summaryrefslogtreecommitdiff
path: root/updates
diff options
context:
space:
mode:
Diffstat (limited to 'updates')
-rw-r--r--updates/2007/wahlstift-hack.md137
1 files changed, 137 insertions, 0 deletions
diff --git a/updates/2007/wahlstift-hack.md b/updates/2007/wahlstift-hack.md
new file mode 100644
index 00000000..4b9d1bda
--- /dev/null
+++ b/updates/2007/wahlstift-hack.md
@@ -0,0 +1,137 @@
1title: Chaos Computer Club hackt Basistechnologie des Hamburger Wahlstifts
2date: 2007-10-25 00:00:00
3updated: 2009-04-18 19:12:40
4author: webmaster
5tags: update, pressemitteilung
6
7
8Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Durch eine grundlegende Änderung des Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht. Der Chaos Computer Club (CCC) weist nun mit der Demonstration eines Wahlstift-Trojaners auf die erheblichen Manipulationsrisiken dieses Verfahrens hin.
9
10<!-- TEASER_END -->
11
12*[Update](/de/wahlstifthack/wahlstift-hack-waehlertaeuschung)*
13
14Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger
15Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die
16Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür
17bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische
18Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem
19Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der
20Stift wird anschließend in eine Auslesestation gesteckt, um das digitale
21Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop
22werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den
23gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen
24Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle
25Stimmen zusätzlich auf einem USB-Stick gespeichert.
26
27Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die vom
28Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des
29Wählerwillens gelten, das Papier dient nur als wählerberuhigende
30Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur in
3117 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen, welche
32nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem
33herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als
34ungültig und werden aussortiert. Bei einer Differenz zwischen der
35Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb
36nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom
37Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen
38von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit
39ebenfalls ein computergestütztes Ergebnis zu ermitteln.
40
41Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl
42vorgegaukelt, de facto findet aber eine Computerwahl mit allen bekannten
43Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger
44Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP-Wahlcomputer,
45die gerade in den Niederlanden wegen zahlreicher Sicherheitsprobleme und
46mangelnder Nachprüfkeit des Zustandekommens des Ergebnisses abgeschafft
47wurden. \[1\]
48
49Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu
50belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria
51erstellt, einem Standard der eigentlich zur Standardisierung von
52Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt
53wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von
54Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft.
55Gegenstand des Schutzprofils soll dabei die Auslesestation und der
56Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und
57Zählsoftware auf dem Laptop sein. Die Prüfung umfasst jedoch nicht den
58Drucker, den Laptop, auf dem Windows XP als Betriebssystem laufen wird,
59und die zentrale Auswertungssoftware beim Statistikamt Nord. Die
60ebenfalls beteiligte Physikalisch-Technische Bundesanstalt (PTB) führt
61lediglich eine Prüfung zur funktionalen Korrektheit des Wahlstiftsystems
62durch. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für
63Deutschland als sicher eingestuft, welche in den Niederlanden gerade
64aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen
65wurden. Daher ist es begrüßenswert, dass sie derzeit nicht mit Fragen
66der Sicherheit des Systems befasst ist.
67
68Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer,
69Administratoren der Behörde für Inneres oder Mitarbeiter der
70Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der
71Sprecher des Chaos Computer Club, Dirk Engling, sagte dazu: "Die
72Ignoranz gegenüber der Innentätergefahr entlarvt das konzeptionell
73falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen
74Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung
75vergisst und sich nachher wundert, dass das Flugzeug nicht abheben
76kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass
77es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden,
78disqualifiziert die Sicherheitsannahmen für das System vollständig.
79
80Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und
81damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit eine
82öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden
83wird. Kritische Aussagen der Verfassungsexperten Dr. Stephanie
84Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert. Auch
85Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem
86CCC wurden als theoretisch oder populistisch abgetan. "Die
87Geheimniskrämerei erinnert fatal an das Vorgehen bei
88NEDAP-Wahlcomputern, offenbar unterschätzen die Hamburger
89Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster
90im Nachbarland Niederlande nichts gelernt", sagte CCC-Sprecher Dirk
91Engling.
92
93Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes
94System für eine Analyse erhalten hat, konnten anhand der verfügbaren
95Informationen und durch Untersuchung der Basistechnologie des
96Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden
97prinzipiellen Mängeln identifiziert werden. Dabei wurde das grundlegende
98Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch
99den Wähler - überdeutlich.
100
101Der CCC hat zur beispielhaften Illustration der vielfältigen
102Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft
103einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher
104erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an
105der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt
106ins Wahllokal mitgebracht und statt dem echten Wahlstift in die
107Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann
108nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert
109als ein sogenanntes Trojanisches Pferd zum Einschleusen von
110Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird,
111aktiviert sich ein Manipulationsprogramm, welches automatisch auf das
112Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird.
113Das Programm kann nun problemlos Manipulationen auf dem
114Auswertungslaptop vornehmen, indem es z. B. die Position der digital
115gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht,
116speichert und ausgibt.
117
118"Der trojanische Wahlstift ist nur einer von vielen verschiedenen
119Angriffen gegen das Wahlstiftsystem. Es geht hier nicht um das eine oder
120andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das
121prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt
122wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine
123unsichere und intransparente Computerwahl ist", sagte CCC-Sprecher Dirk
124Engling.
125
126Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen Probleme
127des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit
128durch den Wähler, fordert der Chaos Computer Club den Hamburger
129Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit
130massiver Nacharbeit an den heute sichtbaren Sicherheitslücken ist das
131System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen
132in Deutschland zu erfüllen.
133
134### Weiterführende Informationen
135
136\[1\]
137[http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert](/de/updates/2007/wahlcomputer-ausgemustert)