path: root/updates/2007/wahlstift-hack.md

title: Chaos Computer Club hackt Basistechnologie des Hamburger Wahlstifts
date: 2007-10-25 00:00:00 
updated: 2009-11-04 23:52:41 
author: frank
tags: update, pressemitteilung, wahlstift

Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Durch eine grundlegende Änderung des Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht. Der Chaos Computer Club (CCC) weist nun mit der Demonstration eines Wahlstift-Trojaners auf die erheblichen Manipulationsrisiken dieses Verfahrens hin.

<!-- TEASER_END -->

*[Update](/de/wahlstifthack/wahlstift-hack-waehlertaeuschung)*

Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger
Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die
Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür
bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische
Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem
Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der
Stift wird anschließend in eine Auslesestation gesteckt, um das digitale
Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop
werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den
gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen
Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle
Stimmen zusätzlich auf einem USB-Stick gespeichert.

Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die vom
Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des
Wählerwillens gelten, das Papier dient nur als wählerberuhigende
Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur in
17 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen, welche
nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem
herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als
ungültig und werden aussortiert. Bei einer Differenz zwischen der
Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb
nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom
Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen
von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit
ebenfalls ein computergestütztes Ergebnis zu ermitteln.

Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl
vorgegaukelt, de facto findet aber eine Computerwahl mit allen bekannten
Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger
Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP-Wahlcomputer,
die gerade in den Niederlanden wegen zahlreicher Sicherheitsprobleme und
mangelnder Nachprüfkeit des Zustandekommens des Ergebnisses abgeschafft
wurden. \[1\]

Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu
belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria
erstellt, einem Standard der eigentlich zur Standardisierung von
Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt
wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von
Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft.
Gegenstand des Schutzprofils soll dabei die Auslesestation und der
Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und
Zählsoftware auf dem Laptop sein. Die Prüfung umfasst jedoch nicht den
Drucker, den Laptop, auf dem Windows XP als Betriebssystem laufen wird,
und die zentrale Auswertungssoftware beim Statistikamt Nord. Die
ebenfalls beteiligte Physikalisch-Technische Bundesanstalt (PTB) führt
lediglich eine Prüfung zur funktionalen Korrektheit des Wahlstiftsystems
durch. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für
Deutschland als sicher eingestuft, welche in den Niederlanden gerade
aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen
wurden. Daher ist es begrüßenswert, dass sie derzeit nicht mit Fragen
der Sicherheit des Systems befasst ist.

Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer,
Administratoren der Behörde für Inneres oder Mitarbeiter der
Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der
Sprecher des Chaos Computer Club, Dirk Engling, sagte dazu: "Die
Ignoranz gegenüber der Innentätergefahr entlarvt das konzeptionell
falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen
Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung
vergisst und sich nachher wundert, dass das Flugzeug nicht abheben
kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass
es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden,
disqualifiziert die Sicherheitsannahmen für das System vollständig.

Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und
damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit eine
öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden
wird. Kritische Aussagen der Verfassungsexperten Dr. Stephanie
Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert. Auch
Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem
CCC wurden als theoretisch oder populistisch abgetan. "Die
Geheimniskrämerei erinnert fatal an das Vorgehen bei
NEDAP-Wahlcomputern, offenbar unterschätzen die Hamburger
Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster
im Nachbarland Niederlande nichts gelernt", sagte CCC-Sprecher Dirk
Engling.

Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes
System für eine Analyse erhalten hat, konnten anhand der verfügbaren
Informationen und durch Untersuchung der Basistechnologie des
Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden
prinzipiellen Mängeln identifiziert werden. Dabei wurde das grundlegende
Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch
den Wähler - überdeutlich.

Der CCC hat zur beispielhaften Illustration der vielfältigen
Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft
einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher
erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an
der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt
ins Wahllokal mitgebracht und statt dem echten Wahlstift in die
Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann
keine digitalen Stimmkreuze zum Auswertungscomputer, sondern agiert als
ein sogenanntes Trojanisches Pferd zum Einschleusen von Schadsoftware.
Sobald der Stift in die Auslesestation gesteckt wird, aktiviert sich ein
Manipulationsprogramm, welches automatisch auf das Zielsystem übertragen
und dort ohne Zutun des Bedieners ausgeführt wird. Das Programm kann nun
problemlos Manipulationen auf dem Auswertungslaptop vornehmen, indem es
z. B. die Position der digital gespeicherten Stimmkreuze verändert, das
Endergebnis verfälscht, speichert und ausgibt.

"Der trojanische Wahlstift ist nur einer von vielen verschiedenen
Angriffen gegen das Wahlstiftsystem. Es geht hier nicht um das eine oder
andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das
prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt
wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine
unsichere und intransparente Computerwahl ist", sagte CCC-Sprecher Dirk
Engling.

Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen Probleme
des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit
durch den Wähler, fordert der Chaos Computer Club den Hamburger
Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit
massiver Nacharbeit an den heute sichtbaren Sicherheitslücken ist das
System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen
in Deutschland zu erfüllen.

### Weiterführende Informationen

\[1\]
[http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert](/de/updates/2007/wahlcomputer-ausgemustert)