committing page revision 1

author: 46halbe <46halbe@berlin.ccc.de> 2017-09-07 08:59:32 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:40:04 +0000
commit: 001961f2ae63dbcfae6475ec42bd46bd6a34d450 (patch)
tree: e263f9c633e6c6689846a540ed872494263f5aca /updates/2017
parent: a83b57ee98a242865630c92c8eeaa957d33109e5 (diff)
1 files changed, 173 insertions, 0 deletions
diff --git a/updates/2017/pc-wahl.md b/updates/2017/pc-wahl.md
new file mode 100644
index 00000000..1aab1142
--- /dev/null
+++ b/updates/2017/pc-wahl.md
@@ -0,0 +1,173 @@
+title: Software zur Auswertung der Bundestagswahl unsicher und angreifbar
+date: 2017-09-07 03:11:00 
+updated: 2017-09-07 08:59:32 
+author: 46halbe
+tags: update, pressemitteilung
+previewimage: /images/LogoPC-wahl.jpg
+Der Chaos Computer Club veröffentlicht in einer Analyse gravierende Schwachstellen einer bei der Bundestagswahl verwendeten Auswertungssoftware. Im Bericht wird eine Vielfalt erheblicher Mängel und Schwachstellen aufgezeigt. Praktisch anwendbare Angriffstools werden im Sourcecode veröffentlicht.
+<!-- TEASER_END -->
+Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren
+Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl
+verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse
+ergab eine Vielzahl von Schwachstellen und mehrere praktikable
+Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen
+auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die
+untersuchte Software „PC-Wahl“ wird seit mehreren Jahrzehnten für die
+Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes-
+und Kommunalebene eingesetzt.
+Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das
+Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr
+als zwanzig Seiten umfassenden Bericht. \[0\] Die technischen Details
+und die zum Ausnutzen der Schwächen verfasste Software können in einem
+Repository eingesehen und zeitsouverän nachgespielt werden. \[1\]
+„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht
+beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der
+Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus
+Neumann, an der Analyse beteiligter Sprecher des CCC.
+Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein
+vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den
+vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte
+Update-Mechanismus von „PC-Wahl“ ermöglicht eine
+one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung
+des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der
+überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen
+werden, dass die Schwachstellen nicht allein dem CCC bekannt waren.
+„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des
+Herstellers, über die Software selbst bis hin zu den exportierten
+Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei
+praktisch relevanten Angriffsszenarien“, so Neumann weiter.
+Die Software kann bereits zur Erfassung der Auszählungsergebnisse in
+Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden
+verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software
+verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den
+Landeswahlleiter zu übermitteln. Auch dort kommt in einigen
+Bundesländern erneut „PC-Wahl“ zum Einsatz.
+Die dokumentierten Angriffe haben das Potential, das Vertrauen in den
+demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine
+Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und
+wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt
+von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum
+Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion
+auf die Schwachstellen verändert: Im Bundesland Hessen wird nun
+vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels
+„PC-Wahl“ parallel auf unabhängigem Weg geprüft wird.
+Die dargestellten Angriffsmöglichkeiten und der frappierend schlechte
+Allgemeinzustand der Software werfen die Frage auf, wie es um
+konkurrierende, ebenfalls im Einsatz befindliche Wahlsoftware-Pakete
+steht. Ein anderes Produkt, IVU.elect, das in Deutschland im Einsatz
+ist, wurde von Sijmen Ruwhof in der in den Niederlanden verwendeten
+Version betrachtet – mit verheerenden Ergebnissen. \[2\]
+„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in
+Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus
+Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit
+Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine
+Anwendung finden.“
+Eine Regierung, die sich „Industrie 4.0“ und „Crypto made in Germany“
+auf die Fahnen schreibt, sollte zusehen, dass sie quelloffene Software
+für die digitale Unterstützung bei demokratischen Wahlen fördert und
+nutzt. \[3\] Bevor sich die Wahlleiter in die Abhängigkeit von
+Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte
+aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und
+Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels
+moderner Technologie voranzutreiben. Der traurige Zustand dieses Stücks
+kritischer Wahlinfrastruktur zeigt exemplarisch für die staatlich
+genutzte IT, dass sich an dessen Vergabepolitik von Software-Aufträgen
+dringend etwas ändern muss.
