08.09.2017 CCC legt Sicherheitslücken offen

Wahlsoftware ist angreifbar

Von: Robert Schindler

Die vom CCC dokumentierten Angriffsmöglichkeiten auf die Wahlauswertungssoftware könnten das Vertrauen in den demokratischen Prozess erschüttern >>>

Gott sei Dank wählen wir in Deutschland noch analog, mit Stift und Papier.

Gott sei Dank wählen wir in Deutschland noch analog, mit Stift und Papier. Doch danach kommt Software zum Einsatz.

Gott sei Dank wählen wir in Deutschland noch analog, mit Stift und Papier. Das muss so bleiben! Denn so lassen sich wenigstens im Zweifelsfall Stimmzettel neu auszählen. Ob dies im Fall des Falles dann wirklich gemacht wird, hängt allerdings auch von den Mühlen der Demokratie ab.

Bei digitalen Wahlcomputern, die beispielsweise in den Niederlanden zum Einsatz kommen, ist laut Fachleuten hingegen die Gefahr einer echten Wahlmanipulation gegeben. In Deutschland kommt am Wahlabend Software erst nach dem papierbasierten Urnengang der Bürger zum Einsatz: Bei der Übermittlung des Wahlergebnisses an die Wahlleiter. Die Software kann bereits zur Erfassung der Auszählungsergebnisse in Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den Landeswahlleiter zu übermitteln. Auch dort kommt in einigen Bundesländern erneut „PC-Wahl“ zum Einsatz.

Der Chaos Computer Club (CCC) hat nun gravierende Mängel in einer Software mit einem mehr als zwanzig Seiten umfassenden Bericht offengelegt, mit der in vielen Kommunen die Wahlergebnisse der Bundestagswahl zusammengetragen und an den Landeswahlleiter übermittelt werden. Im Programm „PC Wahl“ des Anbieters Vote IT gibt es etliche Sicherheitslücken. So sei die Übertragung der korrekten Wahldaten aus den Gemeinden an den Wahlleiter weder durch eine Verschlüsselung noch durch eine wirksame Authentifizierung abgesichert gewesen.

Die Analyse ergab eine Vielzahl von Schwachstellen und mehrere praktikable Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Ob und wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – immerhin wurden diese nun teilweise als Reaktion auf die IT-Schwachstellen verändert: Im Bundesland Hessen wird nun vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels „PC-Wahl“ parallel auf unabhängigem Weg geprüft wird.

Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt, so der CCC.

Ein niederschmetterndes Ergebnis der Analyse sei, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen, merkt der CCC an.

„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien“, so Linus Neumann, an der Analyse beteiligter Sprecher des CCC. „Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine Anwendung finden.“

Der fehlerhafte Update-Mechanismus von „PC-Wahl“ ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen werden, dass die Schwachstellen nicht allein dem CCC bekannt waren, formuliert dieser.

Der Software-Hersteller habe in der Zwischenzeit zwar Updates der Software nachgeliefert, um Lücken zu schließen. Ob diese genügen scheint aber weiter fraglich. Volker Berninger, der Entwickler von PC-Wahl, bestritt in einem ausführlichen „Zeit“-Artikel zum Thema die Behauptung der Forscher, die Bundestagswahl könne manipuliert werden.

„Bei dem schlimmsten Szenario würde jemand damit Verwirrung stiften. Dann würden zwar irgendwelche falschen Ergebnisse im Internet stehen, aber auf dem Papier wären noch immer die richtigen vorhanden. Das gibt Ärger und Verwirrung, hat aber keine Relevanz“, so Berninger.

Ein beunruhigendes Statement.

 

 

Sinnvoller sind da die Forderungen des CCC für den Einsatz von Auswertungssoftware bei Wahlen:

  1. Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben. Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.
  2. Die Wähler selbst müssen alle Resultate überprüfen können. Alle Verfahrensschritte müssen durch Software-unabhängige Prozeduren geprüft werden.
  3. Abhängigkeiten, bei denen manipulierte Software oder manipulierte Computer das Wahlergebnis beeinflussen können, sind zu vermeiden. Parallele, Software-unabhängige Zähl-Prozeduren und eine nochmalige zwingende Handauszählung bei Diskrepanz zwischen elektronisch unterstützter Auswertung und manueller Zählung müssen vorgeschrieben werden.
  4. Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen beteiligt ist, darf geheim gehalten werden. Jegliche Wahlhilfsmittel-Software muss mindestens als published Source mit öffentlichem Lese-Zugang auf die verwendeten Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die Sicherheit der Software muss die Veröffentlichung unerheblich sein, was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der Fall wäre.
  5. Berichte über die Audits der eingesetzten Software und Systeme müssen öffentlich sein. Dies schließt die Hardwarekomponenten und elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt werden. Alle Systemkomponenten müssen vor dem Einsatz einer unabhängigen Analyse unterzogen werden. Vorab-Angriffe gegen die für die Wahl eingesetzen Computer müssen durch Einsatz von vorher nicht anderweitig verwendeten Systemen erschwert werden.
  6. Noch verwendete Oldtimer-Software muss in modernen, sichereren Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit dem Quellcode publiziert werden. Lokale Sonderlösungen bei elektronischen Zählhilfen müssen minimiert werden. Es bedarf festgeschriebener Standards auf aktuellem Stand der Technik für alle verwendeten Rechner und deren Konfiguration sowie für alle System- und Netzwerkkomponenten.
  7. Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen. Bedienfehler und Fehler in der Software müssen von vorneherein mitbedacht werden.
  8. Möglichst detaillierte Publikation von Auswertungsdaten und deren Änderungsverlauf für eine öffentliche Prüfung. Dabei bedarf es einer Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche Einsatz der Software in Augenschein genommen werden kann, um das Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu erlauben.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH