Nachrichten & Aktuelles

Software zur Auswertung der Bundestagswahl unsicher und angreifbar

Software zur Auswertung der Bundestagswahl unsicher und angreifbar

Der Chaos Computer Club veröffentlicht in einer Analyse gravierende Schwachstellen einer bei der Bundestagswahl verwendeten Auswertungssoftware. Im Bericht wird eine Vielfalt erheblicher Mängel und Schwachstellen aufgezeigt. Praktisch anwendbare Angriffstools werden im Sourcecode veröffentlicht.

Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse ergab eine Vielzahl von Schwachstellen und mehrere praktikable Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die untersuchte Software „PC-Wahl“ wird seit mehreren Jahrzehnten für die Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes- und Kommunalebene eingesetzt.

 

Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr als zwanzig Seiten umfassenden Bericht. [0] Die technischen Details und die zum Ausnutzen der Schwächen verfasste Software können in einem Repository eingesehen und zeitsouverän nachgespielt werden. [1]

 

„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus Neumann, an der Analyse beteiligter Sprecher des CCC.

 

Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte Update-Mechanismus von „PC-Wahl“ ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen werden, dass die Schwachstellen nicht allein dem CCC bekannt waren.

 

„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien“, so Neumann weiter.

 

Die Software kann bereits zur Erfassung der Auszählungsergebnisse in Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den Landeswahlleiter zu übermitteln. Auch dort kommt in einigen Bundesländern erneut „PC-Wahl“ zum Einsatz.

 

Die dokumentierten Angriffe haben das Potential, das Vertrauen in den demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion auf die Schwachstellen verändert: Im Bundesland Hessen wird nun vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels „PC-Wahl“ parallel auf unabhängigem Weg geprüft wird.

<< Erste < Vorherige 1 2 3 4 Nächste > Letzte >>