+Ziel der Sicherheitsanalyse war es, vor allem die Sinne der
+Verantwortlichen zu schärfen. Eine plumpe Manipulation über die
+mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten
+Sensibilität unwahrscheinlicher geworden sein. Zumindest für die
+Bundestagswahl 2017 darf und soll die Aufdeckung der Schwachstellen
+daher keine Ausrede sein, nicht mit Stift und Papier wählen zu gehen!
+**Der Chaos Computer Club fordert für den Einsatz von
+Auswertungssoftware bei Wahlen:**
+1.  Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat
+    vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben.
+    Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.
+2.  Die Wähler selbst müssen alle Resultate überprüfen können. Alle
+    Verfahrensschritte müssen durch Software-unabhängige Prozeduren
+    geprüft werden.
+3.  Abhängigkeiten, bei denen manipulierte Software oder manipulierte
+    Computer das Wahlergebnis beeinflussen können, sind zu vermeiden.
+    Parallele, Software-unabhängige Zähl-Prozeduren und eine nochmalige
+    zwingende Handauszählung bei Diskrepanz zwischen elektronisch
+    unterstützter Auswertung und manueller Zählung müssen vorgeschrieben
+    werden.
+4.  Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen
+    beteiligt ist, darf geheim gehalten werden. Jegliche
+    Wahlhilfsmittel-Software muss mindestens als published Source mit
+    öffentlichem Lese-Zugang auf die verwendeten
+    Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die
+    Sicherheit der Software muss die Veröffentlichung unerheblich sein,
+    was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der
+    Fall wäre.
+5.  Berichte über die Audits der eingesetzten Software und Systeme
+    müssen öffentlich sein. Dies schließt die Hardwarekomponenten und
+    elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt
+    werden. Alle Systemkomponenten müssen vor dem Einsatz einer
+    unabhängigen Analyse unterzogen werden. Vorab-Angriffe gegen die für
+    die Wahl eingesetzen Computer müssen durch Einsatz von vorher nicht
+    anderweitig verwendeten Systemen erschwert werden.
+6.  Noch verwendete Oldtimer-Software muss in modernen, sichereren
+    Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und
+    begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit
+    dem Quellcode publiziert werden. Lokale Sonderlösungen bei
+    elektronischen Zählhilfen müssen minimiert werden. Es bedarf
+    festgeschriebener Standards auf aktuellem Stand der Technik für alle
+    verwendeten Rechner und deren Konfiguration sowie für alle System-
+    und Netzwerkkomponenten.
+7.  Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen.
+    Bedienfehler und Fehler in der Software müssen von vorneherein
+    mitbedacht werden.
+8.  Möglichst detaillierte Publikation von Auswertungsdaten und deren
+    Änderungsverlauf für eine öffentliche Prüfung. Dabei bedarf es einer
+    Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis
+    oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies
+    ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche
+    Einsatz der Software in Augenschein genommen werden kann, um das
+    Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu
+    erlauben.
+**Links**:
+\[0\] Bericht: Analyse einer Wahlsoftware
+<https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf>
+\[1\] Software-Repository: PC-Wahl
+Angriffstools <https://github.com/devio/Walruss>
+\[2\] Sijmen
+Ruwhof: <https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections>
+\[3\] Projekte wie der vom BMWi finanzierte „Prototype Fund“ vergeben
+erfolgreich Fördermittel für die Entwicklung von
+Open-Source-Software: <https://prototypefund.de/>
+\[4\] Die Hörversion der Analyse bei
+Logbuch:Netzpolitik: <https://logbuch-netzpolitik.de/lnp228-interessierte-buerger>
+\[5\] Der Artikel zur [Geschichte der
+Analyse](http://www.zeit.de/digital/datenschutz/2017-09/bundestagswahl-wahlsoftware-hackerangriff-sicherheit-bsi-bundeswahlleiter/komplettansicht "Zeit Online zur Analyse der PC-Wahl")
+bei Zeit Online
+**Bebilderung**:
+Das Bild zeigt das tatsächliche Logo der Software „PC-Wahl“ der Version
+10.
