committing page revision 1

author: webmaster <webmaster@ccc.de> 2009-04-18 19:12:40 +0000
committer: webmaster <webmaster@ccc.de> 2020-05-23 13:38:25 +0000
commit: 1db6582d7ccf3deecdf3201a4188fa4f9eee8ea8 (patch)
tree: 706bafdc40615e0cef527051016596ed47517115
parent: 6fea4b5563bac963fb247496cead8b8e7688aad7 (diff)
1 files changed, 137 insertions, 0 deletions
diff --git a/updates/2007/wahlstift-hack.md b/updates/2007/wahlstift-hack.md
new file mode 100644
index 00000000..4b9d1bda
--- /dev/null
+++ b/updates/2007/wahlstift-hack.md
@@ -0,0 +1,137 @@
+title: Chaos Computer Club hackt Basistechnologie des Hamburger Wahlstifts
+date: 2007-10-25 00:00:00 
+updated: 2009-04-18 19:12:40 
+author: webmaster
+tags: update, pressemitteilung
+Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Durch eine grundlegende Änderung des Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht. Der Chaos Computer Club (CCC) weist nun mit der Demonstration eines Wahlstift-Trojaners auf die erheblichen Manipulationsrisiken dieses Verfahrens hin.
+<!-- TEASER_END -->
+*[Update](/de/wahlstifthack/wahlstift-hack-waehlertaeuschung)*
+Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger
+Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die
+Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür
+bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische
+Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem
+Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der
+Stift wird anschließend in eine Auslesestation gesteckt, um das digitale
+Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop
+werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den
+gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen
+Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle
+Stimmen zusätzlich auf einem USB-Stick gespeichert.
+Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die vom
+Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des
+Wählerwillens gelten, das Papier dient nur als wählerberuhigende
+Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur in
+17 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen, welche
+nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem
+herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als
+ungültig und werden aussortiert. Bei einer Differenz zwischen der
+Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb
+nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom
+Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen
+von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit
+ebenfalls ein computergestütztes Ergebnis zu ermitteln.
+Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl
+vorgegaukelt, de facto findet aber eine Computerwahl mit allen bekannten
+Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger
+Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP-Wahlcomputer,
+die gerade in den Niederlanden wegen zahlreicher Sicherheitsprobleme und
+mangelnder Nachprüfkeit des Zustandekommens des Ergebnisses abgeschafft
+wurden. \[1\]
+Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu
+belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria
+erstellt, einem Standard der eigentlich zur Standardisierung von
+Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt
+wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von
+Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft.
+Gegenstand des Schutzprofils soll dabei die Auslesestation und der
+Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und
+Zählsoftware auf dem Laptop sein. Die Prüfung umfasst jedoch nicht den
+Drucker, den Laptop, auf dem Windows XP als Betriebssystem laufen wird,
+und die zentrale Auswertungssoftware beim Statistikamt Nord. Die
+ebenfalls beteiligte Physikalisch-Technische Bundesanstalt (PTB) führt
+lediglich eine Prüfung zur funktionalen Korrektheit des Wahlstiftsystems
+durch. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für
+Deutschland als sicher eingestuft, welche in den Niederlanden gerade
+aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen
+wurden. Daher ist es begrüßenswert, dass sie derzeit nicht mit Fragen
+der Sicherheit des Systems befasst ist.
+Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer,
+Administratoren der Behörde für Inneres oder Mitarbeiter der
+Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der
+Sprecher des Chaos Computer Club, Dirk Engling, sagte dazu: "Die
+Ignoranz gegenüber der Innentätergefahr entlarvt das konzeptionell
+falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen
+Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung
+vergisst und sich nachher wundert, dass das Flugzeug nicht abheben
+kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass
+es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden,
+disqualifiziert die Sicherheitsannahmen für das System vollständig.
+Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und
+damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit eine
+öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden
+wird. Kritische Aussagen der Verfassungsexperten Dr. Stephanie
+Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert. Auch
+Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem
+CCC wurden als theoretisch oder populistisch abgetan. "Die
+Geheimniskrämerei erinnert fatal an das Vorgehen bei
+NEDAP-Wahlcomputern, offenbar unterschätzen die Hamburger
+Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster
+im Nachbarland Niederlande nichts gelernt", sagte CCC-Sprecher Dirk
+Engling.
+Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes
+System für eine Analyse erhalten hat, konnten anhand der verfügbaren
+Informationen und durch Untersuchung der Basistechnologie des
+Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden
+prinzipiellen Mängeln identifiziert werden. Dabei wurde das grundlegende
+Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch
+den Wähler - überdeutlich.
+Der CCC hat zur beispielhaften Illustration der vielfältigen
+Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft
+einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher
+erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an
+der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt
+ins Wahllokal mitgebracht und statt dem echten Wahlstift in die
+Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann
+nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert
+als ein sogenanntes Trojanisches Pferd zum Einschleusen von
+Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird,
+aktiviert sich ein Manipulationsprogramm, welches automatisch auf das
+Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird.
+Das Programm kann nun problemlos Manipulationen auf dem
+Auswertungslaptop vornehmen, indem es z. B. die Position der digital
+gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht,
+speichert und ausgibt.
+"Der trojanische Wahlstift ist nur einer von vielen verschiedenen
+Angriffen gegen das Wahlstiftsystem. Es geht hier nicht um das eine oder
+andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das
+prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt
+wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine
+unsichere und intransparente Computerwahl ist", sagte CCC-Sprecher Dirk
+Engling.
+Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen Probleme
+des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit
+durch den Wähler, fordert der Chaos Computer Club den Hamburger
+Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit
+massiver Nacharbeit an den heute sichtbaren Sicherheitslücken ist das
+System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen
+in Deutschland zu erfüllen.
+### Weiterführende Informationen
+\[1\]
+[http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert](/de/updates/2007/wahlcomputer-ausgemustert)
author	webmaster <webmaster@ccc.de>	2009-04-18 19:12:40 +0000
committer	webmaster <webmaster@ccc.de>	2020-05-23 13:38:25 +0000
commit	1db6582d7ccf3deecdf3201a4188fa4f9eee8ea8 (patch)
tree	706bafdc40615e0cef527051016596ed47517115
parent	6fea4b5563bac963fb247496cead8b8e7688aad7 (diff)

diff --git a/updates/2007/wahlstift-hack.md b/updates/2007/wahlstift-hack.md new file mode 100644 index 00000000..4b9d1bda --- /dev/null +++ b/updates/2007/wahlstift-hack.md
@@ -0,0 +1,137 @@
	1	title: Chaos Computer Club hackt Basistechnologie des Hamburger Wahlstifts
	2	date: 2007-10-25 00:00:00
	3	updated: 2009-04-18 19:12:40
	4	author: webmaster
	5	tags: update, pressemitteilung
	6
	7
	8	Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Durch eine grundlegende Änderung des Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht. Der Chaos Computer Club (CCC) weist nun mit der Demonstration eines Wahlstift-Trojaners auf die erheblichen Manipulationsrisiken dieses Verfahrens hin.
	9
	10	<!-- TEASER_END -->
	11
	12	[Update](/de/wahlstifthack/wahlstift-hack-waehlertaeuschung)
	13
	14	Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger
	15	Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die
	16	Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür
	17	bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische
	18	Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem
	19	Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der
	20	Stift wird anschließend in eine Auslesestation gesteckt, um das digitale
	21	Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop
	22	werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den
	23	gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen
	24	Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle
	25	Stimmen zusätzlich auf einem USB-Stick gespeichert.
	26
	27	Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die vom
	28	Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des
	29	Wählerwillens gelten, das Papier dient nur als wählerberuhigende
	30	Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur in
	31	17 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen, welche
	32	nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem
	33	herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als
	34	ungültig und werden aussortiert. Bei einer Differenz zwischen der
	35	Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb
	36	nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom
	37	Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen
	38	von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit
	39	ebenfalls ein computergestütztes Ergebnis zu ermitteln.
