Wahlkampf-App der ÖVP Wien gab Einblick in Nutzerdaten
Dieser Artikel ist älter als ein Jahr!
Die ÖVP Wien hatte vor den Wiener Gemeinderatswahlen im vergangenen Jahr eine Mitmach-App im Einsatz, die für den Haustürwahlkampf verwendet wurde. Bei dieser hat die Sicherheitsforscherin Lilith Wittmann Sicherheitslücken gefunden - und auch an die ÖVP Wien sowie die österreichische Datenschutzbehörde gemeldet.
Die App wurde von einer Agentur namens Pxn GmbH entwickelt, die sich auf digitale Kampagnenstrategien spezialisiert hat. Neben der ÖVP Wien kam sie auch bei der deutschen CDU sowie der der CSU zum Einsatz, wie Wittmann herausgefunden hat. Die Bundes-ÖVP hatte die App laut eigenen Angaben gegenüber der futurezone nicht in Verwendung.
Infos über Wahlkampfhelfer*innen
In der Haustürwahlkampf-App der CDU konnte die Sicherheitsforscherin auf hunderttausende Datensätze zugreifen, darunter persönliche Informationen von Wahlkampfhelfer*innen, heißt es in ihrem Blogeintrag zur Sicherheitslücke. Von den Wahlkampfhelfer*innen waren E-Mail-Adresse, Foto und Adresse zu finden. Auch die Gespräche, die mit Menschen vor der Haustüre geführt wurden, waren gespeichert, weil diese in der App dokumentiert wurden.
Laut der Sicherheitsforscherin hatten alle drei Apps - also die der CDU, der CSU und der ÖVP Wien - die selben Probleme. Wittmann sieht es laut netzpolitik.org-Interview auch kritisch, dass derartige Apps verwendet werden „sobald politische Meinungen oder demografische Informationen über die Personen erfasst werden“, mit denen die Wahlkampfhelfer*innen sprechen.
Mitmach-App seither offline
Wittmann hatte die Sicherheitslücken der ÖVP Wien gemeldet, jedoch keine Antwort erhalten. Die App wurde daraufhin allerdings offline genommen. „Sie ist weiterhin offline und momentan nicht im App Store verfügbar“, so Wittmann zur futurezone.
Die ÖVP Wien bestätigte, dass es bei der Mitmach-App zu einer „unbefugten Einsichtnahme“ gekommen sei. „Derzeit ist nicht davon auszugehen, dass es sich um Datendiebstahl handelt. Es gibt keine Hinweise darauf, dass Daten gestohlen, kopiert, verändert, gelöscht oder an Dritte weitergegeben wurden“, heißt es in einer Stellungnahme gegenüber der futurezone. Stattdessen gehe man von einem „einmaligen Zugriff durch eine Technik-Journalistin“ aus.
Man habe den Vorfall der Datenschutzbehörde gemeldet, heißt es weiters und alle potenziell betroffenen App-User*innen seien informiert worden. Auch Wittmann selbst bekam diese Information zugesandt und hat diese via Twitter veröffentlicht.
Weitere Lücken vorprogrammiert
Laut der ÖVP sei die „Sicherheitslücke entfernt“ und der „Server unverzüglich vom Netz genommen“ worden. Man habe ein Update eingespielt, heißt es weiter. Laut Wittmann wird das allerdings nicht reichen. Sie geht davon aus, dass die App noch mehr Sicherheitslücken hat und man diese deshalb „ganz abschalten“ müsse. „Da sind auch noch viele andere witzige Sicherheitslücken. Für ein richtiges Audit würde man eine ganze Menge mehr ausprobieren. Bis zu dem Punkt habe ich gar nicht weitergemacht, denn das ist nicht mein Job“, sagte sie gegenüber netzpolitik.org.
Kommentare