committing page revision 1

author: 46halbe <46halbe@berlin.ccc.de> 2017-02-13 07:51:45 +0000
committer: 46halbe <46halbe@berlin.ccc.de> 2020-05-23 13:39:59 +0000
commit: 11680190358bcd8a2a46e4cf5bff295557a9c87d (patch)
tree: 42f74d1e7b33e987aad8aa3a7911615cbcf35d48 /updates/2017
parent: 4e4d5fdae2f032fa9f67b53ee915cee04f5372de (diff)
1 files changed, 96 insertions, 0 deletions
diff --git a/updates/2017/wahlsoftware.md b/updates/2017/wahlsoftware.md
new file mode 100644
index 00000000..5d7f4262
--- /dev/null
+++ b/updates/2017/wahlsoftware.md
@@ -0,0 +1,96 @@
+title: Wahl-Software muss auch in Deutschland sicherheitsüberprüft werden
+date: 2017-02-12 21:57:00 
+updated: 2017-02-13 07:51:45 
+author: erdgeist
+tags: update, pressemitteilung
+In den Niederlanden wurde die Software zur Auszählung von Wahlen wegen Sicherheitsproblemen abgeschafft. Das gleiche Produkt wird auch in Deutschland verwendet – eine Sicherheitsprüfung ist unumgänglich. Wir bitten um Zusendung der Software zum Zwecke der Sicherheitsprüfung.
+<!-- TEASER_END -->
+Wenige Wochen vor den nächsten Wahlen in den Niederlanden hat das dort
+zuständige Ministerium die Verwendung der bisher für das Zusammenrechnen
+und die Präsentation der Wahlergebnisse verwendeten Software untersagt.
+\[1\] Grund dafür sind die kürzlich von einem Forscher aufgedeckten
+gravierenden Sicherheitsmängel \[2\] und die Sorge um Wahlmanipulation
+durch ausländische Mächte. Schon 2011 wurden erhebliche
+Sicherheitsprobleme in der damaligen Version der Software
+aufgedeckt, \[3\] ohne daß es eine Reaktion gab.
+Das gleiche Softwareprodukt wird auch in Deutschland verwendet – in
+verschiedenen Bundesländern, vom Bundeswahlleiter und vom Statistischen
+Bundesamt. \[4\] Mit dem kommerziellen Partner IVU wird die Organisation
+von Wahlen und das Zusammenzählen der Stimmen mit der Software
+„IVU.elect“ vorgenommen. Die Software soll „Plausibilitätsprüfungen“
+erledigen und alle Prozesse nach Schließung der Wahllokale
+automatisieren. Auch verschiedene Landesämter für Statistik kooperieren
+mit dem Anbieter IVU. So wurde „IVU.elect“ in Brandenburg bereits
+getestet. \[5\] Leider hat die Software einen erheblichen Nachteil: Die
+in Deutschland verwendete Version liegt nicht quelloffen vor. Auch
+Audit-Berichte sind bisher nicht öffentlich zugänglich.
+Nachdem – auch durch die jahrelange Arbeit des Chaos Computer Clubs –
+die Verwendung von Wahlcomputern in Deutschland beendet wurde, rückt nun
+die für die Wahlauswertung und das Zusammenrechnen verwendete Software
+ins Zentrum der Risikobetrachtung. Zwar unterliegt durch die reine
+Papierwahl in Deutschland eine direkte Wahlfälschung einem hohen
+Entdeckungsrisiko. Eine durch einen digitalen Angriff erzeugte
+erhebliche Diskrepanz zwischen den Auszählungsergebnissen in den
+Wahllokalen und den veröffentlichten Resultaten könnte jedoch zu einem
+Vertrauensverlust und weitverbreiteten Zweifeln an der Integrität der
+Wahlprozesse führen.
