Sicherheitsanalyse: PC-Wahl ein "Totalschaden"

Laut Chaos Computer Club braucht es nicht viel, um die bei der deutschen Bundestagswahl eingesetzte Software zu manipulieren.

Schließen
(c) Clemens Fabry

Bei einem Computerprogramm für die deutsche Bundestagswahl am 24. September gibt es offenbar erhebliche Sicherheitsprobleme. Lücken in dem Programm könnten dazu führen, dass das vorläufige Wahlergebnis manipuliert wird, berichtete die Zeit Online in Zusammenarbeit mit dem Chaos Computer Club am Donnerstag.

Ein unabhängiger Informatiker hatte demnach die Sicherheitsprobleme entdeckt, zwei Analysten des Chaos Computer Clubs (CCC) bestätigten seine Ergebnisse. Auf Twitter erklärt der Chaos Computer Club die Auswertungssoftware als "Totalschaden für PCWahl". Den CCC-Hackern war es den Angaben zufolge gelungen, die interne Verschlüsselung des Programms PC-Wahl zu knacken.

Sicherheitskonzepte aus dem letzten Jahrtausend

„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus Neumann, an der Analyse beteiligter Sprecher des CCC. Auch der Hersteller der Software gestand Lücken in dem Programm ein. Der CCC führt in seiner Analyse weiter aus: "Der fehlerhafte Update-Mechanismus von „PC-Wahl“ ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert." Bevor sich die Wahlleiter in die Abhängigkeit von Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels moderner Technologie voranzutreiben, fasst der CCC in seiner Analyse zusammen.

Unklar ist dem Bericht zufolge, ob es gelingt, sämtliche Sicherheitslücken bis zum 24. September zu schließen. Es habe für den Bundeswahlleiter höchste Priorität, Manipulationen bei den Schnellmeldungen und damit beim vorläufigen Wahlergebnis zu verhindern, sagte ein Sprecher des Bundeswahlleiters zu Zeit Online und dem Wochenblatt "Die Zeit".

"test" als Passwort

Das Programm PC-Wahl ist nach Angaben des Herstellers Vote iT das meistgenutzte Wahlorganisationssystem in deutschen Verwaltungen. Die Software sammelt die in den Wahllokalen ausgezählten Stimmen und leitet sie an die Kreis- und Landeswahlleiter weiter. Das Programm enthielt den Angaben zufolge bisher keine verschlüsselten Signaturen oder ähnliche Sicherungen, um zu garantieren, dass nur die dafür zugelassenen Stellen Wahldaten übermitteln.

„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien“, so Neumann weiter. Um die Daten der Bundestagswahlergebnisse weiterzuleiten, wird ein Passwort benötigt. Statt eines Passworts aus Buchstaben, Sonderzeichen und Ziffern in beliebiger Reihenfolge war es einfach "test".

Nach Angaben von Vote iT haben die zuständigen Kommunen Sicherheitsmechanismen zum Schutz vor Manipulationen bisher nie eingefordert. Am 28. Juli habe das Bundesamt für die Sicherheit in der Informationstechnologie (BSI) den Bundeswahlleiter über die Probleme informiert. Daraufhin wies der Bundeswahlleiter alle Landeswahlleitungen an, Maßnahmen zur Sicherung der Authentizität elektronisch übermittelter Schnellmeldungen zu ergreifen. Das BSI hat den Wahlleitern und dem Hersteller Vorschläge vorgelegt, wie die Software verbessert werden kann.

Der Chaos Computer Club hat dem Bericht zufolge Teile der nun überarbeiteten Software bereits analysiert. Er kam zu dem Ergebnis, dass sämtliche Gegenmaßnahmen sich bereits bei oberflächlicher Überprüfung als ungeeignet erwiesen hätten, die gemeldeten Schwachstellen zu beseitigen.

Der Bundeswahlleiter habe verfügt, dass die Ergebnisse der Stimmenauszählungen am Wahlabend im Zweifel "unabhängig von IT-Tools" weitergegeben werden soll, hieß es in dem Bericht weiter. Außerdem seien die Landeswahlleiter angewiesen, die Ergebnisse am Wahlabend nach der Veröffentlichung mit einer "zwingenden Sichtkontrolle" noch einmal zu überprüfen. Damit stellten sich die Behörden auf den Notfall ein, "wenn wider Erwarten die Probleme mit PC-Wahl nicht behoben werden können".

>>> CCC Analyse

>>> Zeit Online

(APA/AFP)

Die Presse - Testabo

Testen Sie jetzt „Die Presse“ und „Die Presse am Sonntag“ sowie das „Presse“-ePaper und sämtliche digitale premium‑Inhalte 3 Wochen kostenlos und unverbindlich.

Jetzt 3 Wochen testen
Meistgelesen
    Kommentar zu Artikel:

    Sicherheitsanalyse: PC-Wahl ein "Totalschaden"

    Schließen

    Sie sind zur Zeit nicht angemeldet.
    Um auf DiePresse.com kommentieren zu können, müssen Sie sich anmelden ›.