diff options
Diffstat (limited to 'updates/2007')
-rw-r--r-- | updates/2007/wahlstift-hack.md | 137 |
1 files changed, 137 insertions, 0 deletions
diff --git a/updates/2007/wahlstift-hack.md b/updates/2007/wahlstift-hack.md new file mode 100644 index 00000000..4b9d1bda --- /dev/null +++ b/updates/2007/wahlstift-hack.md | |||
@@ -0,0 +1,137 @@ | |||
1 | title: Chaos Computer Club hackt Basistechnologie des Hamburger Wahlstifts | ||
2 | date: 2007-10-25 00:00:00 | ||
3 | updated: 2009-04-18 19:12:40 | ||
4 | author: webmaster | ||
5 | tags: update, pressemitteilung | ||
6 | |||
7 | |||
8 | Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Durch eine grundlegende Änderung des Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht. Der Chaos Computer Club (CCC) weist nun mit der Demonstration eines Wahlstift-Trojaners auf die erheblichen Manipulationsrisiken dieses Verfahrens hin. | ||
9 | |||
10 | <!-- TEASER_END --> | ||
11 | |||
12 | *[Update](/de/wahlstifthack/wahlstift-hack-waehlertaeuschung)* | ||
13 | |||
14 | Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger | ||
15 | Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die | ||
16 | Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür | ||
17 | bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische | ||
18 | Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem | ||
19 | Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der | ||
20 | Stift wird anschließend in eine Auslesestation gesteckt, um das digitale | ||
21 | Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop | ||
22 | werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den | ||
23 | gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen | ||
24 | Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle | ||
25 | Stimmen zusätzlich auf einem USB-Stick gespeichert. | ||
26 | |||
27 | Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die vom | ||
28 | Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des | ||
29 | Wählerwillens gelten, das Papier dient nur als wählerberuhigende | ||
30 | Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur in | ||
31 | 17 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen, welche | ||
32 | nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem | ||
33 | herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als | ||
34 | ungültig und werden aussortiert. Bei einer Differenz zwischen der | ||
35 | Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb | ||
36 | nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom | ||
37 | Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen | ||
38 | von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit | ||
39 | ebenfalls ein computergestütztes Ergebnis zu ermitteln. | ||
40 | |||
41 | Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl | ||
42 | vorgegaukelt, de facto findet aber eine Computerwahl mit allen bekannten | ||
43 | Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger | ||
44 | Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP-Wahlcomputer, | ||
45 | die gerade in den Niederlanden wegen zahlreicher Sicherheitsprobleme und | ||
46 | mangelnder Nachprüfkeit des Zustandekommens des Ergebnisses abgeschafft | ||
47 | wurden. \[1\] | ||
48 | |||
49 | Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu | ||
50 | belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria | ||
51 | erstellt, einem Standard der eigentlich zur Standardisierung von | ||
52 | Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt | ||
53 | wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von | ||
54 | Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft. | ||
55 | Gegenstand des Schutzprofils soll dabei die Auslesestation und der | ||
56 | Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und | ||
57 | Zählsoftware auf dem Laptop sein. Die Prüfung umfasst jedoch nicht den | ||
58 | Drucker, den Laptop, auf dem Windows XP als Betriebssystem laufen wird, | ||
59 | und die zentrale Auswertungssoftware beim Statistikamt Nord. Die | ||
60 | ebenfalls beteiligte Physikalisch-Technische Bundesanstalt (PTB) führt | ||
61 | lediglich eine Prüfung zur funktionalen Korrektheit des Wahlstiftsystems | ||
62 | durch. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für | ||
63 | Deutschland als sicher eingestuft, welche in den Niederlanden gerade | ||
64 | aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen | ||
65 | wurden. Daher ist es begrüßenswert, dass sie derzeit nicht mit Fragen | ||
66 | der Sicherheit des Systems befasst ist. | ||
67 | |||
68 | Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer, | ||
69 | Administratoren der Behörde für Inneres oder Mitarbeiter der | ||
70 | Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der | ||
71 | Sprecher des Chaos Computer Club, Dirk Engling, sagte dazu: "Die | ||
72 | Ignoranz gegenüber der Innentätergefahr entlarvt das konzeptionell | ||
73 | falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen | ||
74 | Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung | ||
75 | vergisst und sich nachher wundert, dass das Flugzeug nicht abheben | ||
76 | kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass | ||
77 | es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden, | ||
78 | disqualifiziert die Sicherheitsannahmen für das System vollständig. | ||
79 | |||
80 | Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und | ||
81 | damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit eine | ||
82 | öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden | ||
83 | wird. Kritische Aussagen der Verfassungsexperten Dr. Stephanie | ||
84 | Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert. Auch | ||
85 | Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem | ||
86 | CCC wurden als theoretisch oder populistisch abgetan. "Die | ||
87 | Geheimniskrämerei erinnert fatal an das Vorgehen bei | ||
88 | NEDAP-Wahlcomputern, offenbar unterschätzen die Hamburger | ||
89 | Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster | ||
90 | im Nachbarland Niederlande nichts gelernt", sagte CCC-Sprecher Dirk | ||
91 | Engling. | ||
92 | |||
93 | Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes | ||
94 | System für eine Analyse erhalten hat, konnten anhand der verfügbaren | ||
95 | Informationen und durch Untersuchung der Basistechnologie des | ||
96 | Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden | ||
97 | prinzipiellen Mängeln identifiziert werden. Dabei wurde das grundlegende | ||
98 | Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch | ||
99 | den Wähler - überdeutlich. | ||
100 | |||
101 | Der CCC hat zur beispielhaften Illustration der vielfältigen | ||
102 | Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft | ||
103 | einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher | ||
104 | erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an | ||
105 | der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt | ||
106 | ins Wahllokal mitgebracht und statt dem echten Wahlstift in die | ||
107 | Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann | ||
108 | nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert | ||
109 | als ein sogenanntes Trojanisches Pferd zum Einschleusen von | ||
110 | Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird, | ||
111 | aktiviert sich ein Manipulationsprogramm, welches automatisch auf das | ||
112 | Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird. | ||
113 | Das Programm kann nun problemlos Manipulationen auf dem | ||
114 | Auswertungslaptop vornehmen, indem es z. B. die Position der digital | ||
115 | gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht, | ||
116 | speichert und ausgibt. | ||
117 | |||
118 | "Der trojanische Wahlstift ist nur einer von vielen verschiedenen | ||
119 | Angriffen gegen das Wahlstiftsystem. Es geht hier nicht um das eine oder | ||
120 | andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das | ||
121 | prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt | ||
122 | wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine | ||
123 | unsichere und intransparente Computerwahl ist", sagte CCC-Sprecher Dirk | ||
124 | Engling. | ||
125 | |||
126 | Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen Probleme | ||
127 | des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit | ||
128 | durch den Wähler, fordert der Chaos Computer Club den Hamburger | ||
129 | Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit | ||
130 | massiver Nacharbeit an den heute sichtbaren Sicherheitslücken ist das | ||
131 | System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen | ||
132 | in Deutschland zu erfüllen. | ||
133 | |||
134 | ### Weiterführende Informationen | ||
135 | |||
136 | \[1\] | ||
137 | [http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert](/de/updates/2007/wahlcomputer-ausgemustert) | ||