+„Egal, wem man so eine Manipulation zutraut: An der Integrität der
+Wahlen dürfen keinerlei Zweifel aufkommen. Die aufgezeigten digitalen
+Angriffsmöglichkeiten beeinträchtigen jedoch das Vertrauen in einen
+korrekten Ablauf der Auszählung“, sagte der Sprecher des CCC, Dirk
+Engling. „Bis zur Bundestagswahl ist es nicht mehr lange, es ist an der
+Zeit zu handeln.“
+Auch in Deutschland sollte die Wahlsoftware aller Hersteller – nicht nur
+die von IVU – intensiven öffentlich zugänglichen Sicherheitsanalysen und
+-tests unterzogen werden. Wir bitten daher Menschen, die Zugriff auf
+aktuelle Varianten von „IVU.elect“ oder für den gleichen Zweck
+verwendete Konkurrenzprodukte haben, uns eine Kopie zum Zwecke der
+Sicherheitsprüfung zu senden. Wir haben dafür die spezielle
+E-Mailadresse wahlcomputer(at)ccc.de für anonyme Download-Links
+vorgesehen, \[6\] nehmen aber auch gern braune Umschläge mit möglichst
+kleinformatigen Datenträgern entgegen:
+Chaos Computer Club Berlin\
+Postfach 64 02 36\
+10048 Berlin
+ 
+**Links**:
+\[0\] Mы призываем всех пользователей „IVU.elect“, или аналогам от
+других компаний, используемых на предстоящих федеральных выборах,
+поделиться с ими для независимого анализа на наличие
+уязвимостей: [pdf](http://ccc.de/system/uploads/221/original/ccc-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0.pdf)
+\[1\] [Software in den Niederlanden wird nicht mehr für die nächsten
+Wahlen
+verwendet](http://www.rtlnieuws.nl/nederland/politiek/vrees-voor-hackers-kabinet-schrapt-software-stemmen-tellen-volledig-met-de-hand)
+\[2\] Blogpost: Sicherheitsanalyse\
+<https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections#more-1166>
+\[3\] Masterarbeit aus dem Jahr 2011, die schon Schwachstellen
+aufzeigte:
+<http://www.ru.nl/publish/pages/769526/m_engberts_scriptie.pdf>
+\[4\] [Produktbroschüre von
+IVU.elect](http://www.ivu.com/fileadmin/ivu/pdf/aktuelles/broschueren/IVUelect_en.pdf)
+(pdf)
+\[5\] Brandenburg: „Software der IVU sorgt für sichere
+Stimmenauszählung“\
+<http://mb.cision.com/Main/5704/2097775/573101.pdf>
+\[6\] GPG-Key für wahlcomputer(at)ccc.de:\
+Fingerprint 001D 5376 5583 831C 60ED  B765 A4FD DABB FA1F 920D
+\[7\] Source von zwei Teilprogrammen der in .nl verwendeten Software\
+<https://www.kiesraad.nl/adviezen-en-publicaties/formulieren/2016/osv/osv-bestanden/osv-broncode-programma-4-en-5-versie-2.17.2>
author	46halbe <46halbe@berlin.ccc.de>	2017-02-13 07:51:45 +0000
committer	46halbe <46halbe@berlin.ccc.de>	2020-05-23 13:39:59 +0000
commit	11680190358bcd8a2a46e4cf5bff295557a9c87d (patch)
tree	42f74d1e7b33e987aad8aa3a7911615cbcf35d48 /updates/2017
parent	4e4d5fdae2f032fa9f67b53ee915cee04f5372de (diff)

diff --git a/updates/2017/wahlsoftware.md b/updates/2017/wahlsoftware.md new file mode 100644 index 00000000..5d7f4262 --- /dev/null +++ b/updates/2017/wahlsoftware.md
@@ -0,0 +1,96 @@
	1	title: Wahl-Software muss auch in Deutschland sicherheitsüberprüft werden
	2	date: 2017-02-12 21:57:00
	3	updated: 2017-02-13 07:51:45
	4	author: erdgeist
	5	tags: update, pressemitteilung
	6
	7	In den Niederlanden wurde die Software zur Auszählung von Wahlen wegen Sicherheitsproblemen abgeschafft. Das gleiche Produkt wird auch in Deutschland verwendet – eine Sicherheitsprüfung ist unumgänglich. Wir bitten um Zusendung der Software zum Zwecke der Sicherheitsprüfung.
	8
	9	<!-- TEASER_END -->
	10
	11	Wenige Wochen vor den nächsten Wahlen in den Niederlanden hat das dort
	12	zuständige Ministerium die Verwendung der bisher für das Zusammenrechnen
	13	und die Präsentation der Wahlergebnisse verwendeten Software untersagt.
	14	\[1\] Grund dafür sind die kürzlich von einem Forscher aufgedeckten
	15	gravierenden Sicherheitsmängel \[2\] und die Sorge um Wahlmanipulation
	16	durch ausländische Mächte. Schon 2011 wurden erhebliche
	17	Sicherheitsprobleme in der damaligen Version der Software
	18	aufgedeckt, \[3\] ohne daß es eine Reaktion gab.
