Bekannt wurde Lilith Wittmann, weil die CDU Strafanzeige gegen sie stellte, dabei hatte sie nur eine Sicherheitslücke gemeldet. Das neue Projekt der Softwareentwicklerin und IT-Sicherheitsexpertin: Vorhandene Datenschnittstellen besser dokumentieren, damit öffentliche Daten leichter nutzbar werden.
Lilith Wittmann, eine 26-jährige Softwareentwicklerin und IT-Sicherheitsexpertin aus Berlin, ist inzwischen recht bekannt. Sie deckte in der Wahlkampf-App der CDU "Connect 17" Sicherheitslücken auf. Nachdem sie den Entwicklern diese gemeldet hatte, um ihnen die Gelegenheit zu geben, die Lücken zu schließen, hat überraschenderweise der Bundesgeschäftsführer der CDU, Stefan Hennewig, Strafanzeige gestellt.
Der Chaos Computer Club hat danach mitgeteilt, er sehe sich nun gezwungen, künftig bei Schwachstellen in Systemen der CDU "auf Meldung zu verzichten", also die übliche "Responsible Disclosure"-Vorgehensweise zu verlassen.
"Bund DEV ist eine Art Persiflage und ein Wink mit dem Zaunpfahl: Hier, so sollte eine offizielle Seite eigentlich aussehen!"
Lilith Wittmanns Bekanntheit wird mit ihrem aktuellen Projekt Bund DEV nun wohl noch weiter steigen - und sie könnte womöglich erneut juristischen Ärger bekommen.
Leichter Zugriff auf öffentliche Daten
Die Bund-DEV-Website sieht auf den ersten Blick aus wie eine offizielle Behörden-Website, ist sie aber nicht. Das Ziel: Auf der Website sollen Programmierschnittstellen, sogenannte APIs, dokumentiert werden (API, englisch: application programming interface). Interessierte sollen leicht erfahren können, welche Schnittstellen es gibt und wie sie genutzt werden können. Ziel ist der einfache Zugriff auf Daten, die kommunale bis Bundesbehörden sowieso bereitstellen.
Eigentlich gibt es dafür das offizielles Portal govdata.de, das deutsche Verwaltungsdaten "transparent, offen und frei nutzbar" präsentieren will. Deutschlandfunk Nova Reporter Michael Gessat sagt: Das ist nur ziemlich mühsam.
Schnittstellen dokumentieren und nutzbar machen
Zum Beispiel werden für Forschungen aus der Soziologie und Politikwissenschaft Daten verwendet, die offizielle Stellen bereitstellen. Der aufwändigste Weg ist, die Daten per Hand zusammenzutragen. Schon etwas effizienter ist die Verwendung von zum Beispiel vorgefertigten Excel-Tabellen, die bereitgestellt werden. Am schnellsten geht es aber eben mit einer API, einer Schnittstelle. Mit ihrer Hilfe können Forscherinnen und andere Programmierer Daten direkt in ihre Anwendung einpflegen und dort verarbeiten.
"Das Problem ist, dass viele dieser APIs nicht dokumentiert sind", sagt Michael Gessat. Es gibt also keine Angaben über das Datenformat und die Abfrage-Syntax – es gibt also praktisch keine öffentlich verfügbare Gebrauchsanleitung. "Und ohne die Gebrauchsanleitung nützt die API praktisch nichts."
Die Idee beim neuen Portal Bund DEV von Lilith Wittmann ist nun, eine solche Gebrauchsanleitung bereitzustellen, damit die APIs für alle nutzbar werden. Mittlerweile hat Lilith Wittmann Mitstreiter gefunden, die beim Dokumentieren helfen wollen.
"Viele APIs sind nicht dokumentiert. Es gibt keine öffentlich verfügbare Gebrauchsanleitung. Und ohne die Gebrauchsanleitung nützt die API praktisch nichts."
Viele APIs gibt es schon, sie sind nicht geheim, und sie liefern Daten, die ebenfalls nicht geheim sind. Dass die Dokumentation bisher nicht optimal ist, ist von daher schwer nachvollziehbar. "Mir fällt als ansatzweise legitime Begründung eigentlich nur ein, dass massive Zugriffe manche APIs womöglich überfordern und lahmlegen würden", sagt Michael Gessat.
Lilith Wittmann könnte mit ihrem neuen Portal den Finger in die Wunde legen und die mangelnde Dokumentation hinweisen.