taz.de

# taz.de -- Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“

> Die Sicherheitsexpertin Lilith Wittmann hat in der CDU-Wahlkampf-App
> Schwachstellen gefunden. Ein Gespräch über Hacker*innen-Ehre.

(IMG) Bild: Wenn sie nicht gerade hackt, ist Lilith Wittmann gerne draußen. Hier sitzt sie auf dem Dach der taz

taz am wochenende: Lilith, am Sonntag hast du Geburtstag. Was wünschst du
dir?

Lilith Wittmann: Am liebsten hätte ich eine rot-rot-grüne Regierung. Das
wird zwar immer unwahrscheinlicher, aber die Hoffnung stirbt zuletzt. Dann
wären da wenigstens zwei Parteien, mit denen ich leben könnte.

Eine Regierung zum Geburtstag, das ist sehr politisch. Vor einigen Monaten
hast du für Aufsehen gesorgt, weil du die Wahlkampf-App der CDU untersucht
und dabei Sicherheitslücken gefunden hast. Danach wurdest du sogar von der
CDU angezeigt. Hast du auch bei den Linken und den Grünen nach
Sicherheitslücken in ihren Wahlkampf-Apps gesucht?

Die Wahlkampf-App der Grünen habe ich mir kurz nach der CDU angeschaut. Sie
ist zwar technisch nicht so gut, erfasst aber keine personenbezogenen
Daten. Sie ist schon okay.

Die CDU hingegen hat viele personenbezogene Daten erfasst, unter anderem
sogar politische Präferenzen der Leute, die sie an der Haustür besucht
haben, und Protokolle ihrer Aussagen. Was findest du daran besonders
problematisch?

Wähler*innendaten an der Haustür zu erfassen ist eine abstruse, eine
gefährliche Idee. Wenn man in einer großen Stadt wie Berlin einfach mal so
Daten zu ein paar Hunderttausend Haushalten hat, kann man damit wunderschön
Wahlbezirke neu schneiden, sodass die CDU sie möglichst alle gewinnt.
Gerrymandering nennt man das in den USA. Da wird ständig an den Wahlkreisen
rumgeschnitten.

Die Gefahr sind also nicht die Daten an sich, sondern deren Nutzung,
besonders auf politischer Ebene.

Die Daten sind auch generell, ohne diese Nutzung, hochsensibel. Besonders
wenn sie an der Haustür erfasst werden, ohne dass ich weiß, dass sie in
eine Datenbank kommen. Aber Letzteres ist natürlich auch ein Problem. In
einem Kreis war zum Beispiel erfasst worden, dass eine bestimmte Person
sich gerne ein Grundstück im Neubaugebiet sichern würde. Das geht niemanden
etwas an. In dem Kreis gab es eine besonders große Datensammlung. Das ist
beängstigend und verstörend.

Andererseits geben wir unsere Daten ja ohnehin ganz bereitwillig an
unterschiedliche soziale Medien, auf denen uns die Parteien dann gezielt
mit ihrer Wahlwerbung attackieren können.

Aber dort entscheide ich selber, ob ich meine Daten hergebe. Und es gibt
auch immer noch eine ganze Menge Leute, die sind einfach nicht in sozialen
Medien.

Der eigentliche Skandal jedoch war, dass diese Daten nicht mal gut
geschützt waren. Und genau darauf bist du gestoßen. Wie bist du überhaupt
darauf gekommen, dort nach Sicherheitslücken zu suchen?

Meistens lese oder sehe ich etwas in den sozialen Medien, das mir komisch
vorkommt. Auf die CDU-connect-App bin ich in Youtube-Videos gestoßen. Eine
App für den Haustürwahlkampf? Das schaue ich mir mal an. Normalerweise lade
ich mir die App dann erst mal runter, so wie jede*r andere das auch machen
würde. Der einzige Unterschied ist: Während der Nutzung der App überwache
ich an meinem Laptop, was die so macht.

Du tippst ganz normal auf deinem Handy, und das, was im System passiert,
wenn du einzelne Menüpunkte anwählst, siehst du dann auf deinem Laptop?

