diff options
Diffstat (limited to 'updates')
| -rw-r--r-- | updates/2007/wahlstift-hack.md | 137 |
1 files changed, 137 insertions, 0 deletions
diff --git a/updates/2007/wahlstift-hack.md b/updates/2007/wahlstift-hack.md new file mode 100644 index 00000000..4b9d1bda --- /dev/null +++ b/updates/2007/wahlstift-hack.md | |||
| @@ -0,0 +1,137 @@ | |||
| 1 | title: Chaos Computer Club hackt Basistechnologie des Hamburger Wahlstifts | ||
| 2 | date: 2007-10-25 00:00:00 | ||
| 3 | updated: 2009-04-18 19:12:40 | ||
| 4 | author: webmaster | ||
| 5 | tags: update, pressemitteilung | ||
| 6 | |||
| 7 | |||
| 8 | Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Durch eine grundlegende Änderung des Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht. Der Chaos Computer Club (CCC) weist nun mit der Demonstration eines Wahlstift-Trojaners auf die erheblichen Manipulationsrisiken dieses Verfahrens hin. | ||
| 9 | |||
| 10 | <!-- TEASER_END --> | ||
| 11 | |||
| 12 | *[Update](/de/wahlstifthack/wahlstift-hack-waehlertaeuschung)* | ||
| 13 | |||
| 14 | Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger | ||
| 15 | Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die | ||
| 16 | Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür | ||
| 17 | bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische | ||
| 18 | Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem | ||
| 19 | Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der | ||
| 20 | Stift wird anschließend in eine Auslesestation gesteckt, um das digitale | ||
| 21 | Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop | ||
| 22 | werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den | ||
| 23 | gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen | ||
| 24 | Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle | ||
| 25 | Stimmen zusätzlich auf einem USB-Stick gespeichert. | ||
| 26 | |||
| 27 | Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die vom | ||
| 28 | Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des | ||
| 29 | Wählerwillens gelten, das Papier dient nur als wählerberuhigende | ||
| 30 | Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur in | ||
| 31 | 17 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen, welche | ||
| 32 | nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem | ||
| 33 | herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als | ||
| 34 | ungültig und werden aussortiert. Bei einer Differenz zwischen der | ||
| 35 | Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb | ||
| 36 | nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom | ||
| 37 | Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen | ||
| 38 | von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit | ||
| 39 | ebenfalls ein computergestütztes Ergebnis zu ermitteln. | ||
| 40 | |||
| 41 | Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl | ||
| 42 | vorgegaukelt, de facto findet aber eine Computerwahl mit allen bekannten | ||
| 43 | Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger | ||
| 44 | Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP-Wahlcomputer, | ||
| 45 | die gerade in den Niederlanden wegen zahlreicher Sicherheitsprobleme und | ||
| 46 | mangelnder Nachprüfkeit des Zustandekommens des Ergebnisses abgeschafft | ||
| 47 | wurden. \[1\] | ||
| 48 | |||
| 49 | Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu | ||
| 50 | belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria | ||
| 51 | erstellt, einem Standard der eigentlich zur Standardisierung von | ||
| 52 | Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt | ||
| 53 | wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von | ||
| 54 | Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft. | ||
| 55 | Gegenstand des Schutzprofils soll dabei die Auslesestation und der | ||
| 56 | Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und | ||
| 57 | Zählsoftware auf dem Laptop sein. Die Prüfung umfasst jedoch nicht den | ||
| 58 | Drucker, den Laptop, auf dem Windows XP als Betriebssystem laufen wird, | ||
| 59 | und die zentrale Auswertungssoftware beim Statistikamt Nord. Die | ||
| 60 | ebenfalls beteiligte Physikalisch-Technische Bundesanstalt (PTB) führt | ||
| 61 | lediglich eine Prüfung zur funktionalen Korrektheit des Wahlstiftsystems | ||
| 62 | durch. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für | ||
| 63 | Deutschland als sicher eingestuft, welche in den Niederlanden gerade | ||
| 64 | aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen | ||
