summaryrefslogtreecommitdiff
path: root/updates/2017
diff options
context:
space:
mode:
Diffstat (limited to 'updates/2017')
-rw-r--r--updates/2017/pc-wahl.md173
1 files changed, 173 insertions, 0 deletions
diff --git a/updates/2017/pc-wahl.md b/updates/2017/pc-wahl.md
new file mode 100644
index 00000000..1aab1142
--- /dev/null
+++ b/updates/2017/pc-wahl.md
@@ -0,0 +1,173 @@
1title: Software zur Auswertung der Bundestagswahl unsicher und angreifbar
2date: 2017-09-07 03:11:00
3updated: 2017-09-07 08:59:32
4author: 46halbe
5tags: update, pressemitteilung
6previewimage: /images/LogoPC-wahl.jpg
7
8Der Chaos Computer Club veröffentlicht in einer Analyse gravierende Schwachstellen einer bei der Bundestagswahl verwendeten Auswertungssoftware. Im Bericht wird eine Vielfalt erheblicher Mängel und Schwachstellen aufgezeigt. Praktisch anwendbare Angriffstools werden im Sourcecode veröffentlicht.
9
10<!-- TEASER_END -->
11
12Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren
13Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl
14verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse
15ergab eine Vielzahl von Schwachstellen und mehrere praktikable
16Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen
17auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die
18untersuchte Software „PC-Wahl“ wird seit mehreren Jahrzehnten für die
19Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes-
20und Kommunalebene eingesetzt.
21
22Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das
23Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr
24als zwanzig Seiten umfassenden Bericht. \[0\] Die technischen Details
25und die zum Ausnutzen der Schwächen verfasste Software können in einem
26Repository eingesehen und zeitsouverän nachgespielt werden. \[1\]
27
28„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht
29beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der
30Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus
31Neumann, an der Analyse beteiligter Sprecher des CCC.
32
33Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein
34vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den
35vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte
36Update-Mechanismus von „PC-Wahl“ ermöglicht eine
37one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung
38des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der
39überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen
40werden, dass die Schwachstellen nicht allein dem CCC bekannt waren.
41
42„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des
43Herstellers, über die Software selbst bis hin zu den exportierten
44Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei
45praktisch relevanten Angriffsszenarien“, so Neumann weiter.
46
47Die Software kann bereits zur Erfassung der Auszählungsergebnisse in
48Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden
49verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software
50verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den
51Landeswahlleiter zu übermitteln. Auch dort kommt in einigen
52Bundesländern erneut „PC-Wahl“ zum Einsatz.
53
54Die dokumentierten Angriffe haben das Potential, das Vertrauen in den
55demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine
56Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und
57wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt
58von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum
59Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion
60auf die Schwachstellen verändert: Im Bundesland Hessen wird nun
61vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels
62„PC-Wahl“ parallel auf unabhängigem Weg geprüft wird.
63
64Die dargestellten Angriffsmöglichkeiten und der frappierend schlechte
65Allgemeinzustand der Software werfen die Frage auf, wie es um
66konkurrierende, ebenfalls im Einsatz befindliche Wahlsoftware-Pakete
67steht. Ein anderes Produkt, IVU.elect, das in Deutschland im Einsatz
68ist, wurde von Sijmen Ruwhof in der in den Niederlanden verwendeten
69Version betrachtet – mit verheerenden Ergebnissen. \[2\]
70
71„Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in
72Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus
73Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit
74Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine
75Anwendung finden.“
76
77Eine Regierung, die sich „Industrie 4.0“ und „Crypto made in Germany“
78auf die Fahnen schreibt, sollte zusehen, dass sie quelloffene Software
79für die digitale Unterstützung bei demokratischen Wahlen fördert und
80nutzt. \[3\] Bevor sich die Wahlleiter in die Abhängigkeit von
81Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte
82aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und
83Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels
84moderner Technologie voranzutreiben. Der traurige Zustand dieses Stücks
85kritischer Wahlinfrastruktur zeigt exemplarisch für die staatlich
86genutzte IT, dass sich an dessen Vergabepolitik von Software-Aufträgen
87dringend etwas ändern muss.