Genau. Dort beobachte ich dann, wie die App arbeitet. Es geht dabei vor
allem darum, wie die App mit dem Server kommuniziert. Dafür muss ich
manchmal zuerst noch einige Sicherheitsmechanismen aushebeln, aber in der
Regel kann ich der App relativ schnell bei der Kommunikation mit dem Server
des Anbieters zuschauen.

Was musstest du machen, um dann an die personenbezogenen Daten zu kommen?

Ich habe herausgefunden, wie die Anfrage an den Server aussieht, eine ganz
einfache Webadresse mit ein paar Zusätzen, mit denen man sich
authentifiziert. Wenn man dann an diese Adresse noch kleine Zusätze
ranschreibt, hatte man alles, was man von der Datenbank wollte.

Wenn du Apps untersuchst, sitzt du dann nachts wie eine Klischee-Hackerin
im Hoodie vor deinem riesigen Rechner und trinkst Energydrinks?

Selten. In der Regel mache ich das in der Mittagspause oder ich setze mich
abends in den Park. Oder es ist ein Samstagmorgen und ich sitze im Café.
Letztens haben Freund*innen und ich uns eine App bei einem kleinen
Sommerfest im Park vorgenommen.

Warum machst du das eigentlich?

Responsible Disclosure macht mir Spaß. Also das Aufspüren von
Sicherheitslücken, die man danach dem Unternehmen meldet, damit es sich
darum kümmert. Menschen wollen Probleme lösen. Manche spielen deswegen
Sudoku. Ich hacke. Während Corona hat es noch mehr zugenommen, weil ich
nicht mehr zum Bouldern konnte. Normalerweise löse ich nämlich dreimal die
Woche Probleme an der Wand. Ich bin ein Draußenmensch und eine Hackerin.
Auf das Hacken konnte ich also als Ersatzhandlung ausweichen. Responsible
Disclosure ist aber auch gesellschaftlich wichtig.

Obwohl es die CDU betrifft, der du kritisch gegenüber eingestellt bist?

Auch dann. Klar habe ich mich im ersten Moment gefreut über die schiere
Datenmenge. Damit könnte man krassen Scheiß machen!

Hast du aber nicht.

Nein, ich habe den Großteil der Daten nicht mal abgerufen. Ich halte mich
an den klassischen Hacker*innen-Grundsatz: Öffentliche Daten nützen,
private Daten schützen. Für mich war also völlig klar, was ich jetzt mache:
Ich dokumentiere die Lücke, schreibe eine E-Mail an das BSI und versuche
den Hersteller, also die CDU, zu kontaktieren. Ich habe nie darüber
nachgedacht, die Daten zu nutzen.

Vor Kurzem wurde das digitale Leben von Attila Hildmann veröffentlicht.
2016 diverse Daten von Menschen, die den AfD-Parteitag besucht haben. Wo
verläuft da die Grenze? Was ist erlaubt und was nicht?

Die Frage ist, ob ein öffentliches Interesse an diesen Daten besteht. Das
sehe ich bei Attila Hildmann schon.

Und bei der AfD?

Ich glaube, aus antifaschistischer Perspektive ist es okay, diese Leute in
bestimmten Fällen zu outen. Bei der CDU hätte man natürlich genauso
argumentieren können. Trotzdem war für mich relativ klar, dass ich das in
dieser Situation nicht machen werde und dass es sich für mich sowohl
politisch als auch persönlich besser anfühlt zu sagen: Ich bleibe bei
meinem Grundsatz. Und um ehrlich zu sein, ich wüsste nicht, wie ich
reagieren würde, wenn es eine AfD-App gewesen wäre. Es ist für mich als
Antifaschistin ein Dilemma, vielleicht hätte ich anders entschieden.

Du hast nach der CDU-Anzeige gegen dich [1][auf Twitter geschrieben], dass
man die Daten der CDU vielleicht „mal befreien“ müsste, damit „sie es
endlich lernen“. Das klang wütend.

Ich war an dem Tag sehr frustriert, weil die App wieder online gegangen
ist, ohne dass alle Sicherheitslücken geschlossen worden sind. Ich wollte
der CDU damit nur zeigen: Ich habe euch noch im Blick, bitte kümmert euch
endlich. Ich habe auch nicht mehr nach weiteren Lücken gesucht. Ich bin
durch mit der CDU.

