From 11680190358bcd8a2a46e4cf5bff295557a9c87d Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Mon, 13 Feb 2017 07:51:45 +0000 Subject: committing page revision 1 --- updates/2017/wahlsoftware.md | 96 ++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 96 insertions(+) create mode 100644 updates/2017/wahlsoftware.md (limited to 'updates/2017/wahlsoftware.md') diff --git a/updates/2017/wahlsoftware.md b/updates/2017/wahlsoftware.md new file mode 100644 index 00000000..5d7f4262 --- /dev/null +++ b/updates/2017/wahlsoftware.md @@ -0,0 +1,96 @@ +title: Wahl-Software muss auch in Deutschland sicherheitsüberprüft werden +date: 2017-02-12 21:57:00 +updated: 2017-02-13 07:51:45 +author: erdgeist +tags: update, pressemitteilung + +In den Niederlanden wurde die Software zur Auszählung von Wahlen wegen Sicherheitsproblemen abgeschafft. Das gleiche Produkt wird auch in Deutschland verwendet – eine Sicherheitsprüfung ist unumgänglich. Wir bitten um Zusendung der Software zum Zwecke der Sicherheitsprüfung. + + + +Wenige Wochen vor den nächsten Wahlen in den Niederlanden hat das dort +zuständige Ministerium die Verwendung der bisher für das Zusammenrechnen +und die Präsentation der Wahlergebnisse verwendeten Software untersagt. +\[1\] Grund dafür sind die kürzlich von einem Forscher aufgedeckten +gravierenden Sicherheitsmängel \[2\] und die Sorge um Wahlmanipulation +durch ausländische Mächte. Schon 2011 wurden erhebliche +Sicherheitsprobleme in der damaligen Version der Software +aufgedeckt, \[3\] ohne daß es eine Reaktion gab. + +Das gleiche Softwareprodukt wird auch in Deutschland verwendet – in +verschiedenen Bundesländern, vom Bundeswahlleiter und vom Statistischen +Bundesamt. \[4\] Mit dem kommerziellen Partner IVU wird die Organisation +von Wahlen und das Zusammenzählen der Stimmen mit der Software +„IVU.elect“ vorgenommen. Die Software soll „Plausibilitätsprüfungen“ +erledigen und alle Prozesse nach Schließung der Wahllokale +automatisieren. Auch verschiedene Landesämter für Statistik kooperieren +mit dem Anbieter IVU. So wurde „IVU.elect“ in Brandenburg bereits +getestet. \[5\] Leider hat die Software einen erheblichen Nachteil: Die +in Deutschland verwendete Version liegt nicht quelloffen vor. Auch +Audit-Berichte sind bisher nicht öffentlich zugänglich. + +Nachdem – auch durch die jahrelange Arbeit des Chaos Computer Clubs – +die Verwendung von Wahlcomputern in Deutschland beendet wurde, rückt nun +die für die Wahlauswertung und das Zusammenrechnen verwendete Software +ins Zentrum der Risikobetrachtung. Zwar unterliegt durch die reine +Papierwahl in Deutschland eine direkte Wahlfälschung einem hohen +Entdeckungsrisiko. Eine durch einen digitalen Angriff erzeugte +erhebliche Diskrepanz zwischen den Auszählungsergebnissen in den +Wahllokalen und den veröffentlichten Resultaten könnte jedoch zu einem +Vertrauensverlust und weitverbreiteten Zweifeln an der Integrität der +Wahlprozesse führen. + +„Egal, wem man so eine Manipulation zutraut: An der Integrität der +Wahlen dürfen keinerlei Zweifel aufkommen. Die aufgezeigten digitalen +Angriffsmöglichkeiten beeinträchtigen jedoch das Vertrauen in einen +korrekten Ablauf der Auszählung“, sagte der Sprecher des CCC, Dirk +Engling. „Bis zur Bundestagswahl ist es nicht mehr lange, es ist an der +Zeit zu handeln.“ + +Auch in Deutschland sollte die Wahlsoftware aller Hersteller – nicht nur +die von IVU – intensiven öffentlich zugänglichen Sicherheitsanalysen und +-tests unterzogen werden. Wir bitten daher Menschen, die Zugriff auf +aktuelle Varianten von „IVU.elect“ oder für den gleichen Zweck +verwendete Konkurrenzprodukte haben, uns eine Kopie zum Zwecke der +Sicherheitsprüfung zu senden. Wir haben dafür die spezielle +E-Mailadresse wahlcomputer(at)ccc.de für anonyme Download-Links +vorgesehen, \[6\] nehmen aber auch gern braune Umschläge mit möglichst +kleinformatigen Datenträgern entgegen: + +Chaos Computer Club Berlin\ +Postfach 64 02 36\ +10048 Berlin + +  + +**Links**: + +\[0\] Mы призываем всех пользователей „IVU.elect“, или аналогам от +других компаний, используемых на предстоящих федеральных выборах, +поделиться с ими для независимого анализа на наличие +уязвимостей: [pdf](http://ccc.de/system/uploads/221/original/ccc-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0.pdf) + +\[1\] [Software in den Niederlanden wird nicht mehr für die nächsten +Wahlen +verwendet](http://www.rtlnieuws.nl/nederland/politiek/vrees-voor-hackers-kabinet-schrapt-software-stemmen-tellen-volledig-met-de-hand) + +\[2\] Blogpost: Sicherheitsanalyse\ + + +\[3\] Masterarbeit aus dem Jahr 2011, die schon Schwachstellen +aufzeigte: + + +\[4\] [Produktbroschüre von +IVU.elect](http://www.ivu.com/fileadmin/ivu/pdf/aktuelles/broschueren/IVUelect_en.pdf) +(pdf) + +\[5\] Brandenburg: „Software der IVU sorgt für sichere +Stimmenauszählung“\ + + +\[6\] GPG-Key für wahlcomputer(at)ccc.de:\ +Fingerprint 001D 5376 5583 831C 60ED  B765 A4FD DABB FA1F 920D + +\[7\] Source von zwei Teilprogrammen der in .nl verwendeten Software\ + -- cgit v1.2.3