Die Staatsanwaltschaft sagt, ich habe die CDU nicht gehackt.
Das Strafverfahren gegen mich in der Sache “CDU Connect” wurde durch die Staatsanwaltschaft eingestellt. Sie vertritt die Auffassung, dass die Daten der CDU überhaupt nicht technisch geschützt waren — Ich die CDU also nicht im Sinne des Hackerparagrafen “gehackt” habe. Die EBrmittlungsakte gibt tiefe Einblicke — vor allem in die Digitalkompetenz der CDU.
Vor einigen Monaten habe ich eine Sicherheitslücke in der im Haustürwahlkampf der CDU eingesetzten App “CDU Connect” gefunden und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen eines Responsible Disclosure Verfahrens gemeldet. Die CDU zeigte mich daraufhin auf Basis von §202 a/b/c StGB, auch bekannt als “Hackerparagraf”, an.
Diese Anzeige war in der Form möglich, weil die CDU im Jahr 2007 den Hackerparagrafen als Regierungspartei gemeinsam mit der SPD — schon damals unter immensen Widerstand der Zivilgesellschaft — beschloss. Dieser stellt das “Ausspähen von Daten” und insbesondere das “Vorbereiten des Ausspähens und Abfangens von Daten” unter Strafe. Er berücksichtigt dabei in keiner Weise die Realität von Sicherheitsforscher*innen und international anerkannte Standards.
Im Folgenden möchte ich zuerst einmal den groben Ablauf der Anzeige auf Basis der 150 Seiten langen Akte rekonstruieren und auf die einige Absurditäten der ganzen Geschichte eingehen. Außerdem möchte ich euch an der Stelle empfehlen, meine beiden Blogposts zu den Sicherheitslücken vorab zu lesen:
- 12.05.2021 — Wenn die CDU ihren Wahlkampf digitalisiert…
- 13.05.2021 — Wenn die CSU und die Volkspartei digitalen Wahlkampf machen…
Falls euch die Details aus der Akte nicht interessieren, könnt ihr direkt zur Zusammenfassung springen.
Ich bitte vorab darum, die Qualität der Ausdruck-Kopie-Scans aus der Akte zu entschuldigen. Das mit der Digitalisierung, Ihr wisst schon.
Der Ablauf der Anzeige(n)
Die Union Betriebs GmbH und das BKA (4. Juni — 9. Juni)
Am 4. Juni zeigte die Syndikusanwältin der Union Betriebs GmbH (UBG) Barbara von Meer bei der Abteilung Cybercrime des Bundeskriminalamts mein Auffinden der Sicherheitslücken an. Sie beschreibt in der E-Mail, dass es sich um einen Angriff handle und dabei “Daten abgezogen wurden”.
Das die Meldung der Sicherheitslücken im Rahmen des Responsible Disclosure Verfahrens erfolgte, wird dabei in der kompletten E-Mail allerdings verschwiegen. Dafür wird ausführlich beschrieben, welche Daten abgeflossen seien.
Im weiteren Verlauf der E-Mail wird deutlich, dass irgendein Twitter-Account der CDU nach der Abschaltung der CDU-Connect-Server und Veröffentlichung der Sicherheitslücke mitgeteilt haben soll, dass die Daten aus der Applikation auf dem Onlinedienst Pastebin verfügbar gewesen seien.
Neben dem Tweet dieses Troll-Accounts wird allerdings auch die URL https://pastebin.com/cduconnect in der Anzeige angegeben. Auf dieser Website sollen die Daten für kurze Zeit abrufbar gewesen sein. Wie die CDU auf diese URL kam, wird weder aus dem Tweet noch der E-Mail klar.
Hinweis der Beschuldigten (Bs.): Meines Wissens nach unterstützt Pastebin keine konfigurierbaren Adressen für ihre Pastes. Die Adressen eines Pastes bestehen immer aus einer zufälligen 5–10 Zeichen langen Zeichenketten wie z.B. jTz8qr2V. Es ist also nahezu ausgeschlossen, dass es unter dieser Adresse jemals irgendwelche Inhalte gegeben hat.