	19
	20	Das gleiche Softwareprodukt wird auch in Deutschland verwendet – in
	21	verschiedenen Bundesländern, vom Bundeswahlleiter und vom Statistischen
	22	Bundesamt. \[4\] Mit dem kommerziellen Partner IVU wird die Organisation
	23	von Wahlen und das Zusammenzählen der Stimmen mit der Software
	24	„IVU.elect“ vorgenommen. Die Software soll „Plausibilitätsprüfungen“
	25	erledigen und alle Prozesse nach Schließung der Wahllokale
	26	automatisieren. Auch verschiedene Landesämter für Statistik kooperieren
	27	mit dem Anbieter IVU. So wurde „IVU.elect“ in Brandenburg bereits
	28	getestet. \[5\] Leider hat die Software einen erheblichen Nachteil: Die
	29	in Deutschland verwendete Version liegt nicht quelloffen vor. Auch
	30	Audit-Berichte sind bisher nicht öffentlich zugänglich.
	31
	32	Nachdem – auch durch die jahrelange Arbeit des Chaos Computer Clubs –
	33	die Verwendung von Wahlcomputern in Deutschland beendet wurde, rückt nun
	34	die für die Wahlauswertung und das Zusammenrechnen verwendete Software
	35	ins Zentrum der Risikobetrachtung. Zwar unterliegt durch die reine
	36	Papierwahl in Deutschland eine direkte Wahlfälschung einem hohen
	37	Entdeckungsrisiko. Eine durch einen digitalen Angriff erzeugte
	38	erhebliche Diskrepanz zwischen den Auszählungsergebnissen in den
	39	Wahllokalen und den veröffentlichten Resultaten könnte jedoch zu einem
	40	Vertrauensverlust und weitverbreiteten Zweifeln an der Integrität der
	41	Wahlprozesse führen.
	42
	43	„Egal, wem man so eine Manipulation zutraut: An der Integrität der
	44	Wahlen dürfen keinerlei Zweifel aufkommen. Die aufgezeigten digitalen
	45	Angriffsmöglichkeiten beeinträchtigen jedoch das Vertrauen in einen
	46	korrekten Ablauf der Auszählung“, sagte der Sprecher des CCC, Dirk
	47	Engling. „Bis zur Bundestagswahl ist es nicht mehr lange, es ist an der
	48	Zeit zu handeln.“
	49
	50	Auch in Deutschland sollte die Wahlsoftware aller Hersteller – nicht nur
	51	die von IVU – intensiven öffentlich zugänglichen Sicherheitsanalysen und
	52	-tests unterzogen werden. Wir bitten daher Menschen, die Zugriff auf
	53	aktuelle Varianten von „IVU.elect“ oder für den gleichen Zweck
	54	verwendete Konkurrenzprodukte haben, uns eine Kopie zum Zwecke der
	55	Sicherheitsprüfung zu senden. Wir haben dafür die spezielle
	56	E-Mailadresse wahlcomputer(at)ccc.de für anonyme Download-Links
	57	vorgesehen, \[6\] nehmen aber auch gern braune Umschläge mit möglichst
	58	kleinformatigen Datenträgern entgegen:
	59
	60	Chaos Computer Club Berlin\
	61	Postfach 64 02 36\
	62	10048 Berlin
	63
	64
	65
	66	Links:
	67
	68	\[0\] Mы призываем всех пользователей „IVU.elect“, или аналогам от
	69	других компаний, используемых на предстоящих федеральных выборах,
	70	поделиться с ими для независимого анализа на наличие
	71	уязвимостей: [pdf](http://ccc.de/system/uploads/221/original/ccc-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0.pdf)
	72
	73	\[1\] [Software in den Niederlanden wird nicht mehr für die nächsten
	74	Wahlen
	75	verwendet](http://www.rtlnieuws.nl/nederland/politiek/vrees-voor-hackers-kabinet-schrapt-software-stemmen-tellen-volledig-met-de-hand)
	76
	77	\[2\] Blogpost: Sicherheitsanalyse\
	78	<https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections#more-1166>
	79
	80	\[3\] Masterarbeit aus dem Jahr 2011, die schon Schwachstellen
	81	aufzeigte:
	82	<http://www.ru.nl/publish/pages/769526/m_engberts_scriptie.pdf>
	83
	84	\[4\] [Produktbroschüre von
	85	IVU.elect](http://www.ivu.com/fileadmin/ivu/pdf/aktuelles/broschueren/IVUelect_en.pdf)
	86	(pdf)
	87
	88	\[5\] Brandenburg: „Software der IVU sorgt für sichere
	89	Stimmenauszählung“\
	90	<http://mb.cision.com/Main/5704/2097775/573101.pdf>
	91
	92	\[6\] GPG-Key für wahlcomputer(at)ccc.de:\
	93	Fingerprint 001D 5376 5583 831C 60ED B765 A4FD DABB FA1F 920D
	94
	95	\[7\] Source von zwei Teilprogrammen der in .nl verwendeten Software\
	96	<https://www.kiesraad.nl/adviezen-en-publicaties/formulieren/2016/osv/osv-bestanden/osv-broncode-programma-4-en-5-versie-2.17.2>