Mehr als 150 Journalistinnen und Journalisten berichten rund um die Uhr für Sie über das Geschehen in Deutschland und der Welt.
Zum journalistischen Leitbild von t-online.Hacker deckten Leck auf CDU muss Datenpanne bei Heiz-Kampagne eingestehen
Mit einer Online-Kampagne will die CDU gegen die Heizungspläne der Regierung Stimmung machen. Doch die Partei hat nicht mit einer Sicherheitslücke gerechnet – und nicht mit Hackern.
Die CDU räumt einen Datenschutzverstoß im Rahmen ihrer Kampagne "Fair Heizen" ein. Entsprechend hat sie Betroffene per Mail benachrichtigt. Auch die Berliner Datenschutzbehörde wurde von der Partei über den Vorfall informiert. Das Hackerkollektiv Anonymous hatte nach eigener Darstellung eine fünfstellige Zahl von E-Mail-Adressen für die Kampagne registriert – und konnte sehen, wer daran bereits teilnimmt.
Bei dem von der CDU eingeräumten Datenschutzverstoß geht es um die Sicherheitslücke, die Anonymous genutzt und aufgedeckt hatte. Die Lücke sei inzwischen geschlossen, so die Partei, es seien keine Datensätze gestohlen worden.
Strittig ist allerdings auch das eigentliche Ziel der Kampagne. Eine CDU-Sprecherin hatte bereits vor einigen Tagen auf Anfrage von t-online betont, es gehe nur darum, "zu zeigen, dass sehr viele Menschen im ganzen Land gegen die Heizungspläne der Ampelkoalition ihre Stimme erheben". Allerdings hatten die Datenschutzerklärungen und die Zusammenarbeit mit einer neuen Agentur sowie der Einsatz von Trackern Hinweise geliefert, dass die CDU das Ziel hat, personalisierte Profile von Nutzern zu erstellen. Die Zustimmungserklärung, wofür die Daten dienen, wurden nach Start der Kampagne noch mehrfach geändert.
Alte Datenlecks mit Adressen genutzt
Das Hackerkollektiv Anonymous zweifelte, dass es vordinglich um Inhalte gehe. "Die CDU poltert mit absurden Rechnungen gegen den Austausch von fossilen Heizungen zu Wärmepumpen und sucht mit emotionalisierenden Bildern traurig guckender alter weißer Männer mit Existenzangst nach Kontaktdaten, um diese dann an ihre Landesverbände weiterzugeben", heißt es in einem Blogbeitrag. Das Kollektiv sieht das als Teil des Versuchs, mit populistischem Auftreten der AfD Wähler abspenstig zu machen.
In dem Blogbeitrag erklären die Hacker auch, dass sie den Erfolg dieser Bemühungen bei der Kampagne messen wollten: Erreicht die CDU so den Rand? Mit einem kurzen Programmcode war es demnach möglich, E-Mail-Adressen vermeintlicher Unterstützer auf der Kampagnenseite massenhaft einzutragen und sogar eine Rückmeldung zu erhalten, ob die jeweilige Adresse registriert ist.
Anonymous nutzte dazu geleakte Datensätze der AfD und der Partei "Die Basis", die durch ihren Widerstand gegen die Corona-Maßnahmen bekannt geworden ist. Bei den hinter den Datensätzen stehenden Personen handelt es sich laut Anonymous um Menschen, die man "vorsichtig-freundlich als Mischung aus rechts-konservativ, Klimawandel-ignorierend, Fossil-offen und politisch sehr motiviert und aktivierbar bezeichnen" könne. Sie seien "also die ideale Zielgruppe für eine derartige Kampagne", wie sie die CDU nun unternimmt.
Von 15.000 Adressen keine darunter
Mehr als 2.000 E-Mail-Adressen stammten von einer Liste von Teilnehmern eines AfD-Parteitags 2016 in Stuttgart, die im selben Jahr auf der Seite Indymedia veröffentlicht wurde. Dazu kamen die E-Mail-Adressen von mehr als 12.000 Mitgliedern von "Die Basis". Niemand von diesen fast 15.000 Menschen habe sich der CDU-Kampagne angeschlossen, so die Analyse von Anonymous. Das sei ein Beleg, dass die CDU-Kampagne ungeeignet sei, Wähler mutmaßlich vom Rand zurückzugewinnen.
An alle Adressen ging dann offenbar eine Mail mit der Bitte um Bestätigung der persönlichen Informationen. Um den Verstoß gegen das Datenschutzgesetz noch sichtbarer zu machen, löste Anonymous solche Bestätigungsmails offenbar auch massenhaft an die Adresse der Berliner Datenschutzbehörde und an Journalisten aus. Der Autor dieses Artikels erhielt wärend einer parallelen Recherche zum Thema zwei Mal je 907 Mails von der CDU, ohne zunächst eine Erklärung zu haben.
Wir benötigen Ihre Einwilligung, um den von unserer Redaktion eingebundenen X-Inhalt anzuzeigen. Sie können diesen (und damit auch alle weiteren X-Inhalte auf t-online.de) mit einem Klick anzeigen lassen und auch wieder deaktivieren.
In ihrer Mitteilung schreibt die Datenschutzbeauftragte der CDU nun, für die Umsetzung der Kampagne habe die Partei IT-Fachfirmen einbinden müssen, und im System eines Dienstleisters habe es eine Lücke gegeben. Die Partei arbeitet für die Kampagne mit der Agentur CamBuildr zusammen, die als ein Schlüsselfaktor für den ersten Wahlsieg von Sebastian Kurz in Österreich gilt und bereits für die sächsische CDU gearbeitet hat.
CDU rät nach Vorfall zu Vorsicht
Die CDU empfiehlt allen Betroffenen nun, vorsichtshalber Passwörter im Zusammenhang mit der genutzten E-Mail-Adresse zu ändern – auch wenn überhaupt nicht ersichtlich ist, wie Hacker an Passwörter gelangt sein sollen. Außerdem warnt die Partei, dass an Adressen, die zur Registrierung genutzt wurden, nun Phishing-Mails geschickt werden könnten, als Versuch, etwa mit nachgemachten CDU-Seiten an weitere persönliche Informationen zu gelangen.
In ihrer Nachricht betont die CDU zugleich: Möglich gewesen sei nur die Abfrage bereits bei der Kampagne registrierter E-Mail-Adressen, nicht aber der Zugriff auf die Datenbank insgesamt. Man halte aber die Information, ob eine E-Mail-Adresse für die Kampagne verwendet wurde, für besonders schützenswert. Deshalb sei der Fehler in der Schnittstelle als Sicherheitslücke eingestuft und der Berliner Datenschutzbeauftragten gemeldet worden. Dort läuft bereits seit zwei Jahren ein Prüfverfahren wegen einer Sicherheitslücke in der Wahlkampf-App "CDU Connect".
- Eigene Recherchen
- Mail der Datenschutzzbeauftragten der CDU an Betroffene
- anonleaks.nl: Merz und die Mär vom großen Austausch (archiviert)