Wie die URL und der oben genannte Tweet zusammenhängen wird aus der Meldung der CDU also nicht klar.
Am 9. Juni bekam die CDU von der Berliner Staatsanwaltschaft die Rückmeldung, dass das Bundeskriminalamt nicht für den Sachverhalt zuständig sei, allerdings u.U. eine Straftat nach § 202b StGB vorliege und die CDU das bei der zuständigen Polizeidienststelle zur Anzeige bringen solle.
Ob beim BKA noch weitere Ermittlungen angestellt wurden, geht aus den vorliegenden Dokumenten nicht hervor.
2. Das Cyber-LKA — “Strafantrag gegen Lilith Wittmann und Unbekannt” (1. Juli — 26. Juli; Seite 6–9 in der Akte)
Wie von der Staatsanwältin empfohlen, stellte Frau von Meer am 1. Juli Strafantrag gegen “Lilith Wittmann und Unbekannt”. Dieser Strafantrag entspricht — bis auf die Überschrift — inhaltlich vollständig der bereits der beim BKA gestellten Anzeige — diesmal aber per Post.
Daraufhin wurde durch das LKA Berlin offiziell eine Anzeige aufgenommen. In dieser wurde primär der Brief der CDU abgetippt. Aber auch andere wichtige Dinge wurden festgestellt. Wie z.B. dass die Beschuldigte keine Schusswaffe beim Hacken mitführte.
Nach einigen internen Abstimmungen zwischen LKA, BKA und Staatsanwaltschaft kontaktierte das LKA am 26.07 noch mal Frau von Meer (CDU) zwecks einiger Rückfragen. In diesem Gespräch stellte sich heraus, dass die CDU die Datensätze auf Pastebin doch niemals einsehen konnte. Die Website sei nämlich offline gewesen. (Welch eine Überraschung) Außerdem konnte nicht festgestellt werden, dass die Daten in der Underground Economy veräußert wurden.
3. Das Cyber-LKA ermittelt! (29. Juli — 5. August)
Hinweis der Bs: Haltet euch fest, jetzt folgen 8 Seiten knallharte Ermittlungsarbeit!
Nachdem die Staatsanwältin das Berliner Cyber-LKA-724 mit den Ermittlungen beauftragte, stellte dieses Folgendes fest:
3.1. Es gibt eine Anzeige von der CDU, die wurde natürlich noch mal abgetippt und leicht umformuliert.
3.2 Es wurde eine “Whois-Abfrage” für die durch die CDU gemeldeten IP-Adressen durchgeführt und deshalb die Inhaber dieser festgestellt.
Weil das alles zu diesem Zeitpunkt schon fast 3 Monate her war, wurde auf eine Bestandsdatenauskunft bei den Providern allerdings verzichtet.
3.3. Sie haben der Bs. ein Speakerinnen-Profil geschrieben.
3.4. Eine Zusammenfassung des CDU-Blogposts. Dieser wurde aber mit wichtigen Informationen ergänzt. z.B. was ein CURL-Script ist.
3.5. Eine Zusammenfassung des CSU-Blogposts. Wieder mit wichtigen Details, z.B. das die Beschuldigte in diesem einen Datensatz aus der CDU-Connect Datenbank darstellen würde.
Klarstellung der Bs.: Es handelt sich dabei um einen fiktiven Datensatz des Geschäftsführers der PXN Digital GmbH, den ich auf Basis einer OSINT-Ermittlung erstellte.
3.6. “Die Bs. äußerte auf nitter.net, dass die CDU-App wieder online und kaputt wie bisher sei”:
Klarstellung der Bs.: Ich habe das auf twitter.com veröffentlicht. Nitter.net stiehlt nur meinen wertvollen Content — Herr Kommissar, so machen Sie doch was!