+
author	46halbe <46halbe@berlin.ccc.de>	2017-09-07 08:59:32 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:40:04 +0000
commit	001961f2ae63dbcfae6475ec42bd46bd6a34d450 (patch)
tree	e263f9c633e6c6689846a540ed872494263f5aca /updates/2017
parent	a83b57ee98a242865630c92c8eeaa957d33109e5 (diff)

diff --git a/updates/2017/pc-wahl.md b/updates/2017/pc-wahl.md new file mode 100644 index 00000000..1aab1142 --- /dev/null +++ b/updates/2017/pc-wahl.md
@@ -0,0 +1,173 @@
	1	title: Software zur Auswertung der Bundestagswahl unsicher und angreifbar
	2	date: 2017-09-07 03:11:00
	3	updated: 2017-09-07 08:59:32
	4	author: 46halbe
	5	tags: update, pressemitteilung
	6	previewimage: /images/LogoPC-wahl.jpg
	7
	8	Der Chaos Computer Club veröffentlicht in einer Analyse gravierende Schwachstellen einer bei der Bundestagswahl verwendeten Auswertungssoftware. Im Bericht wird eine Vielfalt erheblicher Mängel und Schwachstellen aufgezeigt. Praktisch anwendbare Angriffstools werden im Sourcecode veröffentlicht.
	9
	10	<!-- TEASER_END -->
	11
	12	Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren
	13	Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl
	14	verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse
	15	ergab eine Vielzahl von Schwachstellen und mehrere praktikable
	16	Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen
	17	auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die
	18	untersuchte Software „PC-Wahl“ wird seit mehreren Jahrzehnten für die
	19	Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes-
	20	und Kommunalebene eingesetzt.
	21
	22	Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das
	23	Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr
	24	als zwanzig Seiten umfassenden Bericht. \[0\] Die technischen Details
	25	und die zum Ausnutzen der Schwächen verfasste Software können in einem
	26	Repository eingesehen und zeitsouverän nachgespielt werden. \[1\]
	27
	28	„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht
	29	beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der
	30	Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus
	31	Neumann, an der Analyse beteiligter Sprecher des CCC.
	32
	33	Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein
	34	vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den
	35	vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte
	36	Update-Mechanismus von „PC-Wahl“ ermöglicht eine
	37	one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung
	38	des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der
	39	überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen
	40	werden, dass die Schwachstellen nicht allein dem CCC bekannt waren.
	41
	42	„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des
	43	Herstellers, über die Software selbst bis hin zu den exportierten
	44	Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei
	45	praktisch relevanten Angriffsszenarien“, so Neumann weiter.
	46
	47	Die Software kann bereits zur Erfassung der Auszählungsergebnisse in
	48	Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden
	49	verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software
	50	verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den
	51	Landeswahlleiter zu übermitteln. Auch dort kommt in einigen
	52	Bundesländern erneut „PC-Wahl“ zum Einsatz.
	53
	54	Die dokumentierten Angriffe haben das Potential, das Vertrauen in den
	55	demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine
	56	Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und
	57	wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt
	58	von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum
	59	Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion
	60	auf die Schwachstellen verändert: Im Bundesland Hessen wird nun
	61	vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels
	62	„PC-Wahl“ parallel auf unabhängigem Weg geprüft wird.
	63
	64	Die dargestellten Angriffsmöglichkeiten und der frappierend schlechte
	65	Allgemeinzustand der Software werfen die Frage auf, wie es um
	66	konkurrierende, ebenfalls im Einsatz befindliche Wahlsoftware-Pakete
	67	steht. Ein anderes Produkt, IVU.elect, das in Deutschland im Einsatz
	68	ist, wurde von Sijmen Ruwhof in der in den Niederlanden verwendeten
	69	Version betrachtet – mit verheerenden Ergebnissen. \[2\]
	70
	71	„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in
	72	Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus
	73	Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit
	74	Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine
	75	Anwendung finden.“
	76
	77	Eine Regierung, die sich „Industrie 4.0“ und „Crypto made in Germany“
	78	auf die Fahnen schreibt, sollte zusehen, dass sie quelloffene Software
	79	für die digitale Unterstützung bei demokratischen Wahlen fördert und
	80	nutzt. \[3\] Bevor sich die Wahlleiter in die Abhängigkeit von
	81	Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte
	82	aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und
	83	Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels
	84	moderner Technologie voranzutreiben. Der traurige Zustand dieses Stücks
	85	kritischer Wahlinfrastruktur zeigt exemplarisch für die staatlich
	86	genutzte IT, dass sich an dessen Vergabepolitik von Software-Aufträgen
	87	dringend etwas ändern muss.
