1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
|
title: Wahl-Software muss auch in Deutschland sicherheitsüberprüft werden
date: 2017-02-12 21:57:00
updated: 2017-05-05 16:41:27
author: erdgeist
tags: update, pressemitteilung
In den Niederlanden wurde die Software zur Auszählung von Wahlen wegen Sicherheitsproblemen abgeschafft. Das gleiche Produkt wird auch in Deutschland verwendet – eine Sicherheitsprüfung ist unumgänglich. Wir bitten um Zusendung der Software zum Zwecke der Sicherheitsprüfung.
<!-- TEASER_END -->
Wenige Wochen vor den nächsten Wahlen in den Niederlanden hat das dort
zuständige Ministerium die Verwendung der bisher für das Zusammenrechnen
und die Präsentation der Wahlergebnisse verwendeten Software untersagt.
\[1\] Grund dafür sind die kürzlich von einem Forscher aufgedeckten
gravierenden Sicherheitsmängel \[2\] und die Sorge um Wahlmanipulation
durch ausländische Mächte. Schon 2011 wurden erhebliche
Sicherheitsprobleme in der damaligen Version der Software
aufgedeckt, \[3\] ohne daß es eine Reaktion gab.
Das gleiche Softwareprodukt wird auch in Deutschland verwendet – in
verschiedenen Bundesländern, vom Bundeswahlleiter und vom Statistischen
Bundesamt. \[4\] Mit dem kommerziellen Partner IVU wird die Organisation
von Wahlen und das Zusammenzählen der Stimmen mit der Software
„IVU.elect“ vorgenommen. Die Software soll „Plausibilitätsprüfungen“
erledigen und alle Prozesse nach Schließung der Wahllokale
automatisieren. Auch verschiedene Landesämter für Statistik kooperieren
mit dem Anbieter IVU. So wurde „IVU.elect“ in Brandenburg bereits
getestet. \[5\] Leider hat die Software einen erheblichen Nachteil: Die
in Deutschland verwendete Version liegt nicht quelloffen vor. Auch
Audit-Berichte sind bisher nicht öffentlich zugänglich.
Nachdem – auch durch die jahrelange Arbeit des Chaos Computer Clubs –
die Verwendung von Wahlcomputern in Deutschland beendet wurde, rückt nun
die für die Wahlauswertung und das Zusammenrechnen verwendete Software
ins Zentrum der Risikobetrachtung. Zwar unterliegt durch die reine
Papierwahl in Deutschland eine direkte Wahlfälschung einem hohen
Entdeckungsrisiko. Eine durch einen digitalen Angriff erzeugte
erhebliche Diskrepanz zwischen den Auszählungsergebnissen in den
Wahllokalen und den veröffentlichten Resultaten könnte jedoch zu einem
Vertrauensverlust und weitverbreiteten Zweifeln an der Integrität der
Wahlprozesse führen.
„Egal, wem man so eine Manipulation zutraut: An der Integrität der
Wahlen dürfen keinerlei Zweifel aufkommen. Die aufgezeigten digitalen
Angriffsmöglichkeiten beeinträchtigen jedoch das Vertrauen in einen
korrekten Ablauf der Auszählung“, sagte der Sprecher des CCC, Dirk
Engling. „Bis zur Bundestagswahl ist es nicht mehr lange, es ist an der
Zeit zu handeln.“
Auch in Deutschland sollte die Wahlsoftware aller Hersteller – nicht nur
die von IVU – intensiven öffentlich zugänglichen Sicherheitsanalysen und
-tests unterzogen werden. Wir bitten daher Menschen, die Zugriff auf
aktuelle Varianten von „IVU.elect“ oder für den gleichen Zweck
verwendete Konkurrenzprodukte haben, uns eine Kopie zum Zwecke der
Sicherheitsprüfung zu senden. Wir haben dafür die spezielle
E-Mailadresse wahlcomputer(at)ccc.de für anonyme Download-Links
vorgesehen, \[6\] nehmen aber auch gern braune Umschläge mit möglichst
kleinformatigen Datenträgern entgegen:
Chaos Computer Club Berlin\
Postfach 64 02 36\
10048 Berlin
**Links**:
\[0\] Mы призываем всех пользователей „IVU.elect“, или аналогам от
других компаний, используемых на предстоящих федеральных выборах,
поделиться с ими для независимого анализа на наличие
уязвимостей: [pdf](http://ccc.de/system/uploads/221/original/ccc-%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7%D0%B0.pdf)
\[1\] [Software in den Niederlanden wird nicht mehr für die nächsten
Wahlen
verwendet](http://www.rtlnieuws.nl/nederland/politiek/vrees-voor-hackers-kabinet-schrapt-software-stemmen-tellen-volledig-met-de-hand)
\[2\] Blogpost: Sicherheitsanalyse\
<https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections#more-1166>
\[3\] Masterarbeit aus dem Jahr 2011, die schon Schwachstellen
aufzeigte:
<http://www.ru.nl/publish/pages/769526/m_engberts_scriptie.pdf>
\[4\] [Produktbroschüre von
IVU.elect](http://www.ivu.com/fileadmin/ivu/pdf/aktuelles/broschueren/IVUelect_en.pdf)
(pdf)
\[5\] Brandenburg: „Software der IVU sorgt für sichere
Stimmenauszählung“\
<http://mb.cision.com/Main/5704/2097775/573101.pdf>
\[6\] GPG-Key für wahlcomputer(at)ccc.de:\
Fingerprint 001D 5376 5583 831C 60ED B765 A4FD DABB FA1F 920D
\[7\] Source von zwei Teilprogrammen der in .nl verwendeten Software\
<https://www.kiesraad.nl/adviezen-en-publicaties/formulieren/2016/osv/osv-bestanden/osv-broncode-programma-4-en-5-versie-2.17.2>
|