3.7. Noch mal ein Hinweis darauf, dass man die Inhaber der IPs nicht ermitteln konnte.
3.8. Eine Zusammenfassung: Die Bs. habe Datensätze veröffentlicht und konnte somit auf diese zugreifen. Ein Verkauf der Datensätze konnte nicht festgestellt werden.
Und dann noch ein Schlusssatz:
Klarstellung der Bs.: Ich mache das nicht beruflich.
4. Polizei im Posteingang (3.8)
Aktenvermerk: “Nach Anschreiben via E-Mail; Veröffentlichung via Twitter — OSINT Recherche”
Es folgt eine Erklärung, dass die Bs. über die Mail getwittert, sich aber nicht bei der Polizei gemeldet habe. Man sie nicht in der Polizeidatenbank und auch nicht im Einwohnermeldesystem finden konnte.
Hinweis der Bs.: Dann folgt eine aufwendige OSINT-Recherche, die aus Gründen der Privatsphäre leider GEHEIM bleibt.
Parallel meldet sich nach der Pressemitteilung des CCCs “CCC meldet keine Sicherheitslücken mehr an CDU” Herr Hennewig auf Twitter zu Wort und spricht von einem Fehler:
5. Noch eine Anzeige (4.8)
Nach der Pressemitteilung des CCCs fingen Menschen an, die CDU-Infrastruktur genauer anzuschauen und erstellten dabei anscheinend eine Liste von möglichen Zielen in einem geteilten Dokument. Diese Liste ist der CDU in die Hände gefallen. Und was hat sie da gemacht? Natürlich, noch eine Anzeige aufgegeben.
Hinweis der Bs.: Ich freute mich über diese Maßnahmen der aktiven Sicherheitsforschung selbstverständlich. Bitte achtet dabei auf eure Opsec und die Referrer-Konfigurationen eurer Padserver.
Am 5. August endete der erste Aktenauszug mit dem Antrag meines Strafverteidigers auf Akteneinsicht. Ab hier beginnt der 2. Teil der Akte. Man sieht: Ab hier ging alles wirklich sehr schnell.
6. Kommunikation mit der CDU (06.08–09:05)
Das Cyber-LKA hatte nach der Medienberichterstattung einige Rückfragen an die CDU. Wie z. B. Daten gespeichert und ausgewertet werden. Darin wird durch das LKA unter anderem festgestellt, wie man die Apps herunterladen kann. Aber auch, dass die CDU die gesammelten Daten bisher nicht einmal ausgewertet habe. Ein völlig nutzloser Datensumpf also, der da geschaffen wurde.
Hinweis der Bs.: Hier hat sich meine Annahme aus dem ersten Blogpost bestätigt, dass die CDU nach ihrem Paradigma “Daten sind das neue ÖL” erstmal fleissig gesammelt hat, aber gar nicht über die Kompetenz zur Auswertung der Daten verfügt.
7. Ein technischer Beamte mit Sachverstand (06.08–10:16)
Parallel fertigte ein weiterer Beamte einen Vermerk an. Der beschreibt noch mal detailliert, wie die App funktioniert und stellt dann fest, dass die Bs. ja festgestellt habe, dass die Programmierschnittstelle überhaupt nicht technisch geschützt war.
Außerdem stellt er fest, dass Selbiges auch für den Adminzugriff, der in diesem Youtube-Video demonstriert wurde, auch ohne jegliche Zugangshürden möglich war.
Hinweis der Bs.: Ja, das bedeutet, weil es keine technische Zugangshürde gab, fällt das alles nicht unter den Hackerparagrafen. Das war eine Argumentation, die so auch von anderen bereits von z.B. RA Solmecke vertreten wurde.
8. Was ist ein “Responsible Disclosure”
An der Stelle folgen einige Seiten Berichte über die Medienberichte. Unter anderem wird auch “Responsible Disclosure” erklärt.
9. Die CDU zieht die Anzeige zurück (10.08)
Knapp eine Woche nach dem öffentlichen Bekanntwerden und den Entschuldigungstweets von Stefan Hennewig, zieht dieser den Strafantrag der CDU etwa eine Woche später zurück.
