Die Softwareentwicklerin Lilith Wittmann hat bei der App für den Haustürwahlkampf der CDU mehrere Sicherheitslücken entdeckt. Mittlerweile wurde die App offline genommen, und die Partei hat sich entschuldigt. In einer weiteren Recherche hat Wittmann nun herausgefunden, dass auch die ÖVP und die CSU die gleiche App in angepasster Form nutzen. In dem Quellcode der CSU-App sei sogar ein Code zu finden gewesen, der eigentlich in das ÖVP-Programm gehörte. Deren Software kämpft somit mit den gleichen Sicherheitsproblemen.

Server mittlerweile offline

Die App der ÖVP sei weiterhin in den App-Stores verfügbar, allerdings sei der Server, der die entsprechenden Daten speichert, bereits vom Netz genommen worden, erklärt Wittmann auf STANDARD-Anfrage – daher sei es nicht möglich, nachzuvollziehen, welche Daten bisher frei zur Verfügung gestanden hätten.

Im Fall der CDU-App war es für die Entwicklerin möglich, auf hunderttausende Datensätze zuzugreifen – darunter persönliche Informationen von tausenden Wahlkampfhelfern. Unter anderem waren sensible Daten wie die E-Mail-Adresse, das Foto oder die Adresse zu finden. Auch Infos zu Inhalten der vor der Haustür abgehaltenen Gespräche, die exponierend sein könnten – etwa das Alter einer Person und ihre politische Einstellung –, wurden gespeichert. So dokumentierten die Helfer Interaktionen mit Bürgerinnen und Bürgern in der App.

Gängige Security-Praktiken missachtet

Wittmann kritisiert, dass die Software gängige Sicherheitspraktiken wie eine gewöhnliche Zeritifikatssignierung nicht einhalte. Es sei enorm einfach gewesen, auf die Schnittstelle zur Anwenderprogrammierung zuzugreifen und Informationen einzusehen. Die CDU hatte sich zunächst damit verteidigt, das keine persönlichen Daten gesammelt würden – Wittmann konnte nachweisen, dass das nicht stimmt. Daraufhin entschuldigte die Partei sich für den Fall und erklärte, die Server vom Netz zu nehmen und potenziell Betroffene zu informieren.

ÖVP bestätigt Sicherheitslücke

Die ÖVP bestätigt dem STANDARD, dass ihre App betroffen ist. "Derzeit ist nicht davon auszugehen, dass es sich um Datendiebstahl handelt", heißt es in einer Stellungnahme. Die Volkspartei gibt an, nun den betroffenen Server vom Netz genommen zu haben, die Sicherheitslücke wurde geschlossen und ein Update eingespielt. Zudem wurden alle potentiell betroffenen App-Nutzer informiert und die Datenschutzbehörde informiert. (muz, 14.5.2021)