[2][Auch der CCC, also der Chaos Computer Club, hat bekanntgegeben, bei der
CDU kein Responsible Disclosure mehr zu betreiben]. Aber die Daten der
Menschen sind doch weiterhin in Gefahr – und sie können nichts für das
Verhalten der CDU.

Die CDU hat gezeigt, dass sie kein Interesse hat an zivilgesellschaftlicher
Sicherheitsforschung. Die Partei hat mich angezeigt, um ihre Ruhe zu haben.
Sie glaubt, dass das der richtige Weg ist. Das bedeutet aber im
Umkehrschluss, ich kann Sicherheitslücken in ihren Systemen gar nicht mehr
suchen und melden, sonst habe ich sofort wieder die Staatsanwaltschaft am
Hals.

[3][Die Ermittlungen wurden inzwischen eingestellt.] Auf welchem Vorwurf
basierte die Anzeige eigentlich?

Auf dem sogenannten [4][Hacker-Paragraf 202 StGB]. Der verbietet seit 2007
unter anderem, Sicherheitshürden durch das Hacken von Passwörtern oder aber
durch selbstgeschriebene Programme zu überwinden.

Das hast du ja aber nicht gemacht.

Die Staatsanwältin hat das Verfahren eingestellt, weil sie zu der Meinung
gelangt ist, dass ich keine Sicherheitshürden überwunden habe – weil die
Daten eben nicht geschützt wurden und ich einfach nur ein technisches
Problem gefunden habe. Mein Anwalt und ich waren trotzdem überrascht, denn
es gab in Deutschland schon Fälle, in denen ganz anders entschieden wurde.
Der Hacker-Paragraf ist ein totaler Gummiparagraf.

Das bedeutet, er tritt sowohl in Kraft, wenn man auf eine Lücke aufmerksam
macht, als auch wenn man über diese Lücke Daten für kriminelle Zwecke
absaugt.

Deswegen besitzen wir in Deutschland keine Kultur der Responsible
Disclosure. In anderen Ländern gibt es sogar Belohnungen, wenn man
Sicherheitslücken meldet. Da bekommt man manchmal 5.000 Euro. In
Deutschland gibt es das nicht. In den Niederlanden gibt es T-Shirts, die
man bekommt, auf denen dann steht, dass man eine Sicherheitslücke gefunden
hat. Das finde ich niedlich. Wäre vielleicht auch für hier etwas. Aber in
Deutschland ist nicht mal das Rechtssystem auf Responsible Disclosure
ausgelegt. Potenziell begehe ich immer, wenn ich eine Sicherheitslücke
finde, eine Straftat. Ob das dann tatsächlich so angesehen wird, hängt aber
vom technischen Verständnis und der Interpretation der Staatsanwaltschaft
ab.

Welche Vorkehrungen treffen Hacker*innen, um möglichst wenige dieser
Schwellen zur Kriminalität zu überschreiten?

Ich schaue nur so tief in Sachen rein, bis ich weiß, dass es eine Lücke
gibt. Ich speicher so gut es geht keine Daten und dokumentiere jeden
Schritt im Detail. Außerdem mache ich das alles nicht anonym. Ich
verschleiere meine Identität nicht. Wenn ich mir bei einer App einen
Account erstellen muss, gebe ich teilweise sogar meinen echten Namen an,
nur um sicherzugehen. Das mache ich auch, wenn ich in andere Systeme
reinschaue, um klarzustellen: Ich will euch nicht kaputt machen, ich will
mich einfach etwas umsehen.

Fällst du damit nicht gelegentlich auf, bevor du wirklich loslegen kannst?

Bei der Suche nach Sicherheitslücken nicht, aber ich analysiere auch sehr
gerne staatliche Infrastrukturen. Manche Behörden kennen mich deswegen auch
schon und schreiben mir dann eine nette Mail.

Erinnerst du dich noch daran, was du als Erstes gehackt hast?

Das war eine total dumme Aktion: Ich war noch gut minderjährig und wir
haben eine Website eines Pommesherstellers gehackt. Zu dem Zeitpunkt hatten
sie dort eine Kampagne: „Pommes im Ofen – Zeit für Fritz“. In meinem Umfeld
gab es einen Fritz und wir haben überall auf der Seite den Text geändert:
„Fritz im Ofen – Zeit für Pommes“. Es ist total lächerlich und unpolitisch,
aber es hat uns irre Spaß gemacht. Heute würde ich es aber trotzdem nicht
mehr machen.