Es wird aber weiterhin an der Pastebin-Story festgehalten.
10. Noch eine Anzeige des Herrn Hennewig (17.08)
Weil Herr Hennewig sich ja bereits mit Anzeigen gegen Hacker*innen auskennt, meldete er am 17.08 gleich den nächsten Hack. Diesmal allerdings weil Menschen als Reaktion auf die Anzeige weitere Sicherheitslücken in der Connect-App gesucht, gefunden und in diesem Fall ohne Responsible Disclosure veröffentlicht haben.
11. Einstellung des Verfahrens (25.08)
In Folge der erdrückenden Beweislast — gegen die CDU — entschied sich die Staatsanwaltschaft, das Verfahren gegen die Bs. einzustellen. Der Rückzug des Strafantrags durch die CDU war eindeutig nicht der Grund für die Einstellung.
Herr Hennewig wurde mit der Mitteilung der Einstellung sofort über die detaillierte Begründung in Kenntnis gesetzt. Währenddessen bekam die Bs. nur eine Einstellungsmitteilung ohne Begründung und musste somit einige Wochen auf die Akteneinsicht warten.
#DankeCDU — Zusammengefasst
Die CDU hat mich also angezeigt. Weil ich sie per Responsible Disclosure Verfahren auf eine Lücke hinwies, die selbst von der Staatsanwaltschaft als so trivial bezeichnet wird, dass ihr Auffinden gar keine Überwindung von Sicherheitsmerkmalen darstellt. Die CDU vergaß dann leider aber in der Anzeige auf das Responsible-Disclosure-Verfahren hinzuweisen, sondern berichtet der Staatsanwaltschaft nur davon, das ich diese Lücke ausgenutzt hätte und Daten abgeflossen seien.
Außerdem zeigte die CDU einen Tweet eines Trolls an, zu dem sich vermutlich die CDU selbst eine Webadresse auf Pastebin ausdachte, die so gar nicht existieren konnte. Unter der es aber die Daten aus der Connect-App gegeben haben soll.
Und dann waren da noch Anzeigen wegen einer Liste von IT-Systemen der CDU und einer gefundenen und veröffentlichten Sicherheitslücke durch Team Smackback.
Die CDU liebt eben Anzeigen gegen Sicherheitsforscher*innen.
Die Staatsanwaltschaft und das Cyber-LKA ermittelten auf Basis dieser Angaben. Und natürlich wegen eines einzelnen veröffentlichten Datensatzes in meinem Blogpost, den es aber so in der Datenbank der CDU nie gegeben hat.
Die CDU zog den Strafantrag aufgrund des krassen medialen Drucks zurück. Die Staatsanwaltschaft stellte ihre Ermittlungen allerdings ein, weil aufgrund des nicht vorhandenen Zugriffsschutzes auf die Daten der CDU keine Straftat begangen wurde.
Das der Rückzug des Strafantrags in der Situation nicht alleine zur Einstellung des Verfahrens führen (sondern diese maximal begünstigen) würde, war allerdings zu jedem Zeitpunkt klar. Trotz besseren Wissens, suggerierte die das CDU in Ihrer Öffentlichkeitskommunikation mehrfach.
Da stellt sich natürlich wieder einmal die übliche Frage, die sich uns allen bei der CDU eigentlich ständig stellt: “Sind die wirklich so inkompetent? Oder ist ihnen einfach nur jeglicher persönlicher und gesellschaftlicher Schaden, den sie mit solchen Aktionen anrichten, egal?”. Also anscheinend schon, anders ist jedenfalls dieses Gesamtkunstwerk für mich einfach nicht mehr erklärbar.
Die CDU hat es geschafft, sich mit einer Anzeige, mit der es Frau von Meer mir “mal so richtig zeigen wollte”, einfach komplett in den eigenen Fuß zu schießen. Denn die Feststellung der Staatsanwaltschaft, dass die CDU ihre Daten überhaupt nicht geschützt hat, könnte für das anhängige DSGVO-Verfahren beim Berliner Datenschutz noch sehr spannend werden.
