summaryrefslogtreecommitdiff
path: root/updates/2017
diff options
context:
space:
mode:
Diffstat (limited to 'updates/2017')
-rw-r--r--updates/2017/wahlsoftware.md96
1 files changed, 96 insertions, 0 deletions
diff --git a/updates/2017/wahlsoftware.md b/updates/2017/wahlsoftware.md
new file mode 100644
index 00000000..5d7f4262
--- /dev/null
+++ b/updates/2017/wahlsoftware.md
@@ -0,0 +1,96 @@
1title: Wahl-Software muss auch in Deutschland sicherheitsüberprüft werden
2date: 2017-02-12 21:57:00
3updated: 2017-02-13 07:51:45
4author: erdgeist
5tags: update, pressemitteilung
6
7In den Niederlanden wurde die Software zur Auszählung von Wahlen wegen Sicherheitsproblemen abgeschafft. Das gleiche Produkt wird auch in Deutschland verwendet – eine Sicherheitsprüfung ist unumgänglich. Wir bitten um Zusendung der Software zum Zwecke der Sicherheitsprüfung.
8
9<!-- TEASER_END -->
10
11Wenige Wochen vor den nächsten Wahlen in den Niederlanden hat das dort
12zuständige Ministerium die Verwendung der bisher für das Zusammenrechnen
13und die Präsentation der Wahlergebnisse verwendeten Software untersagt.
14\[1\] Grund dafür sind die kürzlich von einem Forscher aufgedeckten
15gravierenden Sicherheitsmängel \[2\] und die Sorge um Wahlmanipulation
16durch ausländische Mächte. Schon 2011 wurden erhebliche
17Sicherheitsprobleme in der damaligen Version der Software
18aufgedeckt, \[3\] ohne daß es eine Reaktion gab.
19
20Das gleiche Softwareprodukt wird auch in Deutschland verwendet – in
21verschiedenen Bundesländern, vom Bundeswahlleiter und vom Statistischen
22Bundesamt. \[4\] Mit dem kommerziellen Partner IVU wird die Organisation
23von Wahlen und das Zusammenzählen der Stimmen mit der Software
24„IVU.elect“ vorgenommen. Die Software soll „Plausibilitätsprüfungen“
25erledigen und alle Prozesse nach Schließung der Wahllokale
26automatisieren. Auch verschiedene Landesämter für Statistik kooperieren
27mit dem Anbieter IVU. So wurde „IVU.elect“ in Brandenburg bereits
28getestet. \[5\] Leider hat die Software einen erheblichen Nachteil: Die
29in Deutschland verwendete Version liegt nicht quelloffen vor. Auch
30Audit-Berichte sind bisher nicht öffentlich zugänglich.
31
32Nachdem – auch durch die jahrelange Arbeit des Chaos Computer Clubs –
33die Verwendung von Wahlcomputern in Deutschland beendet wurde, rückt nun
34die für die Wahlauswertung und das Zusammenrechnen verwendete Software
35ins Zentrum der Risikobetrachtung. Zwar unterliegt durch die reine
36Papierwahl in Deutschland eine direkte Wahlfälschung einem hohen
37Entdeckungsrisiko. Eine durch einen digitalen Angriff erzeugte
38erhebliche Diskrepanz zwischen den Auszählungsergebnissen in den
39Wahllokalen und den veröffentlichten Resultaten könnte jedoch zu einem
40Vertrauensverlust und weitverbreiteten Zweifeln an der Integrität der
41Wahlprozesse führen.
42
43„Egal, wem man so eine Manipulation zutraut: An der Integrität der
44Wahlen dürfen keinerlei Zweifel aufkommen. Die aufgezeigten digitalen
45Angriffsmöglichkeiten beeinträchtigen jedoch das Vertrauen in einen
46korrekten Ablauf der Auszählung“, sagte der Sprecher des CCC, Dirk
47Engling. „Bis zur Bundestagswahl ist es nicht mehr lange, es ist an der
48Zeit zu handeln.“
49
50Auch in Deutschland sollte die Wahlsoftware aller Hersteller – nicht nur
51die von IVU – intensiven öffentlich zugänglichen Sicherheitsanalysen und
52-tests unterzogen werden. Wir bitten daher Menschen, die Zugriff auf
53aktuelle Varianten von „IVU.elect“ oder für den gleichen Zweck
54verwendete Konkurrenzprodukte haben, uns eine Kopie zum Zwecke der
55Sicherheitsprüfung zu senden. Wir haben dafür die spezielle
56E-Mailadresse wahlcomputer(at)ccc.de für anonyme Download-Links
57vorgesehen, \[6\] nehmen aber auch gern braune Umschläge mit möglichst
58kleinformatigen Datenträgern entgegen:
59
60Chaos Computer Club Berlin\
61Postfach 64 02 36\
6210048 Berlin
63
64 
65
66**Links**:
67
68\[0\] Mы призываем всех пользователей „IVU.elect“, или аналогам от
69других компаний, используемых на предстоящих федеральных выборах,
70поделиться с ими для независимого анализа на наличие
71уязвимостей: [pdf](http://ccc.de/system/uploads/221/original/ccc-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0.pdf)
72
73\[1\] [Software in den Niederlanden wird nicht mehr für die nächsten
74Wahlen
75verwendet](http://www.rtlnieuws.nl/nederland/politiek/vrees-voor-hackers-kabinet-schrapt-software-stemmen-tellen-volledig-met-de-hand)
76
77\[2\] Blogpost: Sicherheitsanalyse\
78<https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections#more-1166>
79
80\[3\] Masterarbeit aus dem Jahr 2011, die schon Schwachstellen
81aufzeigte:
82<http://www.ru.nl/publish/pages/769526/m_engberts_scriptie.pdf>
83
84\[4\] [Produktbroschüre von
85IVU.elect](http://www.ivu.com/fileadmin/ivu/pdf/aktuelles/broschueren/IVUelect_en.pdf)
86(pdf)
87
88\[5\] Brandenburg: „Software der IVU sorgt für sichere
89Stimmenauszählung“\
90<http://mb.cision.com/Main/5704/2097775/573101.pdf>
91
92\[6\] GPG-Key für wahlcomputer(at)ccc.de:\
93Fingerprint 001D 5376 5583 831C 60ED  B765 A4FD DABB FA1F 920D
94
95\[7\] Source von zwei Teilprogrammen der in .nl verwendeten Software\
96<https://www.kiesraad.nl/adviezen-en-publicaties/formulieren/2016/osv/osv-bestanden/osv-broncode-programma-4-en-5-versie-2.17.2>