Manipulationsgefahr: Software zur Bundestagswahl ein „Totalschaden“

| Redakteur: Benjamin Kirchbeck

Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen.
Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen. (Bild: Gemeinfrei / CC0)

Der Chaos Computer Club (CCC)veröffentlicht in einer Analyse gravierende Schwachstellen einer bei der Bundestagswahl verwendeten Auswertungssoftware. Im Bericht wird eine Vielfalt erheblicher Mängel und Schwachstellen aufgezeigt. Der CCC spricht von einem Totalschaden.

Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse ergab eine Vielzahl von Schwachstellen und mehrere praktikable Angriffsszenarien.

Elementare Grundsätze der IT-Sicherheit nicht beachtet

Diese erlauben die Manipulation von Wahlergebnissen auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die untersuchte Software PC-Wahl wird seit mehreren Jahrzehnten für die Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes- und Kommunalebene eingesetzt.

Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr als zwanzig Seiten umfassenden Bericht. Die technischen Details und die zum Ausnutzen der Schwächen verfasste Software können in einem Repository eingesehen und zeitsouverän nachgespielt werden.

„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus Neumann, an der Analyse beteiligter Sprecher des CCC.

Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte Update-Mechanismus von PC-Wahl ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert.

Aufgrund der überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen werden, dass die Schwachstellen nicht allein dem CCC bekannt waren. „Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien“, so Neumann weiter.

Frappierend schlechter Allgemeinzustand

Die Software kann bereits zur Erfassung der Auszählungsergebnisse in Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den Landeswahlleiter zu übermitteln. Auch dort kommt in einigen Bundesländern erneut PC-Wahl zum Einsatz.

Die dokumentierten Angriffe haben das Potential, das Vertrauen in den demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion auf die Schwachstellen verändert: Im Bundesland Hessen wird nun vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels PC-Wahl parallel auf unabhängigem Weg geprüft wird.

Die dargestellten Angriffsmöglichkeiten und der frappierend schlechte Allgemeinzustand der Software werfen die Frage auf, wie es um konkurrierende, ebenfalls im Einsatz befindliche Wahlsoftware-Pakete steht. Ein anderes Produkt, IVU.elect, das in Deutschland im Einsatz ist, wurde von Sijmen Ruwhof in der in den Niederlanden verwendeten Version betrachtet – mit verheerenden Ergebnissen.

„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine Anwendung finden.“

Eine Regierung, die sich Industrie 4.0 und Crypto made in Germany auf die Fahnen schreibt, sollte zusehen, dass sie quelloffene Software für die digitale Unterstützung bei demokratischen Wahlen fördert und nutzt. Bevor sich die Wahlleiter in die Abhängigkeit von Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels moderner Technologie voranzutreiben.

Der traurige Zustand dieses Stücks kritischer Wahlinfrastruktur zeigt exemplarisch für die staatlich genutzte IT, dass sich an dessen Vergabepolitik von Software-Aufträgen dringend etwas ändern muss. Ziel der Sicherheitsanalyse war es, vor allem die Sinne der Verantwortlichen zu schärfen.

Eine plumpe Manipulation über die mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten Sensibilität unwahrscheinlicher geworden sein. Zumindest für die Bundestagswahl 2017 darf und soll die Aufdeckung der Schwachstellen daher keine Ausrede sein, nicht mit Stift und Papier wählen zu gehen!

Bundestagswahl per Online-Stimmabgabe?

Kaspersky-Lab-Studie

Bundestagswahl per Online-Stimmabgabe?

17.04.17 - Im September 2017 findet die Bundestagswahl statt und Kaspersky Lab hat sich die Frage gestellt: Welche Einstellung haben die Deutschen gegenüber politischen Online-Wahlen und welche Gefahren drohen durch Manipulation? Lesen Sie hier die durchaus überraschenden Ergebnisse. lesen

Kommentar zu diesem Artikel abgeben
Beunruhigend ist, dass DIESE Manipulationen erst später als 1933 begonnen haben.  lesen
posted am 14.09.2017 um 12:08 von Unregistriert

Das war doch jetzt wieder sowas von klar! Unglaublich wie da die Know-How Nation schlechthin, bei...  lesen
posted am 14.09.2017 um 11:22 von Unregistriert

Die zuständigen Entwickler absolvierten ein Hochschulstudium. Was will uns das jetzt sagen?  lesen
posted am 08.09.2017 um 13:26 von Unregistriert

Die zuständigen Entwickler absolvierten ein Hochschulstudium.  lesen
posted am 07.09.2017 um 15:41 von Unregistriert

Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an...  lesen
posted am 07.09.2017 um 15:30 von Olaf Barheine


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44876753 / Safety & Security)