginn knirschte es zuletzt. Doch jetzt haben sich CDU, SPD und FDP in Sachsen-Anhalt auf die Grundpfeiler einer Koalition geeinigt. © Foto: dpa/Peter Gercke Hat sich mit SPD und FDP auf ein Regierungsbündnis verständigt: Der amtierende Ministerpräsident Reiner Haseloff (CDU). Peter Gercke/dpa-Zentralbild/dpa +++ dpa-Bildfunk +++ CDU, SPD und FDP in Sachsen-Anhalt haben ihre Koalitionsverhandlungen erfolgreich abgeschlossen. Spitzenvertreter der drei Parteien einigten sich am Montag auf einen Entwurf für einen Koalitionsvertrag, wie die Parteivorsitzenden mitteilten.

Erst nach dem öffentlichen Druck durch den CCC und andere machte die CDU einen Rückzieher. Man habe in der Tat vor einiger Zeit Anzeige unter anderem gegen Lilith Wittmann in Zusammenhang mit der Sicherheitslücke erstattet, schrieb am Mittwochnachmittag schließlich CDU-Bundesgeschäftsführer Stefan Hennewig auf Twitter. Diese Anzeige habe sich aber nicht gegen das responsible-disclosure-Verfahren gerichtet. Solche Verfahren seien "ein guter Weg, um Betroffene auf Sicherheitslücken aufmerksam zu machen". Allerdings sei es in Zusammenhang mit der Sicherheitslücke "angeblich auch zu einer Veröffentlichung personenbezogener Daten durch Dritte" gekommen "sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an uns", so Hennewig. Damit habe Lilith Wittmann nichts zu tun. Die Nennung ihres Namens in der Anzeige sei ein Fehler gewesen, weshalb er sich nun öffentlich entschuldige. Die Anzeige habe er zurückgezogen.

Der Fall ist damit aber nicht erledigt. Denn gegen Wittmann wird weiter ermittelt. 

"Man kann eine Anzeige gar nicht zurückziehen", sagt der Jurist Ulf Buermeyer, Vorsitzender und Legal Director des Vereins Gesellschaft für Freiheitsrechte. Eine Strafanzeige ist lediglich eine formlose Mitteilung an die Polizei, dass eine Straftat begangen worden ist. Das LKA müsse nun weiter ermitteln, weil es Kenntnis von der Tat erlangt hat. "Wenn man Pech hat, wird sogar gegen den Willen des Geschädigten verfolgt."

„Das überzeugt niemanden“: Führende CDU-Politiker kritisieren Wahlkampf ihrer Partei

  „Das überzeugt niemanden“: Führende CDU-Politiker kritisieren Wahlkampf ihrer Partei In der CDU regt sich Unmut über die Wahlkampagne. Eine Debatte über den Kandidaten Laschet will Schleswig-Holsteins Ministerpräsident Günther aber nicht. © Foto: Imago/Stefan Zeitz Wahlplakat der CDU in Berlin Angesichts schwacher Umfragewerte fordern führende CDU-Politiker mehr Schwung im Wahlkampf der eigenen Partei. Schleswig-Holsteins Ministerpräsident Daniel Günther (CDU) sagte dem "Handelsblatt" zum bisherigen Wahlkampf: "Das überzeugt niemanden." Es brauche nun eine stärkere inhaltliche Auseinandersetzung.

Die Sicherheitsforscherin ist daher trotz der Entschuldigung nicht gut auf Hennewig und die CDU zu sprechen. "Wenn ich jemanden versehentlich anzeige, dann riskiere ich, dass bei dieser Person eine Hausdurchsuchung stattfindet und dass ihr Gewalt angetan wird", sagt sie. Zeige man als Regierungspartei Leute versehentlich an, "dann sind da schon viele Züge abgefahren". Hennewig habe sie bereits im Mai direkt nach der Entdeckung der Lücke angerufen und zunächst gefragt, ob sie nicht für die CDU arbeiten wolle. "Dafür wollte er allerdings, dass ich ein NDA unterschreibe", sagt Wittmann. Ein sogenanntes Non-Disclosure-Agreement ist eine Schweigeverpflichtung. Daran sei sie nicht interessiert gewesen – weder daran, für die CDU zu arbeiten, noch daran, über Sicherheitslücken zu schweigen. "Daraufhin hat er mir bereits mit einer Anzeige gedroht."

