From 1db6582d7ccf3deecdf3201a4188fa4f9eee8ea8 Mon Sep 17 00:00:00 2001 From: webmaster Date: Sat, 18 Apr 2009 19:12:40 +0000 Subject: committing page revision 1 --- updates/2007/wahlstift-hack.md | 137 +++++++++++++++++++++++++++++++++++++++++ 1 file changed, 137 insertions(+) create mode 100644 updates/2007/wahlstift-hack.md (limited to 'updates') diff --git a/updates/2007/wahlstift-hack.md b/updates/2007/wahlstift-hack.md new file mode 100644 index 00000000..4b9d1bda --- /dev/null +++ b/updates/2007/wahlstift-hack.md @@ -0,0 +1,137 @@ +title: Chaos Computer Club hackt Basistechnologie des Hamburger Wahlstifts +date: 2007-10-25 00:00:00 +updated: 2009-04-18 19:12:40 +author: webmaster +tags: update, pressemitteilung + + +Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen Wahlstift" gewählt werden. Durch eine grundlegende Änderung des Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht. Der Chaos Computer Club (CCC) weist nun mit der Demonstration eines Wahlstift-Trojaners auf die erheblichen Manipulationsrisiken dieses Verfahrens hin. + + + +*[Update](/de/wahlstifthack/wahlstift-hack-waehlertaeuschung)* + +Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger +Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die +Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür +bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische +Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem +Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der +Stift wird anschließend in eine Auslesestation gesteckt, um das digitale +Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop +werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den +gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen +Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle +Stimmen zusätzlich auf einem USB-Stick gespeichert. + +Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die vom +Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des +Wählerwillens gelten, das Papier dient nur als wählerberuhigende +Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur in +17 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen, welche +nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem +herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als +ungültig und werden aussortiert. Bei einer Differenz zwischen der +Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb +nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom +Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen +von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit +ebenfalls ein computergestütztes Ergebnis zu ermitteln. + +Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl +vorgegaukelt, de facto findet aber eine Computerwahl mit allen bekannten +Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der Hamburger +Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP-Wahlcomputer, +die gerade in den Niederlanden wegen zahlreicher Sicherheitsprobleme und +mangelnder Nachprüfkeit des Zustandekommens des Ergebnisses abgeschafft +wurden. \[1\] + +Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu +belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria +erstellt, einem Standard der eigentlich zur Standardisierung von +Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt +wurde. Die Verwendbarkeit von Common Criteria für die Beurteilung von +Wahlsystemen gilt demzufolge unter Experten als äußerst zweifelhaft. +Gegenstand des Schutzprofils soll dabei die Auslesestation und der +Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und +Zählsoftware auf dem Laptop sein. Die Prüfung umfasst jedoch nicht den +Drucker, den Laptop, auf dem Windows XP als Betriebssystem laufen wird, +und die zentrale Auswertungssoftware beim Statistikamt Nord. Die +ebenfalls beteiligte Physikalisch-Technische Bundesanstalt (PTB) führt +lediglich eine Prüfung zur funktionalen Korrektheit des Wahlstiftsystems +durch. Die PTB hatte schon die Wahlcomputer der Firma NEDAP für +Deutschland als sicher eingestuft, welche in den Niederlanden gerade +aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen +wurden. Daher ist es begrüßenswert, dass sie derzeit nicht mit Fragen +der Sicherheit des Systems befasst ist. + +Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer, +Administratoren der Behörde für Inneres oder Mitarbeiter der +Herstellerfirmen wird im Schutzprofil per Definition ausgeschlossen. Der +Sprecher des Chaos Computer Club, Dirk Engling, sagte dazu: "Die +Ignoranz gegenüber der Innentätergefahr entlarvt das konzeptionell +falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen +Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung +vergisst und sich nachher wundert, dass das Flugzeug nicht abheben +kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass +es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden, +disqualifiziert die Sicherheitsannahmen für das System vollständig. + +Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und +damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit eine +öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden +wird. Kritische Aussagen der Verfassungsexperten Dr. Stephanie +Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert. Auch +Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein und dem +CCC wurden als theoretisch oder populistisch abgetan. "Die +Geheimniskrämerei erinnert fatal an das Vorgehen bei +NEDAP-Wahlcomputern, offenbar unterschätzen die Hamburger +Entscheidungsträger die Sicherheitsprobleme und haben aus dem Desaster +im Nachbarland Niederlande nichts gelernt", sagte CCC-Sprecher Dirk +Engling. + +Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein komplettes +System für eine Analyse erhalten hat, konnten anhand der verfügbaren +Informationen und durch Untersuchung der Basistechnologie des +Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden +prinzipiellen Mängeln identifiziert werden. Dabei wurde das grundlegende +Problem computergestützter Wahlen - die mangelnde Überprüfbarkeit durch +den Wähler - überdeutlich. + +Der CCC hat zur beispielhaften Illustration der vielfältigen +Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft +einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher +erkennbar ist. Solch ein Stift kann sowohl von Wählern als auch von an +der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt +ins Wahllokal mitgebracht und statt dem echten Wahlstift in die +Auslesestation gesteckt werden. Der manipulierte Stift überträgt dann +nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert +als ein sogenanntes Trojanisches Pferd zum Einschleusen von +Schadsoftware. Sobald der Stift in die Auslesestation gesteckt wird, +aktiviert sich ein Manipulationsprogramm, welches automatisch auf das +Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird. +Das Programm kann nun problemlos Manipulationen auf dem +Auswertungslaptop vornehmen, indem es z. B. die Position der digital +gespeicherten Stimmkreuze verändert, das Endergebnis verfälscht, +speichert und ausgibt. + +"Der trojanische Wahlstift ist nur einer von vielen verschiedenen +Angriffen gegen das Wahlstiftsystem. Es geht hier nicht um das eine oder +andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das +prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt +wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine +unsichere und intransparente Computerwahl ist", sagte CCC-Sprecher Dirk +Engling. + +Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen Probleme +des Digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit +durch den Wähler, fordert der Chaos Computer Club den Hamburger +Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit +massiver Nacharbeit an den heute sichtbaren Sicherheitslücken ist das +System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen +in Deutschland zu erfüllen. + +### Weiterführende Informationen + +\[1\] +[http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert](/de/updates/2007/wahlcomputer-ausgemustert) -- cgit v1.2.3