Mal politisch, mal albern, das ist auch der jährliche Kongress des Chaos
Computer Clubs, der größte Hacker*innen-Kongress der Welt. Wegen Corona hat
er 2020 nur digital stattgefunden. Vielleicht auch dieses Jahr. Wie schwer
fällt dir diese Trennung von der Szene?

Natürlich ist das super traurig und ich habe Angst, dass irgendwann
Strukturen kaputt gehen. Aber auf regionaler Ebene versuchen wir, uns
gelegentlich zu sehen, egal ob Menschen aus dem CCC oder andere
Hacker*innen. Ich bin in der Berliner Szene aber nicht so sehr verankert,
weil ich bis zur Pandemie in Hamburg gewohnt habe. Und irgendwann habe ich
mich auch einfach gefragt, ob so viel Vereinsleben eigentlich sein muss. Es
hat ja doch auch immer etwas von Karnickelzüchterverein. Es ist die Frage,
die viele Deutsche vermutlich kennen: Wie viel Verein kann ich in meiner
Freizeit ertragen?

Und deine Freizeit ist ohnehin eher knapp, oder? Wenn du nicht gerade
hackst, bist du trotzdem aktivistisch aktiv. Du warst auch zwei Monate lang
im Hambi auf einem Baum.

Ich war zweimal einen Monat dort, weil mich die Bilder zu Anfang der
Räumung so wütend gemacht haben, dass ich nicht anders konnte. Klar bin ich
Aktivistin, denn wir haben Probleme. Wer in unserer Generation sieht das
nicht? Natürlich ist es für mich keine Frage, ob es okay ist, diesen Wald
zu besetzen und es RWE möglichst hart zu machen. Ich bin zwar nicht die
Person, die auf Twitter akademische Diskurse über den Klimawandel führen
kann, aber Klimaschutz ist mir unglaublich wichtig. Dafür gehe ich auf die
Straße oder auf den Baum, dafür kommentiere ich im Livestream den
Polizeieinsatz. Das war einfach eine Sache, die ich machen musste.

Sind deine Eltern stolz auf dich, weil du so bestimmt versuchst, die Welt
zu verändern?

Ich habe keinen Kontakt zu meinen Eltern. Aber mein Freundeskreis findet es
natürlich gut. Allerdings sind das auch alles Zecken.

Hackst du eigentlich auch beruflich?

Ich programmiere nicht sehr viel aktiv, sondern baue in der Regel
freiberuflich Entwickler*innen-Teams auf. Ich bin eine Engineering
Managerin. Meistens wenden sich Konzerne an mich, weil sie einen neuen
Bereich aufbauen wollen. Und ich baue ihnen dann das Team. Früher habe ich
auch beruflich Codes geschrieben, aber das mache ich jetzt nicht mehr, weil
ich gemerkt habe, dass es mir tatsächlich besser geht, wenn ich mehr mit
Menschen zu tun habe. Seitdem bastel ich auch wieder viel lieber in meiner
Freizeit an Codes und hacke. Das hat wieder einen großen kreativen Aspekt
für mich bekommen. Und ich muss nichts mehr programmieren, das halt
irgendwie gerade in das System Kapitalismus passt.

Trotzdem bildest du Teams für große Konzerne.

Ja, aber die Menschen müssen dabei natürlich immer d’accord sein mit dem,
was der Auftraggeber macht und wie er mit Menschen umgeht. Ich leite das
Team dann, bis es mir wieder reicht mit dem Auftraggeber. Das dauert
meistens zwischen fünf und sieben Monate. Ansonsten wäre ich emotional zu
involviert und würde Krawall machen und anecken.

Dafür, dass du noch so jung bist, hast du schon in ganz schön vielen
Bereichen gearbeitet. Wie kommt ’s?

