banner sicherheit https-everywhere Zugriff im Tor-Netzwerk Sitemap | Impressum DE | EN
web2.0 Diaspora RSS Vimeo A-FsA Song MeetUp Twitter Youtube Flickr Spenden über Betterplace Bitmessage Facebook Wikipedia
11.09.2017 Bundestagswahl: Software ist extrem unsicher

Auch ohne Wahlcomputer - Bundestagswahl kann manipuliert werden

Viele dachten nach dem Urteil des Bundesverfassungsgerichts (BVerfG) über die Unzu(ver)lässigkeit von Wahlcomputern in Deutschland wäre die Gefahr einer Manipulation des Volkswillen gebannt. Wir erinnern uns: 2006 hatte der Chaos Computer Club (CCC) festgestellt, dass die damals neu eingeführten Wahlcomputer mit dem "wahnsinnig sicheren" Passwort Geheim geschützt sind.

Nun dürfen Wahlcomputer in Deutschland nicht mehr eingesetzt werden - gut so. Aber wie kommt der Bundeswahlleiter zu einem "amtlichen Endergebnis"? Dazu werden dann doch Computer eingesetzt und das Programm PC-Wahl. Dieses hat Martin Tschirsich, ein 29-jähriger Informatiker, genauer untersucht.

Während der Bundeswahlleiter noch im Januar behauptete, man habe die Bundestagswahl technisch so abgesichert, "dass sie gegen alle Manipulationsversuche geschützt ist" und Klagen auf Einsicht des Quellcodes werden abgelehnt. Der interessierte Informatiker findet erstmal, dass es recht leicht ist, das Programm zu bekommen, denn im Servicebereich des Herstellers von PC-Wahl reicht der Nutzername "service" und das Kennwort "pcwkunde". Erwartungsgemäß ist das Programm nichts weiter als eine Tabellenkalkulation, aber das Programm schützt die sensiblen Daten nicht vor Zugriffen von außen.

Wenn PC-Wahl das Programm an die Wahlleiter verschickt, gibt es keine Authentifizierung, keine Signatur, keinen einzigartigen Schlüssel. Es gibt kein System, das beweist, dass die korrekten Wahldaten der richtigen Gemeinde beim Wahlleiter ankommen. Nicht mal das nach der Installation notwendige Update wird durch Schlüssel abgesichert. Für den Zugriff auf das Update beim Hersteller genügt das Passwort "ftp,wahl". Es wäre nun sehr einfach dem Server eine gehackte Version unterzuschieben, die "schönere" Wahlergebnisse berechnet. So ein Angriff wäre ein Flächenbrand, denn Hacker könnten den Kommunen damit bundesweit falsche Ergebnisse unterjubeln.

Damit nicht genug. Auch wenn z.B. in Hessen aus Sicherheitsgründen die Ergebnisse nicht über das Internet übertragen werden, sondern ein internes Netzwerk genutzt werden soll, das eine Firma den Gemeinden zur Verfügung stellt, so ist der Einwahlpunkt in dieses Netzwerk, das eigentlich niemand kennen soll, in PC-Wahl bereits voreingestellt, zur Arbeitserleichterung. Und das Passwort für Hessen ist wieder leicht zu erraten, denn es lautet: "test".

Nachdem er diese Erkenntnisse dem BSI mitteilt, räumt die Herstellerfirma ein, dass die Manipulation der Software "zumindest störend" sei aber immer noch die handschriftlichen richtigen Ergebnisse in den Wahllokalen vorlägen.

Wir stellen uns das mal vor: Ein abendliches Ergebnis am 24. September wird eine Woche später durch die Addition der handschriftlichen Ergebnisse in den Wahllokalen völlig auf den Kopf gestellt. Eventuell müssen dann auch noch Gerichte entscheiden ob und wie man diese verschiedenen Ergebnisse erneut prüft - ein monatelanger Rechtsstreit und keine legitimierte Regierung ...

Und noch eine Gefahr hat der Informatiker in dem Programm entdeckt: PC-Wahl kann Dateien mit Wahlergebnissen für jedes Bundesland erzeugen, weil es in fast jedem Land irgendwo im Einsatz ist. Das Programm prüft, wie Ergebnissen in den einzelnen Bundesländern aussehen müssen, um überhaupt als richtig akzeptiert zu werden. Was wie eine Unterstützung aussieht kann bei "unerwartetem" Wählerverhalten auch schnell zum KO-Kriterium werden.

Der Landeswahlleiter von Hessen hat deshalb eine Anordnung an alle Wahlhelfer erlassen. Sie sollen sämtliche mit PC-Wahl übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen, und einen Ausdruck machen und diesen mit ihren Werten abgleichen. Auffälligkeiten sollen telefonisch gemeldet werden.

Mehr dazu bei http://www.zeit.de/digital/datenschutz/2017-09/bundestagswahl-wahlsoftware-hackerangriff-sicherheit-bsi-bundeswahlleiter
und https://www.golem.de/news/pc-wahl-deutsche-wahlsoftware-ist-extrem-unsicher-1709-129937.html
und http://www.ccc.de/updates/2008/wahlbeobachtungen-hessen
und http://www.ccc.de/updates/2009/wahlcomputer-urteil-bverfg
und https://www.ccc.de/de/tags/wahlcomputer

Alle Artikel zu


Kommentar: RE: 20170911 Bundestagswahl: Software ist extrem unsicher

Das ist wieder ein schönes Beispiel zu eurem Artikel vor ein paar Tagen Ist IT-Sicherheit möglich oder kann das nur eine Fake News sein?.
Die Entwickler der Software sind sicher keine Trottel, auch wenn die Passwörter das nahe legen. Nein, wieder sehen wir, dass Pfusch einfach gemacht wird, da es niemand kontrolliert.
Nur Open Source Software steht unter öffentlicher Kontrolle aller. Dort werden solche Fehler vermieden oder schnell beseitigt.

Ronald, 11.09.2017 13:57


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/2PJ
Tags: #Bundestagswahl #Sicherheitslücken #Hacking #Volksabstimmung #Wahlcomputer #Datenbanken #Informationsfreiheit #Anonymisierung #Meinungsfreiheit #Pressefreiheit #Internetsperren #Netzneutralität #OpenSource #Unschuldsvermutung #Verhaltensänderung
Erstellt: 2017-09-11 08:44:39
Aufrufe: 330

Kommentar abgeben

Wer hat, der kann! Für eine verschlüsselte Rückantwort hier den eigenen Public Key reinkopieren.
(Natürlich optional)
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots auszuschließen.
logos Mitglied bei European Civil Liberties Network Creative Commons Mitglied bei WorldBeyondWar Wir unterstützen den CCC Beim freiwilligen Engagement stets dabei Mitglied bei Schule ohne Militär Wir speichern nicht Wir verwenden kein JavaScript Mitglied bei Fundamental Right Platform Für Transparenz in der Zivilgesellschaft Nominiert für Deutschen Engagementpreis