Passwort: wahlen

Der deutsche Wähler erfuhr jetzt, kurz vor der Wahl, dass die Wahlergebnisse nicht, wie angenommen, per Fax oder Telefon, sondern häufig mittels Software übertragen und aggregiert werden, die sich in der Vergangenheit standhaft einer Sicherheitsprüfung verwehren konnte. Die Begründung: Geheimhaltung der Software sei für die Sicherheit der Wahl unerlässlich. Das beunruhigt.

Im Vorfeld der 19. Bundestagswahl zeigte man sich in Deutschland zuversichtlich: Wir „haben […] uns in Abstimmung mit dem Bundesamt für die Sicherheit in der Informationstechnik auf mögliche Angriffe vorbereitet“, bestätigte der Bundeswahlleiter, Dieter Sarreither, der Augsburger Allgemeinen im August 2017. So etwas wie bei den Präsidentschaftswahlen in den USA im Jahr 2016 – ausländische Geheimdienste wurden verdächtigt, mithilfe von Manipulationen der Wahlautomaten auf das Wahlergebnis Einfluss genommen zu haben, es wurde sogar kurz eine erneute Auszählung der Stimmen in Erwägung gezogen – könne in Deutschland gar nicht passieren. Hierzulande wird nicht via Wahlautomat, sondern noch traditionell, mit einem Kreuzchen auf Papier, gewählt. Bisher erfolgte die Übertragung der Ergebnisse aus den Wahllokalen an die Gemeinden und dann an den Kreiswahlleiter per Telefon – und schließlich zum Bundeswahlleiter „über interne, verschlüsselte Verbindungen“.

„Als konkretes Angriffsziel auf den Wahlvorgang bliebe in Deutschland nur eine Software, mit der die Landeswahlleiter Stimmen zusammenzählen“, sagte Constanze Kurz, Sprecherin des Chaos Computer Clubs (CCC), im Wired. Am 7. September 2017, knappe drei Wochen vor der Wahl, ließ der CCC dann die Bombe platzen und veröffentlichte einen Bericht mit den Ergebnissen der Analyse einer Wahlsoftware. Konkret: der Version 10 der Software PC-Wahl des Herstellers vote iT GmbH, die zur „Organisation, Erfassung und Auswertung von Wahlen“ eingesetzt wird.

Security by Obscurity

So erfuhr der deutsche Wähler kurz vor der Wahl, dass die Wahlergebnisse nicht, wie angenommen, per Fax oder Telefon, sondern häufig mittels Software übertragen und aggregiert werden, die sich in der Vergangenheit standhaft einer Sicherheitsprüfung verwehren konnte: CCC erwähnt in seinem Bericht den Wahlhelfer Ingo Hoeft, der mit dem Versuch, gerichtlich Einblick in das bei der Kommunalwahl in Rheinland-Pfalz 2009 eingesetzte Programm zu erwirken, scheiterte. Begründung: Geheimhaltung der Software sei für die Sicherheit der Wahl unerlässlich. Niemand erwartet von den deutschen Richtern, dass sie das Kerckhoff-Prinzip kennen und anwenden. Ihre US-Kollegen taten es ihnen bis zum Jahr 2015 vermutlich gleich, denn so lange dauerte es, bis die Library of Congress eine Ausnahme machte, um Sicherheitsforschung an den Wahlautomaten zu ermöglichen. Bis zum Jahr 2015 waren derartige Testversuche noch illegal – die Wahlcomputer waren durch das Digital Millenium Copyright Act urheberrechtlich geschützt.

