DE | EN
Sitemap | Impressum
web2.0 Diaspora Vimeo taz We at Mastodon A-FsA Song MeetUp Twitter Youtube Tumblr Flickr Wikipedia Bitcoin Facebook Bitmessage Betterplace Tor-Netzwerk https-everywhere
11.09.2017 Bundestagswahl: Software ist extrem unsicher
Sorry, most articles are not available in English yet

Auch ohne Wahlcomputer - Bundestagswahl kann manipuliert werden

Viele dachten nach dem Urteil des Bundesverfassungsgerichts (BVerfG) über die Unzu(ver)lässigkeit von Wahlcomputern in Deutschland wäre die Gefahr einer Manipulation des Volkswillen gebannt. Wir erinnern uns: 2006 hatte der Chaos Computer Club (CCC) festgestellt, dass die damals neu eingeführten Wahlcomputer mit dem "wahnsinnig sicheren" Passwort Geheim geschützt sind.

Nun dürfen Wahlcomputer in Deutschland nicht mehr eingesetzt werden - gut so. Aber wie kommt der Bundeswahlleiter zu einem "amtlichen Endergebnis"? Dazu werden dann doch Computer eingesetzt und das Programm PC-Wahl. Dieses hat Martin Tschirsich, ein 29-jähriger Informatiker, genauer untersucht.

Während der Bundeswahlleiter noch im Januar behauptete, man habe die Bundestagswahl technisch so abgesichert, "dass sie gegen alle Manipulationsversuche geschützt ist" und Klagen auf Einsicht des Quellcodes werden abgelehnt. Der interessierte Informatiker findet erstmal, dass es recht leicht ist, das Programm zu bekommen, denn im Servicebereich des Herstellers von PC-Wahl reicht der Nutzername "service" und das Kennwort "pcwkunde". Erwartungsgemäß ist das Programm nichts weiter als eine Tabellenkalkulation, aber das Programm schützt die sensiblen Daten nicht vor Zugriffen von außen.

Wenn PC-Wahl das Programm an die Wahlleiter verschickt, gibt es keine Authentifizierung, keine Signatur, keinen einzigartigen Schlüssel. Es gibt kein System, das beweist, dass die korrekten Wahldaten der richtigen Gemeinde beim Wahlleiter ankommen. Nicht mal das nach der Installation notwendige Update wird durch Schlüssel abgesichert. Für den Zugriff auf das Update beim Hersteller genügt das Passwort "ftp,wahl". Es wäre nun sehr einfach dem Server eine gehackte Version unterzuschieben, die "schönere" Wahlergebnisse berechnet. So ein Angriff wäre ein Flächenbrand, denn Hacker könnten den Kommunen damit bundesweit falsche Ergebnisse unterjubeln.

Damit nicht genug. Auch wenn z.B. in Hessen aus Sicherheitsgründen die Ergebnisse nicht über das Internet übertragen werden, sondern ein internes Netzwerk genutzt werden soll, das eine Firma den Gemeinden zur Verfügung stellt, so ist der Einwahlpunkt in dieses Netzwerk, das eigentlich niemand kennen soll, in PC-Wahl bereits voreingestellt, zur Arbeitserleichterung. Und das Passwort für Hessen ist wieder leicht zu erraten, denn es lautet: "test".

Nachdem er diese Erkenntnisse dem BSI mitteilt, räumt die Herstellerfirma ein, dass die Manipulation der Software "zumindest störend" sei aber immer noch die handschriftlichen richtigen Ergebnisse in den Wahllokalen vorlägen.

Wir stellen uns das mal vor: Ein abendliches Ergebnis am 24. September wird eine Woche später durch die Addition der handschriftlichen Ergebnisse in den Wahllokalen völlig auf den Kopf gestellt. Eventuell müssen dann auch noch Gerichte entscheiden ob und wie man diese verschiedenen Ergebnisse erneut prüft - ein monatelanger Rechtsstreit und keine legitimierte Regierung ...

Und noch eine Gefahr hat der Informatiker in dem Programm entdeckt: PC-Wahl kann Dateien mit Wahlergebnissen für jedes Bundesland erzeugen, weil es in fast jedem Land irgendwo im Einsatz ist. Das Programm prüft, wie Ergebnissen in den einzelnen Bundesländern aussehen müssen, um überhaupt als richtig akzeptiert zu werden. Was wie eine Unterstützung aussieht kann bei "unerwartetem" Wählerverhalten auch schnell zum KO-Kriterium werden.

Der Landeswahlleiter von Hessen hat deshalb eine Anordnung an alle Wahlhelfer erlassen. Sie sollen sämtliche mit PC-Wahl übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen, und einen Ausdruck machen und diesen mit ihren Werten abgleichen. Auffälligkeiten sollen telefonisch gemeldet werden.

Mehr dazu bei http://www.zeit.de/digital/datenschutz/2017-09/bundestagswahl-wahlsoftware-hackerangriff-sicherheit-bsi-bundeswahlleiter
und https://www.golem.de/news/pc-wahl-deutsche-wahlsoftware-ist-extrem-unsicher-1709-129937.html
und http://www.ccc.de/updates/2008/wahlbeobachtungen-hessen
und http://www.ccc.de/updates/2009/wahlcomputer-urteil-bverfg
und https://www.ccc.de/de/tags/wahlcomputer

Alle Artikel zu


Kommentar: RE: 20170911 Bundestagswahl: Software ist extrem unsicher

Das ist wieder ein schönes Beispiel zu eurem Artikel vor ein paar Tagen Ist IT-Sicherheit möglich oder kann das nur eine Fake News sein?.
Die Entwickler der Software sind sicher keine Trottel, auch wenn die Passwörter das nahe legen. Nein, wieder sehen wir, dass Pfusch einfach gemacht wird, da es niemand kontrolliert.
Nur Open Source Software steht unter öffentlicher Kontrolle aller. Dort werden solche Fehler vermieden oder schnell beseitigt.

Ronald, 11.09.2017 13:57


Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/2PJ
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/6175-20170911-bundestagswahl-software-ist-extrem-unsicher.htm
Link with Tor: nnksciarbrfsg3ud.onion/de/articles/6175-20170911-bundestagswahl-software-ist-extrem-unsicher.htm
Tags: #Bundestagswahl #Sicherheitslücken #Hacking #Volksabstimmung #Wahlcomputer #Datenbanken #Informationsfreiheit #Anonymisierung #Meinungsfreiheit #Pressefreiheit #Internetsperren #Netzneutralität #OpenSource #Unschuldsvermutung #Verhaltensänderung
Created: 2017-09-11 08:44:39
Hits: 1275

Leave a Comment

If you like a crypted answer you may copy your
public key into this field. (Optional)
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.
logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst We don't store user data World Beyond War Tor - The onion router HTTPS - use encrypted connections We don't use JavaScript For transparency in the civil society