Lilith Wittmann
Lilith Wittmann (* 26. September 1995[1]) ist eine deutsche Softwareentwicklerin, IT-Sicherheitsexpertin und Aktivistin aus Berlin, die sich selbst als „Krawall-Influencerin“ bezeichnet.[2]
Leben
Wittmann brach nach eigenen Angaben mit 16 Jahren die Schule ab und absolvierte anschließend eine Berufsausbildung zur Fachinformatikerin für Anwendungsentwicklung.[2] Neben ihrer Arbeit studierte sie Politikwissenschaften, Soziologie und Verwaltungswissenschaften.[1]
IT-Sicherheit
Sie erhielt im Mai 2021 durch Aufdecken von Sicherheitslücken in der App Luca und der Wahlkampf-App CDU connect größere mediale Aufmerksamkeit;[3] der Bundesgeschäftsführer der CDU Stefan Hennewig stellte im Juli Strafanzeige gegen Wittmann, nachdem sie sein Angebot nicht angenommen hatte, für seine Partei zu arbeiten, und sie auch nicht die geforderte Schweigeverpflichtung unterzeichnete.[4] Er zeigte sie an, obwohl Wittmann vor der Veröffentlichung sowohl den App-Hersteller als auch die zuständigen Behörden informiert und die Sperrung der Wahlkampf-App abgewartet hatte. Ihr Vorgehen orientierte sich an dem Konzept der Responsible Disclosure, eine verantwortungsvolle Art der Offenlegung von Sicherheitslücken. Der Vorgang wurde als Blamage für die CDU eingeschätzt.[5]
Der Chaos Computer Club (CCC) zog daraus die Konsequenz, „bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten“, um künftig rechtliche Auseinandersetzungen zu vermeiden.[5]
Nach eigenen Angaben zog die CDU die Anzeige aufgrund öffentlichen Drucks zurück.[6] Ende August 2021 wurde das Verfahren eingestellt. Grund war nicht der Rückzug der Strafanzeige, sondern die Tatsache, dass die fraglichen Daten gar nicht geschützt und ohne Zugriffskontrolle öffentlich zugänglich waren. Damit ist der sogenannte „Hackerparagraph“ nicht anwendbar: Öffentlich zugängliche Daten können nicht gehackt werden.[7]
Im Juli 2021 entdeckte Wittmann eine Sicherheitslücke in der Videokonferenzsoftware Visavid, die auch an bayrischen Schulen eingesetzt wird. Trotz vorgeschalteten Warteraums war es möglich, ohne Freigabe an einer Konferenz teilzunehmen.[8]
Ende September 2021 beschrieb Wittmann, dass bei der App ID Wallet unter Umständen Daten und Identitäten gestohlen werden könnten. Sie hatte gemeinsam mit Fabian Lüpke darauf hingewiesen, dass Angreifer nachweislich eine Subdomain des App-Herausgebers übernehmen könnten. Daraufhin wurde ID Wallet wenige Tage nach der Veröffentlichung wieder vom Markt genommen. Mit der App kann unter anderem eine digitale Version des Führerscheins aufbewahrt werden.[9]
Lilith Wittmann ist Mitglied der Gruppe zerforschung,[10] die unter anderem die Sicherheit von Informationstechnischen Systemen untersucht.[11]
Aktivismus
Im August 2021 erstellte sie eine Webseite, auf der offene Programmierschnittstellen (APIs) von Behörden beschrieben werden.[12] Die Intention dieses Projektes ist es, die Tatenlosigkeit von Behörden in Bezug auf Open Data zu kritisieren.[13] Die Webseite wird um öffentlich frei zugängliche Git-Repositories unter dem Namen bundesAPI ergänzt.[14]
Bei Recherchen zur Behördenstruktur entdeckte sie Ende 2021 den Bundesservice Telekommunikation und wies öffentlichkeitswirksam auf diesen hin.[15]
Weblinks
Einzelnachweise
- Johannes Drosdowski: Lilith Wittmann über Wahlkampf-Apps: „Manche spielen Sudoku. Ich hacke“. In: Die Tageszeitung: taz. 25. September 2021, ISSN 0931-9085 (taz.de [abgerufen am 29. September 2021]).
- #30 Wahl, Hack und Krawall mit Lilith Wittman. Abgerufen am 17. Oktober 2021.
- CDU, CSU und Volkspartei: Wahlkampf-Apps gaben persönliche Daten preis. heise online, abgerufen am 17. Mai 2021.
Je mehr Digital, desto weniger Lockdown? In: Digitalistan. WDR, 17. März 2021, abgerufen am 17. Mai 2021. - Eva Wolfangel: Danke für den Hinweis, Anzeige ist raus. Die Zeit, 5. August 2021, abgerufen am 9. August 2021.
Lücken in der connect-App: Wenn eine Hackerin bei der CDU anruft. heise.de, abgerufen am 13. Oktober 2021. - Simon Hurtz: CDU Connect: Erst die Anzeige, dann die Blamage. Süddeutsche Zeitung, abgerufen am 9. August 2021.
- CDU zieht Anzeige gegen IT-Sicherheitsforscherin zurück. 4. August 2021, abgerufen am 9. August 2021.
Markus Reuter: CDU Connect: Berliner LKA ermittelt gegen IT-Expertin, die Sicherheitslücken in Partei-App fand. Abgerufen am 18. August 2021. - Markus Reuter: CDU Connect: Ermittlungsverfahren gegen Sicherheitsforscherin Lilith Wittmann eingestellt. netzpolitik.org, abgerufen am 17. September 2021.
- Unsichere Corona-Software: Start-ups haben andere Ziele als das Gemeinwohl. Der Spiegel, abgerufen am 9. August 2021.
- Patrick Beuth: Verantwortungslos und gefährlich, In: Der Spiegel, 12. Oktober 2021, abgerufen am 12. Oktober 2021.
Führerschein am Smartphone gefloppt: Digitale Kopie bereits wieder eingestellt. Chip, abgerufen am 5. Oktober 2021. - Forscher*innen. zerforschung, 30. September 2020, abgerufen am 28. Dezember 2021 (deutsch).
- Jakob von Lindern: Hacken für das Gute. In: Zeit Campus. Nr. 5/2021. Zeitverlag, 28. September 2021 (zeit.de).
- Sebastian Grüner: Aktivistin gründet fingierte Bundesstelle für Open Data. golem.de, 9. August 2021, abgerufen am 9. August 2021.
- Lilith Wittmann: Wenn die Zivilgesellschaft bei Open Data hilft. 8. August 2021, abgerufen am 9. August 2021.
- Bundesstelle für Open Data, auf github.com
- Karteileiche? Geheimdienst? Hackerin entdeckt zufällig eine mysteriöse Behörde – und niemand will sich dazu äußern. Abgerufen am 20. Januar 2022.