In Deutschland werden die Stimmen zwar von den Wahllokalen an die Gemeinden „bis auf wenige Ausnahmen“ immer noch telefonisch übertragen. Anschließend kommt jedoch vielerorts die Software PC-Wahl zum Einsatz: Die Wahlergebnisse werden im Programm erfasst, und es erfolgt ein automatischer Upload mithilfe des FTP-Moduls an die Wahlkreise. Laut Produktinformationen auf der Website von vote iT ist PC-Wahl „ein modulares Softwarepaket für die Erfassung, Berechnung, grafische Präsentation, Meldung und statistische Nachbereitung von Wahlergebnissen“, das in Kommunalwahlen, Kreiswahlen, Landtagswahlen, Bundestagswahlen, Europawahlen, Volksabstimmungen und Direktwahlen eingesetzt wird und „auch Sonderformen wie Wahlbereichswahlen, mehrfache Bürgerentscheide, unechte Teilortswahlen und Trendwahlen“ unterstützt. 2.700 Behörden haben die Produkte von vote iT (es gibt zwei: votemanager und PC-Wahl) lizenziert, heißt es dort: „Damit werden für rund 66 Prozent der Einwohner Deutschlands die Wahlen mit unseren Produkten organisiert und präsentiert.“

Failed Transfer Protocol

Der CCC hat sich die PC-Wahl vorgenommen – ausgewählte Server mit den FTP-Upload-Funktionen angeschaut, die Manipulationsmöglichkeiten bei der Authentizität der Software und die Integrität der Daten geprüft. Den drei Sicherheitsforschern vom CCC – Thorsten Schröder, Linus Neumann und Martin Tschirsich – ist es u. a. gelungen, die „verschlüsselten“ FTP-Zugangsdaten mittels der ebenfalls auf dem Server in öffentlichen Verzeichnissen gespeicherten Tools zu entschlüsseln. Ob so viel Aufwand überhaupt notwendig war, darüber lässt sich streiten, denn den Empfehlungen und Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bzgl. Passwortsicherheit zum Trotz wäre es vermutlich sogar einfacher, die Zugangsdaten zu erraten, als sie zu entschlüsseln. So lauteten beispielsweise die Zugangsdaten für den ekom21 FTP-Server:
Benutzer: wahlen
Passwort: wahlen,ftp

Auch das Einschleusen einer Schadsoftware stellte offenbar kein Problem dar: „Bei der Installation von Software-Updates werden diese vor der Ausführung nicht auf Authentizität geprüft“, fanden die Sicherheitsforscher heraus. Ebenso war die Integrität der übertragenen Wahlergebnisse nicht hinreichend gewährleistet. Das CCC hat nur einige wenige Angriffsszenarien getestet und auch dabei schon zahlreiche Sicherheitslücken festgestellt. PC-Wahl nutzt auch wahrlich keine disruptiven, neuartigen Technologien: File Transfer Protokoll (FTP) ist eine Technik zur Übertragung von Daten via IP-Netzwerk, die viel älter als das World Wide Web ist; die Erfassung und grafische Auswertung von Zahlen würde man auch Excel zutrauen. „Die Schwachstellen ermöglichen eine Einflussnahme auf Wahlergebnisse“, stellten die Autoren des Berichts fest. Sie veröffentlichten die von ihnen eingesetzten Tools, um anderen – technisch Interessierten, aber auch den Herstellern der Software und Anbietern – die Validierung ihre Analyseergebnisse zu ermöglichen. „Der Hersteller vote iT wurde erstmals im Juni 2017 kontaktiert. Seit dem 28.07.2017 erhielt der Hersteller auch Unterstützung durch das Bundesamt für Sicherheit in der Informationstechnik.“ Der Softwarehersteller verneinte die Existenz der Probleme, erzählte einer der Autoren, Linus Neumann, in The Daily Beast, und begann stattdessen im Hintergrund damit, die Schwachstellen zu beheben.

Wahlautomaten – per fas et nefas

„Schwachstellen auf Servern wurden nach Meldung beseitigt“, meldete CCC im Bericht. Die durch Updates vorgenommenen technischen Gegenmaßnahmen in der Software erwiesen sich jedoch „bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen“. Es wurden auch prozedurale Änderungen im Wahlablauf vorgenommen, die beispielsweise eine unabhängige und obligatorische Verifikation des per PC-Wahl übermittelten Wahlergebnisses vorschreiben. Während nach der Prüfung eines Alternativprodukts zu PC-Wahl, IVU. elect, Anfang des Jahres in den Niederlanden beschlossen wurde, bei den Parlamentswahlen auf eine automatische Stimmenauszählung zu verzichten, hält man offensichtlich in Deutschland weiter an der Software fest. Auch wenn die bisher vorgeschlagenen Workarounds genauso gut die elektronische Stimmauszählung und -übertragung ganz ersetzen könnten – sollte zur Verifikation die Auszählung parallel manuell durchgeführt werden.