Die CDU ließ eine Presseanfrage von ZEIT ONLINE zu den Details der Anzeige unbeantwortet. Auch Hennewig äußerte sich nicht zu Nachfragen, wie es denn dazu gekommen sei, dass Wittmann angezeigt wurde, obwohl sie mit den genannten Vorwürfen nichts zu tun habe. Aus Sicht der IT-Sicherheitsforscherin handelt es sich nicht um ein Versehen, sondern um Kalkül. So ordnet sie auch die aktuelle Entschuldigung ein: "Nur weil ich das Privileg der öffentlichen Unterstützung habe, gibt die CDU jetzt klein bei." Andere hingegen hätten das Privileg nicht, und das bringe ethische Hacker in Gefahr: "Jedes Mal, wenn man Sicherheitsforschung in Deutschland macht, macht man sich strafbar."

Kurt Biedenkopf: Unverschämt frei

  Kurt Biedenkopf: Unverschämt frei Kurt Biedenkopf war ein unabhängiger Geist – als Wissenschaftler, in der Kohl-CDU und als Wessi im Osten. Zum Tod eines Intellektuellen, der seiner Zeit enteilt war © [M]Michael Kappeler/​dpa Kurt Biedenkopf, ehemaliger Ministerpräsident von Sachsen Es ist das letzte Jahr der Bonner Republik: Helmut Kohl ist Bundeskanzler, Kurt Biedenkopf ist außen vor. Während der eine mit der deutschen Einheit auf den Zenit seiner Kanzlerschaft zugeht, ist der andere am Ende seiner politischen Karriere. Er ist gescheitert als Spitzenmann der CDU in Nordrhein-Westfalen, und verstoßen vom Hof Kohls.

Ethisch korrekt, aber womöglich trotzdem strafbar

Die aktuellen Vorkommnisse zeigen einmal mehr das Dilemma, dem ethisches Hacking in Deutschland unterliegt. Denn das deutsche Recht stellt einiges unter Strafe, was für die Arbeit von IT-Sicherheitsforscherinnen und -Sicherheitsforschern notwendig ist – speziell der oft als "Hackerparagraf" bezeichnete Paragraf 202c im Strafgesetzbuch. Er untersagt das "Vorbereiten des Ausspähens und Abfangens von Daten" und ergänzt seit 2007 die Paragrafen 202a und 202b, die das Ausspähen und Abfangen von Daten unter Strafe stellen. Im Gegensatz zu diesen beiden Paragrafen, die entweder auf eine Anzeige hin angewendet werden oder wenn die Ermittlungsbehörden ein großes öffentliches Interesse an der Verfolgung annehmen, müssen Straftaten unter dem Hackerparagrafen 202c auch ohne Strafantrag verfolgt werden.

Als die entsprechende Erweiterung im Bundestag diskutiert wurde, gab es viele Proteste, denn so, wie der Paragraf formuliert ist, fällt darunter nicht nur ethisches Hacking selbst, sondern vor allem auch der Schritt davor: Strafbar macht sich bereits, wer Computerprogramme herstellt oder sich verschafft oder diese verbreitet, die dazu geeignet sind, Daten auszuspähen oder abzufangen. Also im Prinzip genau jene Programme, mit denen Sicherheitsforscherinnen wie Lilith Wittmann tagtäglich arbeiten.

Der Chaos Computer Club hat dagegen 2008 in einer Stellungnahme an das Bundesverfassungsgericht protestiert und gewarnt, dass solche Hackertools "für die tägliche Arbeit von Netzwerkadministratoren und Sicherheitsexperten notwendig sind". Schließlich müsse jeder in der Lage sein, die eigenen Computersysteme auf Sicherheitslücken zu testen. "Das Risiko eines Ermittlungsverfahrens gegen diejenigen, die Sicherheitslücken finden oder erforschen, hat sich mit dem Inkrafttreten des § 202c StGB weiter verstärkt." Der CCC beobachtete bereits damals, dass freiwillige Meldungen entdeckter Sicherheitsprobleme deutlich zurückgingen. "Die Kriminalisierung des Umgangs mit Schadsoftware durch den § 202c führt daher zu einer verschlechterten Situation für die IT-Sicherheit in Deutschland."

Wahlkampftour: Armin Laschet trifft Tesla-Chef – und stellt eine unglückliche Frage

  Wahlkampftour: Armin Laschet trifft Tesla-Chef – und stellt eine unglückliche Frage Ein Auftritt mit Tesla-Gründer Musk soll dem antriebslosen Kanzlerkandidaten der Union einen Schub im Wahlkampf geben. Bei der Frage, was Deutschland voranbringt, sind sich beide einig. © dpa Der CDU-Chef sieht Teslas Investition als Leuchtturmprojekt. Hat Elon Musk einen Tipp für Armin Laschet, der bisher im Wahlkampf so antriebslos und ohne Energie wirkt? Der Chef des amerikanischen Elektroautobauers Tesla muss über die Frage laut lachen.

