DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo Wir in der taz Wir bei Mastodon A-FsA Song RSS Twitter Youtube Unsere Artikel bei Tumblr Unsere Bilder bei Flickr Aktion FsA bei Wikipedia Spenden Facebook Bitmessage Spenden über Betterplace Zugriff im Tor-Netzwerk https-everywhere
11.09.2017 Bundestagswahl: Software ist extrem unsicher

Auch ohne Wahlcomputer - Bundestagswahl kann manipuliert werden

Viele dachten nach dem Urteil des Bundesverfassungsgerichts (BVerfG) über die Unzu(ver)lässigkeit von Wahlcomputern in Deutschland wäre die Gefahr einer Manipulation des Volkswillen gebannt. Wir erinnern uns: 2006 hatte der Chaos Computer Club (CCC) festgestellt, dass die damals neu eingeführten Wahlcomputer mit dem "wahnsinnig sicheren" Passwort Geheim geschützt sind.

Nun dürfen Wahlcomputer in Deutschland nicht mehr eingesetzt werden - gut so. Aber wie kommt der Bundeswahlleiter zu einem "amtlichen Endergebnis"? Dazu werden dann doch Computer eingesetzt und das Programm PC-Wahl. Dieses hat Martin Tschirsich, ein 29-jähriger Informatiker, genauer untersucht.

Während der Bundeswahlleiter noch im Januar behauptete, man habe die Bundestagswahl technisch so abgesichert, "dass sie gegen alle Manipulationsversuche geschützt ist" und Klagen auf Einsicht des Quellcodes werden abgelehnt. Der interessierte Informatiker findet erstmal, dass es recht leicht ist, das Programm zu bekommen, denn im Servicebereich des Herstellers von PC-Wahl reicht der Nutzername "service" und das Kennwort "pcwkunde". Erwartungsgemäß ist das Programm nichts weiter als eine Tabellenkalkulation, aber das Programm schützt die sensiblen Daten nicht vor Zugriffen von außen.

Wenn PC-Wahl das Programm an die Wahlleiter verschickt, gibt es keine Authentifizierung, keine Signatur, keinen einzigartigen Schlüssel. Es gibt kein System, das beweist, dass die korrekten Wahldaten der richtigen Gemeinde beim Wahlleiter ankommen. Nicht mal das nach der Installation notwendige Update wird durch Schlüssel abgesichert. Für den Zugriff auf das Update beim Hersteller genügt das Passwort "ftp,wahl". Es wäre nun sehr einfach dem Server eine gehackte Version unterzuschieben, die "schönere" Wahlergebnisse berechnet. So ein Angriff wäre ein Flächenbrand, denn Hacker könnten den Kommunen damit bundesweit falsche Ergebnisse unterjubeln.

Damit nicht genug. Auch wenn z.B. in Hessen aus Sicherheitsgründen die Ergebnisse nicht über das Internet übertragen werden, sondern ein internes Netzwerk genutzt werden soll, das eine Firma den Gemeinden zur Verfügung stellt, so ist der Einwahlpunkt in dieses Netzwerk, das eigentlich niemand kennen soll, in PC-Wahl bereits voreingestellt, zur Arbeitserleichterung. Und das Passwort für Hessen ist wieder leicht zu erraten, denn es lautet: "test".

Nachdem er diese Erkenntnisse dem BSI mitteilt, räumt die Herstellerfirma ein, dass die Manipulation der Software "zumindest störend" sei aber immer noch die handschriftlichen richtigen Ergebnisse in den Wahllokalen vorlägen.

Wir stellen uns das mal vor: Ein abendliches Ergebnis am 24. September wird eine Woche später durch die Addition der handschriftlichen Ergebnisse in den Wahllokalen völlig auf den Kopf gestellt. Eventuell müssen dann auch noch Gerichte entscheiden ob und wie man diese verschiedenen Ergebnisse erneut prüft - ein monatelanger Rechtsstreit und keine legitimierte Regierung ...

Und noch eine Gefahr hat der Informatiker in dem Programm entdeckt: PC-Wahl kann Dateien mit Wahlergebnissen für jedes Bundesland erzeugen, weil es in fast jedem Land irgendwo im Einsatz ist. Das Programm prüft, wie Ergebnissen in den einzelnen Bundesländern aussehen müssen, um überhaupt als richtig akzeptiert zu werden. Was wie eine Unterstützung aussieht kann bei "unerwartetem" Wählerverhalten auch schnell zum KO-Kriterium werden.

Der Landeswahlleiter von Hessen hat deshalb eine Anordnung an alle Wahlhelfer erlassen. Sie sollen sämtliche mit PC-Wahl übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen, und einen Ausdruck machen und diesen mit ihren Werten abgleichen. Auffälligkeiten sollen telefonisch gemeldet werden.

Mehr dazu bei http://www.zeit.de/digital/datenschutz/2017-09/bundestagswahl-wahlsoftware-hackerangriff-sicherheit-bsi-bundeswahlleiter
und https://www.golem.de/news/pc-wahl-deutsche-wahlsoftware-ist-extrem-unsicher-1709-129937.html
und http://www.ccc.de/updates/2008/wahlbeobachtungen-hessen
und http://www.ccc.de/updates/2009/wahlcomputer-urteil-bverfg
und https://www.ccc.de/de/tags/wahlcomputer

Alle Artikel zu


Kommentar: RE: 20170911 Bundestagswahl: Software ist extrem unsicher

Das ist wieder ein schönes Beispiel zu eurem Artikel vor ein paar Tagen Ist IT-Sicherheit möglich oder kann das nur eine Fake News sein?.
Die Entwickler der Software sind sicher keine Trottel, auch wenn die Passwörter das nahe legen. Nein, wieder sehen wir, dass Pfusch einfach gemacht wird, da es niemand kontrolliert.
Nur Open Source Software steht unter öffentlicher Kontrolle aller. Dort werden solche Fehler vermieden oder schnell beseitigt.

Ronald, 11.09.2017 13:57


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/2PJ
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/6175-20170911-bundestagswahl-software-ist-extrem-unsicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6175-20170911-bundestagswahl-software-ist-extrem-unsicher.html
Tags: #Bundestagswahl #Sicherheitslücken #Hacking #Volksabstimmung #Wahlcomputer #Datenbanken #Informationsfreiheit #Anonymisierung #Meinungsfreiheit #Pressefreiheit #Internetsperren #Netzneutralität #OpenSource #Unschuldsvermutung #Verhaltensänderung
Erstellt: 2017-09-11 08:44:39
Aufrufe: 1720

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.

Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

CC Lizenz   Mitglied im European Civil Liberties Network   Bundesfreiwilligendienst   Wir speichern nicht   World Beyond War   Tor nutzen   HTTPS nutzen   Kein Java   Transparenz in der Zivilgesellschaft

logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst Wir speichern nicht World Beyond War Tor - The onion router HTTPS - verschlüsselte Verbindungen nutzen Wir verwenden kein JavaScript Für Transparenz in der Zivilgesellschaft