Lilith Wittmann

Sie erhielt im Mai 2021 durch Aufdecken von Sicherheitslücken in der App Luca und der Wahlkampf-App CDU connect größere mediale Aufmerksamkeit;^[4] der Bundesgeschäftsführer der CDU Stefan Hennewig stellte im Juli Strafanzeige gegen Wittmann, nachdem sie sein Angebot nicht angenommen hatte, für seine Partei zu arbeiten, und sie auch nicht die geforderte Schweigeverpflichtung unterzeichnete.^[5] Er zeigte sie an, obwohl Wittmann vor der Veröffentlichung sowohl den App-Hersteller als auch die zuständigen Behörden informiert und die Sperrung der Wahlkampf-App abgewartet hatte. Ihr Vorgehen orientierte sich an dem Konzept der Responsible Disclosure, eine verantwortungsvolle Art der Offenlegung von Sicherheitslücken. Der Vorgang wurde als Blamage für die CDU eingeschätzt.^[6]

Der Chaos Computer Club (CCC) zog daraus die Konsequenz, „bei Schwachstellen auf Systemen der CDU zukünftig auf Meldung zu verzichten“, um künftig rechtliche Auseinandersetzungen zu vermeiden.^[6]

Später zog die CDU die Anzeige angeblich nach öffentlichem Druck zurück. Der Bundesgeschäftsführer der CDU Stefan Hennewig äußerte dazu, es sei im Zusammenhang mit der Sicherheitslücke der CDU-App auch zu einer Veröffentlichung personenbezogener Daten durch Dritte sowie zu öffentlichen Hinweisen auf die Sicherheitslücke vor der Information an die CDU gekommen. Mit beiden Vorgängen habe Wittmann allerdings nichts zu tun, daher sei die Nennung ihres Namens in der Anzeige ein Fehler gewesen, für den er sie um Entschuldigung bitte. Beim LKA habe er die Anzeige gegen sie zurückgezogen.^[7] Im August 2021 wurde das Verfahren eingestellt. Grund war nicht der Rückzug der Strafanzeige, sondern die Tatsache, dass die fraglichen Daten gar nicht geschützt und ohne Zugriffskontrolle öffentlich zugänglich waren. Damit war der sogenannte „Hackerparagraph“ nicht anwendbar: Öffentlich zugängliche Daten können nicht gehackt werden.^[8]

Im Juli 2021 entdeckte Wittmann eine Sicherheitslücke in der Videokonferenzsoftware Visavid, die auch an bayerischen Schulen eingesetzt wird. Trotz vorgeschalteten Warteraums war es möglich, ohne Freigabe an einer Konferenz teilzunehmen.^[9]

Ende September 2021 beschrieb Wittmann, dass bei der App ID Wallet unter Umständen Daten und Identitäten gestohlen werden könnten. Sie hatte gemeinsam mit Fabian Lüpke darauf hingewiesen, dass Angreifer nachweislich eine Subdomain des App-Herausgebers übernehmen könnten. Daraufhin wurde ID Wallet wenige Tage nach der Veröffentlichung wieder vom Markt genommen. Mit der App sollte unter anderem eine digitale Version des Führerscheins aufbewahrt werden können.^[10]

Im Juli 2023 veröffentlichte Wittmann eine vermeintliche Mieterauskunft unter dem Namen des CDU-Politikers Jens Spahn. Diese hatte sie über eine Schwachstelle in der Bonitätsprüfungs-Plattform Bonify erstellt. Nach der Veröffentlichung wurde der Dienst von Bonify vorübergehend abgeschaltet.^[11] Eine ähnliche Sicherheitslücke fand Wittmann im November 2024 im Bonitätsdienst "it's my data", auch hier diente Spahn als Demonstrationsobjekt.^[12]

Im Juni 2024 deckte Wittmann auf, dass teilweise Verbindungsdaten von Inhaftierten in deutschen Justizvollzugsanstalten ohne Passwortschutz abgerufen werden konnten.^[13] Ende 2024, auf dem 38. Chaos Communication Congress des Chaos Computer Club stellte Wittmann ihre vollständige Untersuchung in Bezug auf die Sicherheit von Telekommunikationssystemen und Verwaltungssoftwareprodukten in Justizvollzugsanstalten vor. Zudem veröffentlichte sie, dass sie zu Recherchezwecken Zugriff auf Gefangenenzeitungen genommen hat, welche sie unter knastarchiv.de verfügbar gemacht hat.^[14]

Im März 2025 veröffentlichte Wittman ihre Recherche zu Sicherheitslücken des Online-Casinounternehmens Merkur Group. Daten von hunderttausenden Nutzern waren über eine GraphQL-API öffentlich zugänglich, darunter Ausweiskopien und Schreiben der Arbeitsagentur. In der Folge stellte die Merkur Group die Spielfunktionen auf drei Online-Spielplattformen ab, obgleich die Sicherheitslücken in der Zwischenzeit geschlossen wurden.^[15] Wenige Tage später wurden weitere Online-Casinoplattformen geschlossen, die mit derselben Software betrieben wurden und in Deutschland mutmaßlich illegal betrieben wurden.^[16] Wittmann kündigte an, die 200 GB umfassenden ausgelesenen Datensätze zur Forschung über Glücksspielsucht zu verwenden.^[17]

Lilith Wittmann ist Mitglied der Gruppe zerforschung (ZER),^[18] die unter anderem die Sicherheit von Informationstechnischen Systemen untersucht.^[19]

Im August 2021 erstellte sie eine Webseite, auf der offene Programmierschnittstellen (APIs) von Behörden beschrieben werden.^[20] Die Intention dieses Projektes ist es, die Tatenlosigkeit von Behörden in Bezug auf Open Data zu kritisieren.^[21] Die Webseite wird um öffentlich frei zugängliche Git-Repositories unter dem Namen bundesAPI ergänzt.^[22]

Ende 2021 enttarnte sie den Bundesservice Telekommunikation als Legende des Bundesamtes für Verfassungsschutz (BfV).^[23] Nach eigenen Angaben möchte sie mit der Enttarnung von BfV-Legenden die Arbeit des Verfassungsschutzes behindern. Aufgrund ihrer politischen Einstellung lehnt sie die Arbeit des Verfassungsschutzes ab.^[24]

Im Jahr 2022 deckte sie Datenschutzmängel im deutschen Registerportal des Handelsregisters auf, das auch persönliche Daten wie Ausweiskopien oder Wohnadressen in Registereinträgen zum Abruf bereitstellte.^[25] Seit 1. August 2022 sind Auskünfte im Portal für jedermann kostenfrei und ohne Anmeldung möglich.^[26]

Wittmann ist Mitglied der Vereinigung der Verfolgten des Naziregimes – Bund der Antifaschistinnen und Antifaschisten (VVN-BdA) sowie der Roten Hilfe.^[24]

Leben

IT-Sicherheit

Aktivismus

Weblinks

Einzelnachweise

Wikiwand - on