Das Bundesverfassungsgericht hat 2009 zwar eine Verfassungsbeschwerde zum neuen Paragrafen 202c abgelehnt, aber im gleichen Zuge konkretisiert, dass ein entsprechendes, in Paragraf 202c gemeintes Programm "mit der Absicht entwickelt oder modifiziert worden sein" müsse, es zur Ausspähung oder zum Abfangen von Daten einzusetzen. Es reiche nicht aus, dass die Programme dafür geeignet seien. Außerdem müsse sich diese Absicht objektiv manifestiert haben. Damit seien White-Hat-Hacker, also ethische Hackerinnen wie Wittmann, eigentlich ausgenommen, sagt Buermeyer. Das allerdings macht den Paragrafen auch zur Verfolgung Krimineller ein Stück weit wirkungslos: Nutzen diese Programme der White-Hat-Hacker, die nicht für kriminelles Hacking entwickelt wurden, fallen sie streng genommen nun auch nicht mehr unter diesen Paragrafen.

Der Paragraf kommt in der Praxis kaum zum Einsatz – vermutlich, weil die Betroffenen meist keine Anzeige stellen: "Es kommt sehr selten, aber leider immer mal wieder vor, dass die empfangende Seite sich zu diesem sehr undankbaren und nicht zu empfehlenden Schritt entschließt", sagt Linus Neumann, Sprecher des CCC. "Es gilt nicht nur in der Hacking-Szene als unfein, Menschen zu verklagen, die einen kostenlosen Dienst erwiesen haben." Denn was viele nicht wissen: IT-Sicherheitsforscherinnen wie Wittmann suchen oft in ihrer Freizeit nach Sicherheitslücken in Apps oder Programmen und erhalten dafür kein Geld.

Auch wenn die Behörden in solchen Fällen von sich aus ermitteln können und teilweise sogar theoretisch müssen, gäbe es das Verfahren gegen Lilith Wittmann wohl nicht ohne die Anzeige der CDU. Allerdings kann es gut sein, dass die Sicherheitsforscherin nicht nach dem eigentlichen Hackerparagrafen verfolgt wird, sondern nach Paragraf 202a und 202b, die das Ausspähen und Abfangen von Daten unter Strafe stellen. Denn sobald ein Hacker eine Sicherheitslücke findet und beispielsweise Daten abgreift, um die Lücke nachzuweisen, macht er sich strafbar – auch wenn er keine kriminellen Absichten mit diesen Daten verfolgt. Das lasse sich für ethische Hackerinnen kaum vermeiden, sagt Buermeyer: "Ich kann mir nicht vorstellen, wie man diese Sicherheitslücke dokumentieren will, ohne sie auszuprobieren." Letztlich setze das IT-Strafrecht den Anreiz, Sicherheitsforschung gar nicht erst zu betreiben, so der Jurist. 

Der Fall von Wittmann ist nur ein Beispiel von vielen dafür. Ähnlich wie ihr erging es kürzlich den unbekannten Entdeckern der Doctolib-Sicherheitslücke, die nach eigenen Angaben Zugriff auf 150 Millionen Datensätze des Gesundheitsdienstleisters hatten, während Doctolib selbst lediglich von 45 Datensätzen sprach. Nachdem der Anbieter ebenso wie nun die CDU sofort Anzeige erstattet hatte, entschieden die Entdecker, lieber anonym zu bleiben. Dadurch wurden aber die Ermittlungen der Berliner Datenschutzbehörde erschwert.

Auf Nachfrage von ZEIT ONLINE teilte sie mit, dass sie für ein Verfahren entsprechende Beweismittel – wie die geleakten Datensätze – entweder selbst gewinnen müsste oder diese "von Dritten zur Verfügung gestellt werden" müssten. "Im Falle von Sicherheitslücken bei Internetdiensten steht die BlnBDI regelmäßig vor dem Problem, dass zwar technische Dokumentationen der Lücke von ethischen Hacker*innen ins Internet gestellt wurden", schreibt die Behörde ZEIT ONLINE. "Jedoch ist die Sicherheitslücke zumeist bereits geschlossen worden, wenn die Aufsichtsbehörde von dem Vorfall Kenntnis erlangt und tätig wird." Zudem genüge die technische Dokumentation allein nicht den gesetzlichen Anforderungen an Beweismaterial.