„Dieses verbriefte fundamentale Misstrauen in die Software ist angemessen“, kommentieren die Autoren des Berichts die Gegenmaßnahmen, „beantwortet aber die Frage nach dem verbleibenden Sinn ihres Einsatzes nicht.“ Auf der Konferenz DEF CON im Juli 2017 in Las Vegas schafften es Hacker in weniger als 90 Minuten, die eigens zu Testzwecken erworbenen und sich vielerorts in den USA noch im Einsatz befindlichen Wahlcomputer zu hacken. Den kompromittierenden Urteilen über diese Technologien zum Trotz kündigte der Bundeswahlleiter im August an: „Wahlautomaten sind für Deutschland ein Zukunftsprojekt, bei dem es sich lohnt, es weiterzuentwickeln.“

Kein Internet-Voting!

Im frühen Stadium der Automatisierung warnte der britische Kybernetiker, Stafford Beer, davor, automatisierte Fabriken nur aus dem obsessiven Antrieb zu bauen, diese bauen zu können. Er erinnerte dabei an das moralische Diktum Immanuel Kants, dass ein Obligo zu einer Möglichkeit führe: Das „müssen“ impliziert „können“. Die digitale Revolution folgt der Umkehrung dieses Prinzips, aus dem „können“ folgt nämlich unweigerlich das „müssen“.

Die wesentliche Frage ist womöglich gar nicht, ob jemand die Schwachstellen in der Wahlsoftware oder den Wahlautomaten tatsächlich ausnutzen und das Wahlergebnis manipulieren könnte, sondern ob damit das strapazierte Vertrauen der Wähler in die Wahlen und die Demokratie noch weiter untergraben wird. „Überhaupt sollten wir darüber reden, welche technologische Entwicklungen es nie geben wird“, empfahl deswegen der Futurologe Stanislaw Lem in Cicero. Weil wir es der Demokratie schuldig sind. Der IT-Sicherheitsguru Bruce Schneier hat sich wegen Sicherheits- und Datenschutzbedenken schon gegen das Internet-Voting ausgesprochen. Aber auch Wahlsoftware, Wahlcomputer und Wahlautomaten wären ganz gute Kandidaten.

Mehr aus der Kolumne

Kryptomania

Medium_6bf14bfb89

Die Antwort lautet nicht „42“

Autonome Fahrzeuge sollen das Fahren sicherer machen. Menschen machen Fehler, verursachen Unfälle. Maschinen können besser und objektiv entscheiden – und vor allem viel schneller reagieren. Im Zeitalter „vollkommener numerischer Sicherheit“ sollte die Sicherheit auf den Straßen nicht mehr von menschlicher Unzulänglichkeit gestört werden. Ist das die finale Lösung für die Mobilität, auch ethisch?

Medium_23c9af97ac

Facebook: auf ein Gesetz gekommen

Tech-Branche weckt zunehmend Interesse der Regulierer. Sie kann nun versuchen, die Regulierung zu beeinflussen. Oder sich unterordnen. Oder, wie Uber, sie ignorieren. Sie kann sich aber auch der Kontrolle entziehen, indem sie auf neue, unregulierte Technologien umsteigt. So gewinnt im Kontext des Netzdurchsetzungsgesetzes die Frage, ob es Facebook in zehn Jahren noch gibt, eine neue Dimension.

Medium_286f9c5719

Privacy, go in Rente!

Demokratie ist eine veraltete Technologie, Privatsphäre und Datenschutz keine gesellschaftliche Norm mehr. Das gilt für die einen mehr – für andere weniger. Privacy entwickelt sich in der Online- wie in der Offlinewelt immer mehr zum Privileg und VIP-Status. Nicht deren Verlust sei daher so gefährlich, warnen Experten, sondern die Asymmetrie: Die Beobachter können immer weniger beobachtet werden.

comments powered by Disqus