88
89Ziel der Sicherheitsanalyse war es, vor allem die Sinne der
90Verantwortlichen zu schärfen. Eine plumpe Manipulation über die
91mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten
92Sensibilität unwahrscheinlicher geworden sein. Zumindest für die
93Bundestagswahl 2017 darf und soll die Aufdeckung der Schwachstellen
94daher keine Ausrede sein, nicht mit Stift und Papier wählen zu gehen!
95
96**Der Chaos Computer Club fordert für den Einsatz von
97Auswertungssoftware bei Wahlen:**
98
991. Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat
100 vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben.
101 Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.
1022. Die Wähler selbst müssen alle Resultate überprüfen können. Alle
103 Verfahrensschritte müssen durch Software-unabhängige Prozeduren
104 geprüft werden.
1053. Abhängigkeiten, bei denen manipulierte Software oder manipulierte
106 Computer das Wahlergebnis beeinflussen können, sind zu vermeiden.
107 Parallele, Software-unabhängige Zähl-Prozeduren und eine nochmalige
108 zwingende Handauszählung bei Diskrepanz zwischen elektronisch
109 unterstützter Auswertung und manueller Zählung müssen vorgeschrieben
110 werden.
1114. Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen
112 beteiligt ist, darf geheim gehalten werden. Jegliche
113 Wahlhilfsmittel-Software muss mindestens als published Source mit
114 öffentlichem Lese-Zugang auf die verwendeten
115 Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die
116 Sicherheit der Software muss die Veröffentlichung unerheblich sein,
117 was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der
118 Fall wäre.
1195. Berichte über die Audits der eingesetzten Software und Systeme
120 müssen öffentlich sein. Dies schließt die Hardwarekomponenten und
121 elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt
122 werden. Alle Systemkomponenten müssen vor dem Einsatz einer
123 unabhängigen Analyse unterzogen werden. Vorab-Angriffe gegen die für
124 die Wahl eingesetzen Computer müssen durch Einsatz von vorher nicht
125 anderweitig verwendeten Systemen erschwert werden.
1266. Noch verwendete Oldtimer-Software muss in modernen, sichereren
127 Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und
128 begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit
129 dem Quellcode publiziert werden. Lokale Sonderlösungen bei
130 elektronischen Zählhilfen müssen minimiert werden. Es bedarf
131 festgeschriebener Standards auf aktuellem Stand der Technik für alle
132 verwendeten Rechner und deren Konfiguration sowie für alle System-
133 und Netzwerkkomponenten.
1347. Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen.
135 Bedienfehler und Fehler in der Software müssen von vorneherein
136 mitbedacht werden.
1378. Möglichst detaillierte Publikation von Auswertungsdaten und deren
138 Änderungsverlauf für eine öffentliche Prüfung. Dabei bedarf es einer
139 Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis
140 oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies
141 ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche
142 Einsatz der Software in Augenschein genommen werden kann, um das
143 Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu
144 erlauben.
145
146**Links**:
147
148\[0\] Bericht: Analyse einer Wahlsoftware
149<https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf>
150
151\[1\] Software-Repository: PC-Wahl
152Angriffstools <https://github.com/devio/Walruss>
153
154\[2\] Sijmen
155Ruwhof: <https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections>
156
157\[3\] Projekte wie der vom BMWi finanzierte „Prototype Fund“ vergeben
158erfolgreich Fördermittel für die Entwicklung von
159Open-Source-Software: <https://prototypefund.de/>
160
161\[4\] Die Hörversion der Analyse bei
162Logbuch:Netzpolitik: <https://logbuch-netzpolitik.de/lnp228-interessierte-buerger>
163
164\[5\] Der Artikel zur [Geschichte der
165Analyse](http://www.zeit.de/digital/datenschutz/2017-09/bundestagswahl-wahlsoftware-hackerangriff-sicherheit-bsi-bundeswahlleiter/komplettansicht "Zeit Online zur Analyse der PC-Wahl")
166bei Zeit Online
167
168**Bebilderung**:
169
170Das Bild zeigt das tatsächliche Logo der Software „PC-Wahl“ der Version
17110.
172
173