Die CDU Deutschland muss erneut ihre IT-Sicherheit unter die Lupe nehmen. Nachdem k\u00fcrzlich Schwachstellen in der IT-Sicherheits-Lieferkette ausgenutzt wurden und Online-Aktivisten Abstimmungen manipulierten, ist nun ein klassisches Datenleck aufgetreten. \u00dcber 4800 Bewerber f\u00fcr Stellen im Konrad-Adenauer-Haus und bei CDU-Gliederungen hatten ihre Namen frei zug\u00e4nglich, und die CDU war offensichtlich nicht informiert.<\/p>\n
Das neu entdeckte Datenleck hat nichts mit krimineller Energie zu tun. Es unterscheidet sich von dem schwersten Angriff auf eine IT-Struktur, den eine politische Partei in Deutschland je erlebt hat, wie CDU-Chef Friedrich Merz den Angriff auf die IT-Infrastruktur des Konrad-Adenauer-Hauses bezeichnete. Beim aktuellen Datenleck handelt es sich jedoch um ein v\u00f6llig internes Problem.<\/p>\n
Die CDU und ihre Gliederungen nutzen f\u00fcr ihre Bewerbungsplattform das Content-Management-System Drupal. Die Konfiguration erm\u00f6glichte es, dass durch den Aufruf einer Funktion \u00fcber die URL die Namen der Nutzer \u00fcber eine Account-Listenfunktion eingesehen werden konnten. Insgesamt gab es 4870 Eintr\u00e4ge. Dem Quellcode zufolge wurden f\u00fcr die jobs.cdu.de-Seite Templates genutzt, die von der Union Betriebs-GmbH, dem Dienstleister der CDU, bereitgestellt wurden.<\/p>\n
Es waren keine zus\u00e4tzlichen Informationen \u00fcber die Bewerber \u00f6ffentlich verf\u00fcgbar, au\u00dfer ihren Nach- und Vornamen. Es ist anzunehmen, dass allein die Tatsache, dass sich diese Personen f\u00fcr Jobs bei der CDU oder ihren Untergliederungen interessieren, bereits ein sensibles und besonders sch\u00fctzenswertes personenbezogenes Merkmal gem\u00e4\u00df der Datenschutz-Grundverordnung (DSGVO) darstellt.<\/p>\n
Der Pressesprecher der CDU hat bisher nicht auf eine Anfrage reagiert und um eine Stellungnahme bis zum Redaktionsschluss gebeten. Jedoch wurde die Jobplattform um 16:30 Uhr von der CDU komplett in den Wartungsmodus versetzt. Der Link zur Bewerber\u00fcbersicht war jedoch schon mehrere Tage zuvor auf relevanten Webseiten im Umlauf.<\/p>\n
Die Berliner Landesdatenschutzbeauftragte ist als Aufsichtsbeh\u00f6rde f\u00fcr den Datenschutz bei den Parteien zust\u00e4ndig. Inzwischen ist der Vorgang dort bekannt geworden. Gem\u00e4\u00df den Aussagen der Personen, deren Daten im Leck enthalten sind, war die Self-Service-Plattform f\u00fcr CDU-Jobinteressierte seit etwa 2016 in Betrieb. Die \u00e4ltesten Eintr\u00e4ge scheinen aus dieser Zeit zu stammen. Auch aktuellere Eintr\u00e4ge der letzten Monate waren auf der Plattform \u00f6ffentlich zug\u00e4nglich.<\/p>\n
Ein Test zeigte, dass neue Registrierungen sofort in der Liste der Bewerberprofile erschienen, sobald die Nutzer ihre E-Mail-Adresse zur Best\u00e4tigung ihres Profils verwendet hatten. In der Vergangenheit hatte die CDU bereits Schwierigkeiten mit der IT-Sicherheit ihrer Online-Anwendungen erfahren. Nachdem die CDU eine Strafanzeige gegen die Berliner Aktivistin Lilith Wittmann gestellt hatte, die jedoch sp\u00e4ter eingestellt wurde, gab der Chaos Computer Club bekannt, dass er der CDU in Zukunft keine entdeckten Sicherheitsl\u00fccken mehr melden werde.<\/p>\n
Schlagw\u00f6rter: CDU + Demokratische Union Deutschlands + Friedrich Merz<\/p>\n","protected":false},"excerpt":{"rendered":"
Die CDU Deutschland muss erneut ihre IT-Sicherheit unter die Lupe nehmen. Nachdem k\u00fcrzlich Schwachstellen in der IT-Sicherheits-Lieferkette ausgenutzt wurden und Online-Aktivisten Abstimmungen manipulierten, ist nun ein klassisches Datenleck aufgetreten. \u00dcber 4800 Bewerber f\u00fcr Stellen im Konrad-Adenauer-Haus und bei CDU-Gliederungen hatten ihre Namen frei zug\u00e4nglich, und die CDU war offensichtlich nicht...<\/p>\n","protected":false},"author":4,"featured_media":8322,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-8323","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/8323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=8323"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/8323\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/8322"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=8323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=8323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=8323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}