Für mich fühlt sich das nach der Art von Machtmissbrauch durch die CDU an, den ich genau so von ihr erwartet hätte. Menschen dadurch zu unterdrücken, dass man sie als zweitgrößte Partei Deutschlands einfach erst mal anzeigt. Denn eine Anzeige bedeutet in unserem Rechtssystem immer ein Risiko für weitere Repressionsmaßnahmen wie Hausdurchsuchungen, Festnahmen, …. Eine Anzeige bedeutet natürlich auch eine Menge verschwendete Zeit, Rechtsanwaltskosten und einfach nur Stress.
Und all das führt dazu, dass immer mehr Menschen in Deutschland den Prozess eines Responsible-Disclosure-Verfahrens scheuen werden. Aber all das war der CDU scheinbar egal. Anders kann ich mir jedenfalls nicht erklären, dass ich bis heute weder eine Zusage für die Erstattung der durch sie angefallenen Kosten noch eine ordentliche Entschuldigung bekam.
Das alles hat uns wieder einmal gezeigt, warum der Hacker-Paragraf und natürlich die CDU ganz dringend wegmüssen. Der Hacker-Paragraf, weil er gefährlicher Quatsch ist. Die CDU, weil sie sogar in einem “Spiel”, indem sie sich selbst die Regeln geschrieben hat, nicht gewinnen kann, weil sie die Regeln nicht versteht.
Jetzt müsste ich mich an der Stelle eigentlich noch über die Polizei beschweren — mach ich ja immer so 😉. Aber tatsächlich fand ich deren Umgang — im Vergleich zu normalerweise auf der Straße — diesmal ziemlich fair. Immerhin wurde mir weder die Wohnung durchsucht, noch wurde ich festgenommen. Ja die Ermittlungen wurden auch erst nach dem medialen Druck professionell, aber das schiebe ich mal auf den allgemeinen Personal/Kompetenzmangel, den wir ja in fast allen staatl. Institutionen haben. Der natürlich auch wieder politisch verursacht ist. Mit einer gut ausgebildeten Polizei hätte dieses Ermittlungsverfahren quasi schon mit den richtigen Fragen bei der Aufnahme der Anzeige beendet werden können.
Also versteht mich nicht falsch, ACAB gilt natürlich immer noch.
Auf die #Zivilgesellschaft ist Verlass
Nachdem ich auf Twitter veröffentlichte, dass die CDU mich anzeigte, fand ich mich innerhalb von Stunden in einer krassen Welle der Solidarität und finanzieller Unterstützung wieder. Dafür bin ich sehr dankbar.
Insbesondere bedanken möchte ich mich:
- beim CCC
- meinen Patreons und anderen Unterstützer*innen
- meinem großartigen Anwalt Carsten Hoenig
- zerforschung
Gleichzeitig weiß ich, dass ich ein unglaubliches Privileg habe. Das ich nur kurz twittern muss und Probleme mit der CDU lösen sich quasi von selbst. Das haben nicht alle Menschen. Umso wütender macht es mich, dass wir Gesetze wie den Hackerparagrafen, der mit Unterstützung der CDU, SPD, Grünen und FDP — trotz besseren Wissens — beschlossen wurde, noch immer haben.
Parallel zu diesem Blogpost, berichtet der Spiegel über das Ermittlungsverfahren.
Ich warte jetzt gespannt auf die Ergebnisse des DSGVO-Prüfverfahrens zum Fall CDU-Connect und hoffe, dass man dort die Ansicht der Staatsanwaltschaft bzgl. nicht Vorhandensein von Sicherheitsmaßnahmen teilt.
Wenn ihr meine zivilgesellschaftliche Arbeit zu Themen wie z.B. Verwaltungsdigitalisierung, Sicherheitsforschung und Open Data unterstützen wollt, dann könnt ihr das via Patreon tun. Außerdem könnt ihr mir auf Twitter folgen.
