Wenn die CSU und die Volkspartei digitalen Wahlkampf machen…

…oder auch “it was so nice I did it twice”.

Alle betroffenen Apps

Gestern veröffentlichte ich eine Sicherheitslücke, die mir Zugang zur Datensammlung der CDU-Wahlkampf-App “CDU-Connect” ermöglichte. Diese App hilft Helfer*innnen im Wahlkampf, indem sie Daten zu Haustürgesprächen, potenziellen Unterstützer*innen und Kritiker*innen erfassen und auswertet. ua. der Spiegel berichtete.

Eigentlich wollte ich nur noch rausfinden, wer die App gebaut hat. Das war dann nach “einmal auf Twitter fragen” relativ schnell geklärt.

Diese App wurde von der Agentur PXN GmbH entwickelt. Eine Agentur, die sich auf “Digital Campaign Strategies” spezialisiert und von CDU-Mitgliedern gegründet wurde. Die haben die App nicht nur an die CDU verkauft sondern auch and die CSU und die österreichische Volkspartei. Sie haben also quasi ein App-Framework für die konservativen Parteien Europas gebaut.

Sprich: Genau dieselbe App, genau derselbe Code, aber in anderer Farbe gab es auch für die CSU.

In beiden Apps waren glücklicherweise deutlich weniger Datensätze (bei der CSU etwa 1500 User) vorhanden. Ich konnte mit genau denselben API-Calls (CDU durch CSU ersetzen natürlich) genauso Daten abfragen wie gestern bei der CDU.

Außerdem konnte ich in dem Kontext noch eine weitere Sicherheitslücke ausnutzen, die es mir ermöglicht hat, auf das Admin-Backend der Applikation zuzugreifen, mich dort selbst zum Admin zu machen. Das wiederum erlaubte mir Daten einzusehen, E-Mails zu versenden, … Auf diese Sicherheitslücke wurde ich ursprünglich von Jan-Pieter Kalka hingewiesen, der sich auch bei der CDU Zugang zum Adminpanel verschaffen konnte.

Volkspartei Interface
CSU Übersetzungen
Volkspartei E-Mails

Ich habe trotz des gestrigen Verhaltes der CDU (u.a. öffentliche Behauptungen, die Haustürwahlkampfdaten seien anonym, …) auch diesen Vorfall wieder gemeldet.

Ablauf der Meldung:

13.05 09:30 — Meldung an das Cert Bund, PXN GmbH, Datenschutz, …

Die Liste der Behörden wird länger…

13.05 10:00 — die Apps sind offline

Das hat jetzt nichtsmehr mit Unfähigkeit zu tun, sondern das ist Vorsatz. Sowohl der Agentur als auch der CSU/Volkspartei muss bekannt gewesen sein, dass die Sicherheitslücken auch in diesen Apps bestanden.

Ich hoffe, dass das von den Datenschutzbehörden auch so geahndet wird.

Aber eigentlich steht genau dieses Verhalten auch sinnbildlich für die Digital-Politik der CDU: “Einfach weiter machen, obwohl alle wissen, das es so nicht geht”. Egal ob bei Uploadfitern, Staatstrojanern oder der Verwaltungsdigitalisierung.

Oder um es mit den Worten zweier CDU-Bundestagsabgeordneten zu sagen:

Wir bremsen also nicht nur unsere Innovationskraft und wirtschaftliche Zukunft, sondern verpassen auch die Chance, digital nach unsren Werten zu leben. — Thomas Heilmann, Nadine Schön CDU MDBS in Neustaat — Politik und Staat müssen sich ändern

Naja Nadine und Thomas, wenn das eure digitalen Werte sind, dann sehe ich da leider schwarz für jede Art von Zukunft.

Wir sollten auch nochmal darüber reden, wie der Datenschutz in Deutschland unsere Daten schützt.

Und auch der Blockchain-Prof. Dr. Dirk Pawlaszczyk kam im Jahr 2019 zu dem Schluss, das “Die Connect-App ist in Punkto Datensicherheit und Datenschutz als gut einzustufen.” sei (Seite 6ff).

PS. Welche*r ITler*in hat eigentlich so wenig Ehre, eine solche App zu bauen? Oder gar zu auditen? Jedenfalls haben sie wirklich die einfachsten Fehler nicht gefunden.

Danke an alle Menschen die mir Infos zugespielt haben, … 😉

disruption as a service 🏳️‍🌈

disruption as a service 🏳️‍🌈