Mit 16 habe ich die Schule abgebrochen und eine Ausbildung als
Softwareentwicklerin gemacht. Mit 18 brauchte ich Kohle und habe angefangen
zu freelancen. Und gemerkt: Da gibt es richtig viel Geld! Später habe ich
ein eigenes kleines Unternehmen aufgebaut mit 20 Mitarbeitenden. Wir haben
nur Aufträge angenommen, die wir moralisch vertretbar fanden. Bis ich die
Hälfte der Firma verkauft habe, da hat es sich geändert. Für mich war dann
sehr schnell klar, dass ich das nicht mehr mitmache, und ich bin wieder
Freelancerin geworden. Es ist nicht mein Traumjob, aber ich bin super
privilegiert, dass ich überhaupt so einen Job habe.

War die Zeit, in der du die Anzeige von der CDU bekommen hast, trotzdem
besonders anstrengend für dich?

Sagen wir so: Ich habe nicht das erste Mal in meinem Leben Post von der
Polizei bekommen. Aber ich wurde tatsächlich noch nie wegen Hacking
angezeigt. Bis die CDU kam.

25 Sep 2021

## LINKS

(DIR) [1] https://twitter.com/LilithWittmann/status/1415640704899076103
(DIR) [2] https://www.ccc.de/de/updates/2021/ccc-meldet-keine-sicherheitslucken-mehr-an-cdu
(DIR) [3] /Moeglicher-Verstoss-gegen-Datenschutz/!5802205
(DIR) [4] https://dejure.org/gesetze/StGB/202.html

## AUTOREN

(DIR) Johannes Drosdowski

## TAGS

(DIR) IG
(DIR) Wahlkampf
(DIR) Datenschutz
(DIR) Schwerpunkt Bundestagswahl 2025
(DIR) Schwerpunkt Überwachung
(DIR) Schwerpunkt Chaos Computer Club
(DIR) GNS
(DIR) Daten
(DIR) Hacker
(DIR) Das Leben einer Frau
(DIR) Software
(DIR) CCC-Kongress
(DIR) Schwerpunkt Flucht
(DIR) Schwerpunkt Überwachung
(DIR) Schwerpunkt Überwachung
(DIR) Schwerpunkt Bundestagswahl 2025
(DIR) Schwerpunkt Überwachung

## ARTIKEL ZUM THEMA

(DIR) Hackerin über die Branche: „Ich versuche, eine Frau als Vorgesetzte zu haben“

Lilith Wittmann deckt Sicherheitslücken bei Behörden und Firmen auf. Ein
Gespräch über Spaß beim Hacken, ihre Motivation und Männer in IT-Berufen.

(DIR) Geplante Reform des Hacker-Paragrafen: Sicherheit für gutwillige Hacker

Wer ohne Auftrag in fremden Computersystemen Schwächen sucht, soll nicht
mehr bestraft werden. Das sieht ein Gesetzentwurf vor, der der taz
vorliegt.

(DIR) Kongress des Chaos Computer Clubs: Der CCC im Hier und Jetzt

Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet.
Zentral diskutiert wird die Frage der Freiheit.

(DIR) Seenotrettung per Satellit: Leben retten mit Daten

Im Mittelmeer ertrinken jedes Jahr hunderte Menschen auf der Flucht. Eine
Gruppe von Wissenschaftler*innen möchte das ändern.

(DIR) IT-Experte wird angezeigt: Kein Dankeschön, sondern Polizei

Erneut wird ein IT-Experte angezeigt, nachdem er auf eine Sicherheitslücke
hinwies. Datenträger wurden beschlagnahmt, der CCC verurteilt das Vorgehen.

(DIR) Möglicher Verstoß gegen Datenschutz: CDU-Wahl-App doch nicht gehackt

Weil die Daten frei abrufbar waren, wurden Ermittlungen gegen IT-Expertin
Wittmann eingestellt. Hat die CDU mit ihrer App gegen Datenschutz
verstoßen?

(DIR) Digitalisierungspläne der Union: Das Upgrade hängt

Mit einem 25-Punkte-Plan will die CDU die Digitalisierung in Deutschland
retten. Oder besser, die vergangenen 16 Jahre wettmachen.

(DIR) Verstoß von „CDUconnect“ gegen DSGVO: Prüfverfahren gegen CDU-App

Die Partei erhob in ihrer Wahlkampf-App Daten tausender Menschen. Nun prüft
die Berliner Datenschutzbeauftragte einen Verstoß gegen die DSGVO.