	40
	41	Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl
	42	vorgegaukelt, de facto findet aber eine Computerwahl mit allen bekannten
	43	Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger
	44	Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP-Wahlcomputer,
	45	die gerade in den Niederlanden wegen zahlreicher Sicherheitsprobleme und
	46	mangelnder Nachprüfkeit des Zustandekommens des Ergebnisses abgeschafft
	47	wurden. \[1\]
	48
	49	Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu
	50	belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria
	51	erstellt, einem Standard der eigentlich zur Standardisierung von
	52	Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt
	53	wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von
	54	Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft.
	55	Gegenstand des Schutzprofils soll dabei die Auslesestation und der
	56	Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und
	57	Zählsoftware auf dem Laptop sein. Die Prüfung umfasst jedoch nicht den
	58	Drucker, den Laptop, auf dem Windows XP als Betriebssystem laufen wird,
	59	und die zentrale Auswertungssoftware beim Statistikamt Nord. Die
	60	ebenfalls beteiligte Physikalisch-Technische Bundesanstalt (PTB) führt
	61	lediglich eine Prüfung zur funktionalen Korrektheit des Wahlstiftsystems
	62	durch. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für
	63	Deutschland als sicher eingestuft, welche in den Niederlanden gerade
	64	aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen
	65	wurden. Daher ist es begrüßenswert, dass sie derzeit nicht mit Fragen
	66	der Sicherheit des Systems befasst ist.
	67
	68	Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer,
	69	Administratoren der Behörde für Inneres oder Mitarbeiter der
	70	Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der
	71	Sprecher des Chaos Computer Club, Dirk Engling, sagte dazu: "Die
	72	Ignoranz gegenüber der Innentätergefahr entlarvt das konzeptionell
	73	falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen
	74	Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung
	75	vergisst und sich nachher wundert, dass das Flugzeug nicht abheben
	76	kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass
	77	es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden,
	78	disqualifiziert die Sicherheitsannahmen für das System vollständig.
	79
	80	Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und
	81	damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit eine
	82	öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden
	83	wird. Kritische Aussagen der Verfassungsexperten Dr. Stephanie
	84	Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert. Auch
	85	Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem
	86	CCC wurden als theoretisch oder populistisch abgetan. "Die
	87	Geheimniskrämerei erinnert fatal an das Vorgehen bei
	88	NEDAP-Wahlcomputern, offenbar unterschätzen die Hamburger
	89	Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster
	90	im Nachbarland Niederlande nichts gelernt", sagte CCC-Sprecher Dirk
	91	Engling.
	92
	93	Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes
	94	System für eine Analyse erhalten hat, konnten anhand der verfügbaren
	95	Informationen und durch Untersuchung der Basistechnologie des
	96	Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden
	97	prinzipiellen Mängeln identifiziert werden. Dabei wurde das grundlegende
	98	Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch
	99	den Wähler - überdeutlich.
	100
	101	Der CCC hat zur beispielhaften Illustration der vielfältigen
	102	Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft
	103	einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher
	104	erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an
	105	der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt
	106	ins Wahllokal mitgebracht und statt dem echten Wahlstift in die
	107	Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann
	108	nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert
	109	als ein sogenanntes Trojanisches Pferd zum Einschleusen von
	110	Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird,
	111	aktiviert sich ein Manipulationsprogramm, welches automatisch auf das
	112	Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird.
	113	Das Programm kann nun problemlos Manipulationen auf dem
	114	Auswertungslaptop vornehmen, indem es z. B. die Position der digital
	115	gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht,
	116	speichert und ausgibt.
	117
	118	"Der trojanische Wahlstift ist nur einer von vielen verschiedenen
	119	Angriffen gegen das Wahlstiftsystem. Es geht hier nicht um das eine oder
	120	andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das
	121	prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt
	122	wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine
	123	unsichere und intransparente Computerwahl ist", sagte CCC-Sprecher Dirk
	124	Engling.
	125
	126	Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen Probleme
	127	des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit
	128	durch den Wähler, fordert der Chaos Computer Club den Hamburger
	129	Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit
	130	massiver Nacharbeit an den heute sichtbaren Sicherheitslücken ist das
	131	System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen
	132	in Deutschland zu erfüllen.
	133
	134	### Weiterführende Informationen
	135
	136	\[1\]
	137	[http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert](/de/updates/2007/wahlcomputer-ausgemustert)