FEHLER!

CDU erneut mit IT-Sicherheitsproblem konfrontiert

Die CDU Deutschland muss erneut ihre IT-Sicherheit unter die Lupe nehmen. Nachdem kürzlich Schwachstellen in der IT-Sicherheits-Lieferkette ausgenutzt wurden und Online-Aktivisten Abstimmungen manipulierten, ist nun ein klassisches Datenleck aufgetreten. Über 4800 Bewerber für Stellen im Konrad-Adenauer-Haus und bei CDU-Gliederungen hatten ihre Namen frei zugänglich, und die CDU war offensichtlich nicht informiert.

Das neu entdeckte Datenleck hat nichts mit krimineller Energie zu tun. Es unterscheidet sich von dem schwersten Angriff auf eine IT-Struktur, den eine politische Partei in Deutschland je erlebt hat, wie CDU-Chef Friedrich Merz den Angriff auf die IT-Infrastruktur des Konrad-Adenauer-Hauses bezeichnete. Beim aktuellen Datenleck handelt es sich jedoch um ein völlig internes Problem.

Die CDU und ihre Gliederungen nutzen für ihre Bewerbungsplattform das Content-Management-System Drupal. Die Konfiguration ermöglichte es, dass durch den Aufruf einer Funktion über die URL die Namen der Nutzer über eine Account-Listenfunktion eingesehen werden konnten. Insgesamt gab es 4870 Einträge. Dem Quellcode zufolge wurden für die jobs.cdu.de-Seite Templates genutzt, die von der Union Betriebs-GmbH, dem Dienstleister der CDU, bereitgestellt wurden.

Es waren keine zusätzlichen Informationen über die Bewerber öffentlich verfügbar, außer ihren Nach- und Vornamen. Es ist anzunehmen, dass allein die Tatsache, dass sich diese Personen für Jobs bei der CDU oder ihren Untergliederungen interessieren, bereits ein sensibles und besonders schützenswertes personenbezogenes Merkmal gemäß der Datenschutz-Grundverordnung (DSGVO) darstellt.

Der Pressesprecher der CDU hat bisher nicht auf eine Anfrage reagiert und um eine Stellungnahme bis zum Redaktionsschluss gebeten. Jedoch wurde die Jobplattform um 16:30 Uhr von der CDU komplett in den Wartungsmodus versetzt. Der Link zur Bewerberübersicht war jedoch schon mehrere Tage zuvor auf relevanten Webseiten im Umlauf.

Die Berliner Landesdatenschutzbeauftragte ist als Aufsichtsbehörde für den Datenschutz bei den Parteien zuständig. Inzwischen ist der Vorgang dort bekannt geworden. Gemäß den Aussagen der Personen, deren Daten im Leck enthalten sind, war die Self-Service-Plattform für CDU-Jobinteressierte seit etwa 2016 in Betrieb. Die ältesten Einträge scheinen aus dieser Zeit zu stammen. Auch aktuellere Einträge der letzten Monate waren auf der Plattform öffentlich zugänglich.

Ein Test zeigte, dass neue Registrierungen sofort in der Liste der Bewerberprofile erschienen, sobald die Nutzer ihre E-Mail-Adresse zur Bestätigung ihres Profils verwendet hatten. In der Vergangenheit hatte die CDU bereits Schwierigkeiten mit der IT-Sicherheit ihrer Online-Anwendungen erfahren. Nachdem die CDU eine Strafanzeige gegen die Berliner Aktivistin Lilith Wittmann gestellt hatte, die jedoch später eingestellt wurde, gab der Chaos Computer Club bekannt, dass er der CDU in Zukunft keine entdeckten Sicherheitslücken mehr melden werde.

Schlagwörter: CDU + Demokratische Union Deutschlands + Friedrich Merz

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 4. Juni 2024