| 65 | wurden. Daher ist es begrüßenswert, dass sie derzeit nicht mit Fragen | ||
| 66 | der Sicherheit des Systems befasst ist. | ||
| 67 | |||
| 68 | Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer, | ||
| 69 | Administratoren der Behörde für Inneres oder Mitarbeiter der | ||
| 70 | Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der | ||
| 71 | Sprecher des Chaos Computer Club, Dirk Engling, sagte dazu: "Die | ||
| 72 | Ignoranz gegenüber der Innentätergefahr entlarvt das konzeptionell | ||
| 73 | falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen | ||
| 74 | Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung | ||
| 75 | vergisst und sich nachher wundert, dass das Flugzeug nicht abheben | ||
| 76 | kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass | ||
| 77 | es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden, | ||
| 78 | disqualifiziert die Sicherheitsannahmen für das System vollständig. | ||
| 79 | |||
| 80 | Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und | ||
| 81 | damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit eine | ||
| 82 | öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden | ||
| 83 | wird. Kritische Aussagen der Verfassungsexperten Dr. Stephanie | ||
| 84 | Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert. Auch | ||
| 85 | Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem | ||
| 86 | CCC wurden als theoretisch oder populistisch abgetan. "Die | ||
| 87 | Geheimniskrämerei erinnert fatal an das Vorgehen bei | ||
| 88 | NEDAP-Wahlcomputern, offenbar unterschätzen die Hamburger | ||
| 89 | Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster | ||
| 90 | im Nachbarland Niederlande nichts gelernt", sagte CCC-Sprecher Dirk | ||
| 91 | Engling. | ||
| 92 | |||
| 93 | Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes | ||
| 94 | System für eine Analyse erhalten hat, konnten anhand der verfügbaren | ||
| 95 | Informationen und durch Untersuchung der Basistechnologie des | ||
| 96 | Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden | ||
| 97 | prinzipiellen Mängeln identifiziert werden. Dabei wurde das grundlegende | ||
| 98 | Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch | ||
| 99 | den Wähler - überdeutlich. | ||
| 100 | |||
| 101 | Der CCC hat zur beispielhaften Illustration der vielfältigen | ||
| 102 | Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft | ||
| 103 | einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher | ||
| 104 | erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an | ||
| 105 | der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt | ||
| 106 | ins Wahllokal mitgebracht und statt dem echten Wahlstift in die | ||
| 107 | Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann | ||
| 108 | nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert | ||
| 109 | als ein sogenanntes Trojanisches Pferd zum Einschleusen von | ||
| 110 | Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird, | ||
| 111 | aktiviert sich ein Manipulationsprogramm, welches automatisch auf das | ||
| 112 | Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird. | ||
| 113 | Das Programm kann nun problemlos Manipulationen auf dem | ||
| 114 | Auswertungslaptop vornehmen, indem es z. B. die Position der digital | ||
| 115 | gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht, | ||
| 116 | speichert und ausgibt. | ||
| 117 | |||
| 118 | "Der trojanische Wahlstift ist nur einer von vielen verschiedenen | ||
| 119 | Angriffen gegen das Wahlstiftsystem. Es geht hier nicht um das eine oder | ||
| 120 | andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das | ||
| 121 | prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt | ||
| 122 | wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine | ||
| 123 | unsichere und intransparente Computerwahl ist", sagte CCC-Sprecher Dirk | ||
| 124 | Engling. | ||
| 125 | |||
| 126 | Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen Probleme | ||
| 127 | des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit | ||
| 128 | durch den Wähler, fordert der Chaos Computer Club den Hamburger | ||
| 129 | Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit | ||
| 130 | massiver Nacharbeit an den heute sichtbaren Sicherheitslücken ist das | ||
| 131 | System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen | ||
| 132 | in Deutschland zu erfüllen. | ||
| 133 | |||
| 134 | ### Weiterführende Informationen | ||
| 135 | |||
| 136 | \[1\] | ||
| 137 | [http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert](/de/updates/2007/wahlcomputer-ausgemustert) | ||