Eigentlich bräuchte die Behörde also die geleakten Daten als Beweis. Wer diese herunterlädt, macht sich aber strafbar. Was ist die Lösung? "Eine legale Möglichkeit, uns die Ermittlung zu erleichtern, besteht darin, uns so früh wie möglich über die Schwachstelle und Wege, sie auszunutzen, zu informieren, damit wir selbst Beweise sichern können." Das allerdings würde bedeuten, dass Sicherheitslücken zunächst nicht an die Betreiber selbst gemeldet werden – was ein gefährliches Unterfangen sein kann. Was, wenn sie in der Zwischenzeit ausgenutzt werden?

Das Kollektiv zerforschung stieß auf ein ähnliches Problem, nachdem es bei insgesamt fünf großen Corona-Schnelltestzentren Sicherheitslücken gefunden und Zugriff auf mehrere Hunderttausend privater Datensätze inklusive Testergebnisse erlangt hatte. Im Rahmen der Untersuchung habe das Kollektiv auch einige der Datensätze heruntergeladen. Diese Daten wären als Beweismittel auch für die Datenschutzbehörden relevant, berichtet ein zerforschungs-Mitglied. Schließlich müsse es ja auch darum gehen, dass die Datenschutzbehörden aktiv werden könnten. "Wir haben bisher sehr gut mit dem BSI zusammengearbeitet, wenn es darum geht, dass Lücken geschlossen werden." Doch Bußgelder und ähnliches können nur die Datenschutzbehörden verhängen. "Wenn die massiven Datenschutzverstöße der Testanbieter keine Folgen haben, ändert sich ja nichts."

Als das Kollektiv den Datenschutzbehörden anbot, ihnen die Daten vor der sicheren Löschung bereitzustellen, hätten diese sehr zurückhaltend reagiert. Behördenmitarbeiter hätten sogar davor gewarnt, dass es Konsequenzen für Sicherheitsforscherinnen haben könnte, Daten an die Behörden weiterzugeben. "Wie können Finderinnen und Finder von Sicherheitslücken mit den Datenschutzbehörden zusammenarbeiten, ohne danach dafür von einer anderen Datenschutzbehörde ein Verfahren angehängt zu bekommen, weil sie die Daten an sie weitergegeben haben?", fragt das zerforschungs-Mitglied.

»Es fehlt an der goldenen Brücke in die Legalität für White-Hat-Hacking.«

Jurist Ulf Buermeyer

Eine Antwort darauf scheint es nicht zu geben. "Es fehlt an der goldenen Brücke in die Legalität für White-Hat-Hacking", sagt Jurist Buermeyer. Aus seiner Sicht müsste es eine Norm geben, die Straffreiheit für responsible disclosure verspricht, die etwa folgendermaßen lauten könnte: Wer seine Erkenntnisse den Systembetreibenden mitteilt und keine Daten zurückbehält, wird nicht bestraft. "Gerade diese Fälle zeigen, dass es eine klare Regelung braucht, dass man sich als ethischer Hacker mit so etwas nicht strafbar macht – denn wir als Gesellschaft profitieren davon", sagt Buermeyer. Finden Sicherheitsforscherinnen Lücken in einem System und melden sie gewissenhaft an die Betreiber, haben die die Möglichkeit, die Schwachstellen zu beheben – und damit ihre Systeme für alle Nutzerinnen und Nutzer sicherer zu machen. Sprich: Wir haben alle etwas davon, wenn solche Lücken zuerst von verantwortungsbewussten Expertinnen und nicht von Kriminellen gefunden werden.

Lilith Wittmann ist enttäuscht von der Politik: "Ich habe großen gesellschaftlichen Rückhalt gesehen, aber von den herrschenden Parteien gibt es so wenig Wertschätzung für zivilgesellschaftliche IT-Sicherheitsforschung." Auch wenn die meisten Unternehmen ethische Hackerinnen nach einem responsible disclosure nicht anzeigen, sei ihr diese Gefahr von nun an bewusster. "Das wird vermutlich immer ein bisschen in meinem Hinterkopf bleiben, dass es Leute gibt, die das machen."

Wahlkampftour: Armin Laschet trifft Tesla-Chef – und stellt eine unglückliche Frage .
Ein Auftritt mit Tesla-Gründer Musk soll dem antriebslosen Kanzlerkandidaten der Union einen Schub im Wahlkampf geben. Bei der Frage, was Deutschland voranbringt, sind sich beide einig. © dpa Der CDU-Chef sieht Teslas Investition als Leuchtturmprojekt. Hat Elon Musk einen Tipp für Armin Laschet, der bisher im Wahlkampf so antriebslos und ohne Energie wirkt? Der Chef des amerikanischen Elektroautobauers Tesla muss über die Frage laut lachen.

usr: 22
Das ist interessant!