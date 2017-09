Der CCC hat sich mal angeschaut, wie das denn so läuft mit den Wahlen bei uns, der Auszählung und dem Sammeln der Daten. Dabei sind Lücken aufgetaucht, die ernsthafte Zweifel an der Kompetenz der Entwickler und Administratoren der entsprechenden Software und Systeme aufkommen lassen. Aber trotz der teils gigantisch großen Lücken in den Systemen, ist es eher unwahrscheinlich, dass auf diesem Weg eine Wahl erfolgreich manipuliert würde, denn bei „der Veröffentlichung des amtlichen Endergebnisses sind Wahlhelfer und Wahlleiter angehalten, die von ihnen ausgezählten Stimmen zu kontrollieren und Unregelmäßigkeiten zu melden.“

Nehmen Wahlhelfer und Wahlleiter ihre Aufgabe also nicht auf die leichte Schulter, dann würde eine solche Manipulation früher oder später immer auffallen. Selbst unter Einsatz aller Hacker Russlands bestünde also wohl keine Gefahr einer Bundeskanzlerin Petry oder Weidel nach der Wahl. Andererseits wäre auch eine aufgedeckte Manipulation der Ergebnisse immer noch eine Manipulation – also ziemlich genau das Gegenteil einer vertrauensbildenden Maßnahme.

Die Spezialisten des CCC haben sich in dem Zusammenhang mit der Wahl in Hessen und der Software PC-Wahl beschäftigt und neben der Software selbst auch die Abläufe und die verwendeten Systeme angeschaut. So sind bzw. waren einige der Schwachstellen spezifisch für die Software PC-Wahl, liegen bei anderen Produkten also möglicherweise nicht vor, während Schwachstellen in den Abläufen und den genutzten Systemen quasi plattformunabhängig für jede mögliche Software zur Auswertung gelten. Eine ausführliche Analyse beschreibt die gefundenen Schwachstellen, erwähnt aber auch, was alles eben nicht getestet werden konnte. Möglicherweise gibt es also noch weitere mögliche Ansätze für erfolgreiche Angriffe.

Highlights

Die Highlights der gefundenen Lücken in Kurzform: Unsicher gespeicherte und übertragene Passwörter, Netzwerkverbindungen ohne Verschlüsselung, Zugangsdaten auf öffentlichen Webseiten, keine Checks auf Authenzität und Integrität von übertragenen Daten und Softwareupdates, symmetrische Verschlüsselungsverfahren und „Security by Obsurity“.

Security by Obscurity

Mehrere Versuche, Zugang zur Software PC-Wahl zu erhalten, um sie unabhängig prüfen zu können, scheiterten gerichtlich. Als Argument der Gegenseite wurde dabei unter anderem angeführt, dass die Geheimhaltung der Software für die Sicherheit der Wahl unerlässlich sei. Wie die Autoren der Analyse anführen, ist diese Argumentation sowohl rechtlich als auch technisch abzulehnen. Aus rechtlicher Sicht erscheint die Verwendung von „Geheimsoftware“ bei Wahlen fragwürdig. Schließlich geht es gerade bei den Wahlen in unserer Demokratie um Transparenz und Nachvollziehbarkeit – wenn man nun die Software für die Auswertung geheim hält, dann ist an dieser Stelle der Prozess weder transparent noch nachvollziehbar.

Und technisch ist es nun wirklich keine Neuigkeit, dass Sicherheitsmaßnahmen und Verschlüsselungsmethoden entweder funktionieren oder eben nicht, aber das unabhängig davon, ob ein Angreifer die Methodik kennt. Natürlich können Angreifer bei Kenntnis der Sicherheitsmodelle möglicherweise auch Schwachstellen finden – aber das gilt auch für unabhängige Prüfer, die dann helfen können, solche Lücken zu schließen. Das sieht man deutlich an Verschlüsselungsverfahren:

So ist es heute aus guten Gründen der überwältigenden Mehrzahl der Verschlüsselungsverfahren gemein, dass ihre Algorithmen öffentlich – und damit auch oft durch kritische Prüfung gehärtet – sind.

Symmetrische Verschlüsselung

Es gibt grundsätzlich zwei Verfahren bei der Verschlüsselung: symmetrische und asymmetrische. Meistens setzt man heute asymmetrische Verfahren ein, bei denen zur Verschlüsselung ein anderer Schlüssel verwendet wird, als zur Entschlüsselung. Meist ist der eine Schlüssel öffentlich, so dass jeder Nachrichten für einen Empfänger mit einem öffentlichen Schlüssel verschlüsseln kann, aber nur der Empfänger kann diese dann auch wiederum entschlüsseln mit seinem geheimen Schlüssel. Umgekehrt kann jemand mit seinem geheimen Schlüssel eine Art digitaler Unterschrift leisten, die andere mit dem zugehörigen öffentlichen Schlüssel verifizieren können. Der Vorteil dieses Verfahrens liegt auf der Hand: Man kann Daten nicht nur verschlüsseln, sondern auch über eine Signatur den Absender verifizieren.

