1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
|
title: Software zur Auswertung der Bundestagswahl unsicher und angreifbar
date: 2017-09-07 03:11:00
updated: 2017-09-07 09:43:41
author: 46halbe
tags: update, pressemitteilung
previewimage: /images/LogoPC-wahl.jpg
Der Chaos Computer Club veröffentlicht in einer Analyse gravierende Schwachstellen einer bei der Bundestagswahl verwendeten Auswertungssoftware. Im Bericht wird eine Vielfalt erheblicher Mängel und Schwachstellen aufgezeigt. Praktisch anwendbare Angriffstools werden im Sourcecode veröffentlicht.
<!-- TEASER_END -->
Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren
Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl
verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse
ergab eine Vielzahl von Schwachstellen und mehrere praktikable
Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen
auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die
untersuchte Software „PC-Wahl“ wird seit mehreren Jahrzehnten für die
Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes-
und Kommunalebene eingesetzt.
Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das
Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr
als zwanzig Seiten umfassenden Bericht. \[0\] Die technischen Details
und die zum Ausnutzen der Schwächen verfasste Software können in einem
Repository eingesehen und zeitsouverän nachgespielt werden. \[1\]
„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht
beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der
Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus
Neumann, an der Analyse beteiligter Sprecher des CCC.
Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein
vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den
vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte
Update-Mechanismus von „PC-Wahl“ ermöglicht eine
one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung
des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der
überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen
werden, dass die Schwachstellen nicht allein dem CCC bekannt waren.
„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des
Herstellers, über die Software selbst bis hin zu den exportierten
Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei
praktisch relevanten Angriffsszenarien“, so Neumann weiter.
Die Software kann bereits zur Erfassung der Auszählungsergebnisse in
Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden
verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software
verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den
Landeswahlleiter zu übermitteln. Auch dort kommt in einigen
Bundesländern erneut „PC-Wahl“ zum Einsatz.
Die dokumentierten Angriffe haben das Potential, das Vertrauen in den
demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine
Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und
wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt
von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum
Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion
auf die Schwachstellen verändert: Im Bundesland Hessen wird nun
vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels
„PC-Wahl“ parallel auf unabhängigem Weg geprüft wird.
Die dargestellten Angriffsmöglichkeiten und der frappierend schlechte
Allgemeinzustand der Software werfen die Frage auf, wie es um
konkurrierende, ebenfalls im Einsatz befindliche Wahlsoftware-Pakete
steht. Ein anderes Produkt, IVU.elect, das in Deutschland im Einsatz
ist, wurde von Sijmen Ruwhof in der in den Niederlanden verwendeten
Version betrachtet – mit verheerenden Ergebnissen. \[2\]
„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in
Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus
Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit
Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine
Anwendung finden.“
Eine Regierung, die sich „Industrie 4.0“ und „Crypto made in Germany“
auf die Fahnen schreibt, sollte zusehen, dass sie quelloffene Software
für die digitale Unterstützung bei demokratischen Wahlen fördert und
nutzt. \[3\] Bevor sich die Wahlleiter in die Abhängigkeit von
Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte
aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und
Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels
moderner Technologie voranzutreiben. Der traurige Zustand dieses Stücks
kritischer Wahlinfrastruktur zeigt exemplarisch für die staatlich
genutzte IT, dass sich an dessen Vergabepolitik von Software-Aufträgen
dringend etwas ändern muss.
Ziel der Sicherheitsanalyse war es, vor allem die Sinne der
Verantwortlichen zu schärfen. Eine plumpe Manipulation über die
mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten
Sensibilität unwahrscheinlicher geworden sein. Zumindest für die
Bundestagswahl 2017 darf und soll die Aufdeckung der Schwachstellen
daher keine Ausrede sein, nicht mit Stift und Papier wählen zu gehen!
**Der Chaos Computer Club fordert für den Einsatz von
Auswertungssoftware bei Wahlen:**
1. Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat
vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben.
Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.
2. Die Wähler selbst müssen alle Resultate überprüfen können. Alle
Verfahrensschritte müssen durch Software-unabhängige Prozeduren
geprüft werden.
3. Abhängigkeiten, bei denen manipulierte Software oder manipulierte
Computer das Wahlergebnis beeinflussen können, sind zu vermeiden.
Parallele, Software-unabhängige Zähl-Prozeduren und eine nochmalige
zwingende Handauszählung bei Diskrepanz zwischen elektronisch
unterstützter Auswertung und manueller Zählung müssen vorgeschrieben
werden.
4. Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen
beteiligt ist, darf geheim gehalten werden. Jegliche
Wahlhilfsmittel-Software muss mindestens als published Source mit
öffentlichem Lese-Zugang auf die verwendeten
Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die
Sicherheit der Software muss die Veröffentlichung unerheblich sein,
was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der
Fall wäre.
5. Berichte über die Audits der eingesetzten Software und Systeme
müssen öffentlich sein. Dies schließt die Hardwarekomponenten und
elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt
werden. Alle Systemkomponenten müssen vor dem Einsatz einer
unabhängigen Analyse unterzogen werden. Vorab-Angriffe gegen die für
die Wahl eingesetzen Computer müssen durch Einsatz von vorher nicht
anderweitig verwendeten Systemen erschwert werden.
6. Noch verwendete Oldtimer-Software muss in modernen, sichereren
Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und
begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit
dem Quellcode publiziert werden. Lokale Sonderlösungen bei
elektronischen Zählhilfen müssen minimiert werden. Es bedarf
festgeschriebener Standards auf aktuellem Stand der Technik für alle
verwendeten Rechner und deren Konfiguration sowie für alle System-
und Netzwerkkomponenten.
7. Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen.
Bedienfehler und Fehler in der Software müssen von vorneherein
mitbedacht werden.
8. Möglichst detaillierte Publikation von Auswertungsdaten und deren
Änderungsverlauf für eine öffentliche Prüfung. Dabei bedarf es einer
Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis
oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies
ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche
Einsatz der Software in Augenschein genommen werden kann, um das
Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu
erlauben.
**Links**:
\[0\] Bericht: Analyse einer Wahlsoftware
<https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf>
\[1\] Software-Repository: PC-Wahl
Angriffstools <https://github.com/devio/Walruss>
\[2\] Sijmen
Ruwhof: <https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections>
\[3\] Projekte wie der vom BMWi finanzierte „Prototype Fund“ vergeben
erfolgreich Fördermittel für die Entwicklung von
Open-Source-Software: <https://prototypefund.de/>
\[4\] Die Hörversion der Analyse bei
Logbuch:Netzpolitik: <https://logbuch-netzpolitik.de/lnp228-interessierte-buerger>
\[5\] Der Artikel zur [Geschichte der
Analyse](http://www.zeit.de/digital/datenschutz/2017-09/bundestagswahl-wahlsoftware-hackerangriff-sicherheit-bsi-bundeswahlleiter/komplettansicht "Zeit Online zur Analyse der PC-Wahl")
bei Zeit Online
**Bebilderung**:
Das Bild zeigt das tatsächliche Logo der Software „PC-Wahl“ der Version
10.
|