	88
	89	Ziel der Sicherheitsanalyse war es, vor allem die Sinne der
	90	Verantwortlichen zu schärfen. Eine plumpe Manipulation über die
	91	mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten
	92	Sensibilität unwahrscheinlicher geworden sein. Zumindest für die
	93	Bundestagswahl 2017 darf und soll die Aufdeckung der Schwachstellen
	94	daher keine Ausrede sein, nicht mit Stift und Papier wählen zu gehen!
	95
	96	**Der Chaos Computer Club fordert für den Einsatz von
	97	Auswertungssoftware bei Wahlen:**
	98
	99	1. Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat
	100	vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben.
	101	Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.
	102	2. Die Wähler selbst müssen alle Resultate überprüfen können. Alle
	103	Verfahrensschritte müssen durch Software-unabhängige Prozeduren
	104	geprüft werden.
	105	3. Abhängigkeiten, bei denen manipulierte Software oder manipulierte
	106	Computer das Wahlergebnis beeinflussen können, sind zu vermeiden.
	107	Parallele, Software-unabhängige Zähl-Prozeduren und eine nochmalige
	108	zwingende Handauszählung bei Diskrepanz zwischen elektronisch
	109	unterstützter Auswertung und manueller Zählung müssen vorgeschrieben
	110	werden.
	111	4. Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen
	112	beteiligt ist, darf geheim gehalten werden. Jegliche
	113	Wahlhilfsmittel-Software muss mindestens als published Source mit
	114	öffentlichem Lese-Zugang auf die verwendeten
	115	Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die
	116	Sicherheit der Software muss die Veröffentlichung unerheblich sein,
	117	was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der
	118	Fall wäre.
	119	5. Berichte über die Audits der eingesetzten Software und Systeme
	120	müssen öffentlich sein. Dies schließt die Hardwarekomponenten und
	121	elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt
	122	werden. Alle Systemkomponenten müssen vor dem Einsatz einer
	123	unabhängigen Analyse unterzogen werden. Vorab-Angriffe gegen die für
	124	die Wahl eingesetzen Computer müssen durch Einsatz von vorher nicht
	125	anderweitig verwendeten Systemen erschwert werden.
	126	6. Noch verwendete Oldtimer-Software muss in modernen, sichereren
	127	Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und
	128	begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit
	129	dem Quellcode publiziert werden. Lokale Sonderlösungen bei
	130	elektronischen Zählhilfen müssen minimiert werden. Es bedarf
	131	festgeschriebener Standards auf aktuellem Stand der Technik für alle
	132	verwendeten Rechner und deren Konfiguration sowie für alle System-
	133	und Netzwerkkomponenten.
	134	7. Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen.
	135	Bedienfehler und Fehler in der Software müssen von vorneherein
	136	mitbedacht werden.
	137	8. Möglichst detaillierte Publikation von Auswertungsdaten und deren
	138	Änderungsverlauf für eine öffentliche Prüfung. Dabei bedarf es einer
	139	Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis
	140	oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies
	141	ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche
	142	Einsatz der Software in Augenschein genommen werden kann, um das
	143	Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu
	144	erlauben.
	145
	146	Links:
	147
	148	\[0\] Bericht: Analyse einer Wahlsoftware
	149	<https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf>
	150
	151	\[1\] Software-Repository: PC-Wahl
	152	Angriffstools <https://github.com/devio/Walruss>
	153
	154	\[2\] Sijmen
	155	Ruwhof: <https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections>
	156
	157	\[3\] Projekte wie der vom BMWi finanzierte „Prototype Fund“ vergeben
	158	erfolgreich Fördermittel für die Entwicklung von
	159	Open-Source-Software: <https://prototypefund.de/>
	160
	161	\[4\] Die Hörversion der Analyse bei
	162	Logbuch:Netzpolitik: <https://logbuch-netzpolitik.de/lnp228-interessierte-buerger>
	163
	164	\[5\] Der Artikel zur [Geschichte der
	165	Analyse](http://www.zeit.de/digital/datenschutz/2017-09/bundestagswahl-wahlsoftware-hackerangriff-sicherheit-bsi-bundeswahlleiter/komplettansicht "Zeit Online zur Analyse der PC-Wahl")
	166	bei Zeit Online
	167
	168	Bebilderung:
	169
	170	Das Bild zeigt das tatsächliche Logo der Software „PC-Wahl“ der Version
	171	10.
	172
	173