Im Gegensatz dazu arbeitet die symmetrische Verschlüsselung mit nur einem Schlüssel. Sowohl Sender als Empfänger verwenden den selben Key für die Ver- und Entschlüsselung der Daten. Ein solches Verfahren setzt der Anbieter von PC-Wahl zum Beispiel für die Updates der Software ein. Der entsprechende Schlüssel ist dazu in der Software enthalten. Eine weitere Kontrolle findet nicht statt, das bedeutet, wer Zugriff auf den entsprechenden FTP-Server für die Updates erhält oder den Zugriff auf diese Server durch andere Manipulationen auf einen eigenen Server verbiegen kann, der kann der Software ein gefälschtes Update unterschieben, welches dann auch direkt installiert wird.

Alle Wahlen gefälscht?

Wie schon geschrieben: Es ist unwahrscheinlich, dass eine Fälschung der Ergebnisse unerkannt geblieben wäre – zumindest nicht bei Fälschungen in einem größeren Umfang. Es ist natürlich immer möglich, dass einzelne Wahlleiter die veröffentlichten Ergebnisse nicht mehr mit ihren Daten vergleichen, aber unwahrscheinlich, dass alle Wahlleiter diesen Teil ihres Jobs nicht machen.

Nein, aber…

Aber das ist sicherlich kein Grund zur Entwarnung, schließlich sind die gefundenen Schwachstellen durchaus gravierend und selbst, wenn diese geschlossen wurden, weiß aktuell wohl keiner, wie viele Lücken da bislang noch unentdeckt geblieben sind. So ist es nicht verwunderlich, dass der CCC noch einige politische Forderungen aus den Entdeckungen ableitet – immerhin geht es hier um die Wahlen, die Grundlage unserer Demokratie.

Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben. Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon. Die Wähler selbst müssen alle Resultate überprüfen können. Alle Verfahrensschritte müssen durch Software-unabhängige Prozeduren geprüft werden. Abhängigkeiten, bei denen manipulierte Software oder manipulierte Computer das Wahlergebnis beeinflussen können, sind zu vermeiden. Parallele, Software- unabhängige Zähl-Prozeduren und eine nochmalige zwingende Handauszählung bei Diskrepanz zwischen elektronisch unterstützter Auswertung und manueller Zählung müssen vorgeschrieben werden. Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen beteiligt ist, darf geheim gehalten werden. Jegliche Wahlhilfsmittel-Software muss mindestens als published Source mit öffentlichem Lese-Zugang auf die verwendeten Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die Sicherheit der Software muss die Veröffentlichung unerheblich sein, was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der Fall wäre. Berichte über die Audits der eingesetzten Software und Systeme müssen öffentlich sein. Dies schließt die Hardwarekomponenten und elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt werden. Alle Systemkomponenten müssen vor dem Einsatz einer unabhängigen Analyse unterzogen werden. Vorab- Angriffe gegen die für die Wahl eingesetzten Computer müssen durch Einsatz von vorher nicht anderweitig verwendeten Systemen erschwert werden. Noch verwendete Oldtimer-Software muss in modernen, sichereren Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit dem Quellcode publiziert werden. Lokale Sonderlösungen bei elektronischen Zählhilfen müssen minimiert werden. Es bedarf festgeschriebener Standards auf aktuellem Stand der Technik für alle verwendeten Rechner und deren Konfiguration sowie für alle System- und Netzwerkkomponenten. Nutzer müssen über IT-Sicherheitsbedrohungen geschult werden. Bedienfehler und Fehler in der Software müssen von vorneherein mitbedacht werden. Auswertungsdaten und deren Änderungsverlauf müssen möglichst detailliert publiziert werden, um eine öffentliche Prüfung zu ermöglichen. Dabei bedarf es einer Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche Einsatz der Software in Augenschein genommen werden kann, um das Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu erlauben.

Letztlich sind das Maßnahmen, die sich an sich schon alleine aus dem Anspruch der Transparenz und Nachvollziehbarkeit unserer Wahlen ergeben müssten – aber bislang nicht oder zumindest nicht im nötigen Umfang umgesetzt wurden. Die Untersuchung des CCC liefert nun den Beweis dafür, dass diese Forderungen eben nicht übertriebene Wünsche paranoider Nerds sind, sondern es sich um viel zu lange vernachlässigte Grundsätze handelt, ohne die unsere Wahlen eben nicht transparent und nachvollziehbar sind.