Passwort: wahlen

Der deutsche Wähler erfuhr jetzt, kurz vor der Wahl, dass die Wahlergebnisse nicht, wie angenommen, per Fax oder Telefon, sondern häufig mittels Software übertragen und aggregiert werden, die sich in der Vergangenheit standhaft einer Sicherheitsprüfung verwehren konnte. Die Begründung: Geheimhaltung der Software sei für die Sicherheit der Wahl unerlässlich. Das beunruhigt.

Im Vorfeld der 19. Bundestagswahl zeigte man sich in Deutschland zuversichtlich: Wir „haben […] uns in Abstimmung mit dem Bundesamt für die Sicherheit in der Informationstechnik auf mögliche Angriffe vorbereitet“, bestätigte der Bundeswahlleiter, Dieter Sarreither, der Augsburger Allgemeinen im August 2017. So etwas wie bei den Präsidentschaftswahlen in den USA im Jahr 2016 – ausländische Geheimdienste wurden verdächtigt, mithilfe von Manipulationen der Wahlautomaten auf das Wahlergebnis Einfluss genommen zu haben, es wurde sogar kurz eine erneute Auszählung der Stimmen in Erwägung gezogen – könne in Deutschland gar nicht passieren. Hierzulande wird nicht via Wahlautomat, sondern noch traditionell, mit einem Kreuzchen auf Papier, gewählt. Bisher erfolgte die Übertragung der Ergebnisse aus den Wahllokalen an die Gemeinden und dann an den Kreiswahlleiter per Telefon – und schließlich zum Bundeswahlleiter „über interne, verschlüsselte Verbindungen“.

„Als konkretes Angriffsziel auf den Wahlvorgang bliebe in Deutschland nur eine Software, mit der die Landeswahlleiter Stimmen zusammenzählen“, sagte Constanze Kurz, Sprecherin des Chaos Computer Clubs (CCC), im Wired. Am 7. September 2017, knappe drei Wochen vor der Wahl, ließ der CCC dann die Bombe platzen und veröffentlichte einen Bericht mit den Ergebnissen der Analyse einer Wahlsoftware. Konkret: der Version 10 der Software PC-Wahl des Herstellers vote iT GmbH, die zur „Organisation, Erfassung und Auswertung von Wahlen“ eingesetzt wird.

Security by Obscurity

So erfuhr der deutsche Wähler kurz vor der Wahl, dass die Wahlergebnisse nicht, wie angenommen, per Fax oder Telefon, sondern häufig mittels Software übertragen und aggregiert werden, die sich in der Vergangenheit standhaft einer Sicherheitsprüfung verwehren konnte: CCC erwähnt in seinem Bericht den Wahlhelfer Ingo Hoeft, der mit dem Versuch, gerichtlich Einblick in das bei der Kommunalwahl in Rheinland-Pfalz 2009 eingesetzte Programm zu erwirken, scheiterte. Begründung: Geheimhaltung der Software sei für die Sicherheit der Wahl unerlässlich. Niemand erwartet von den deutschen Richtern, dass sie das Kerckhoff-Prinzip kennen und anwenden. Ihre US-Kollegen taten es ihnen bis zum Jahr 2015 vermutlich gleich, denn so lange dauerte es, bis die Library of Congress eine Ausnahme machte, um Sicherheitsforschung an den Wahlautomaten zu ermöglichen. Bis zum Jahr 2015 waren derartige Testversuche noch illegal – die Wahlcomputer waren durch das Digital Millenium Copyright Act urheberrechtlich geschützt.

In Deutschland werden die Stimmen zwar von den Wahllokalen an die Gemeinden „bis auf wenige Ausnahmen“ immer noch telefonisch übertragen. Anschließend kommt jedoch vielerorts die Software PC-Wahl zum Einsatz: Die Wahlergebnisse werden im Programm erfasst, und es erfolgt ein automatischer Upload mithilfe des FTP-Moduls an die Wahlkreise. Laut Produktinformationen auf der Website von vote iT ist PC-Wahl „ein modulares Softwarepaket für die Erfassung, Berechnung, grafische Präsentation, Meldung und statistische Nachbereitung von Wahlergebnissen“, das in Kommunalwahlen, Kreiswahlen, Landtagswahlen, Bundestagswahlen, Europawahlen, Volksabstimmungen und Direktwahlen eingesetzt wird und „auch Sonderformen wie Wahlbereichswahlen, mehrfache Bürgerentscheide, unechte Teilortswahlen und Trendwahlen“ unterstützt. 2.700 Behörden haben die Produkte von vote iT (es gibt zwei: votemanager und PC-Wahl) lizenziert, heißt es dort: „Damit werden für rund 66 Prozent der Einwohner Deutschlands die Wahlen mit unseren Produkten organisiert und präsentiert.“

Failed Transfer Protocol

Der CCC hat sich die PC-Wahl vorgenommen – ausgewählte Server mit den FTP-Upload-Funktionen angeschaut, die Manipulationsmöglichkeiten bei der Authentizität der Software und die Integrität der Daten geprüft. Den drei Sicherheitsforschern vom CCC – Thorsten Schröder, Linus Neumann und Martin Tschirsich – ist es u. a. gelungen, die „verschlüsselten“ FTP-Zugangsdaten mittels der ebenfalls auf dem Server in öffentlichen Verzeichnissen gespeicherten Tools zu entschlüsseln. Ob so viel Aufwand überhaupt notwendig war, darüber lässt sich streiten, denn den Empfehlungen und Warnungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bzgl. Passwortsicherheit zum Trotz wäre es vermutlich sogar einfacher, die Zugangsdaten zu erraten, als sie zu entschlüsseln. So lauteten beispielsweise die Zugangsdaten für den ekom21 FTP-Server:
Benutzer: wahlen
Passwort: wahlen,ftp

Auch das Einschleusen einer Schadsoftware stellte offenbar kein Problem dar: „Bei der Installation von Software-Updates werden diese vor der Ausführung nicht auf Authentizität geprüft“, fanden die Sicherheitsforscher heraus. Ebenso war die Integrität der übertragenen Wahlergebnisse nicht hinreichend gewährleistet. Das CCC hat nur einige wenige Angriffsszenarien getestet und auch dabei schon zahlreiche Sicherheitslücken festgestellt. PC-Wahl nutzt auch wahrlich keine disruptiven, neuartigen Technologien: File Transfer Protokoll (FTP) ist eine Technik zur Übertragung von Daten via IP-Netzwerk, die viel älter als das World Wide Web ist; die Erfassung und grafische Auswertung von Zahlen würde man auch Excel zutrauen. „Die Schwachstellen ermöglichen eine Einflussnahme auf Wahlergebnisse“, stellten die Autoren des Berichts fest. Sie veröffentlichten die von ihnen eingesetzten Tools, um anderen – technisch Interessierten, aber auch den Herstellern der Software und Anbietern – die Validierung ihre Analyseergebnisse zu ermöglichen. „Der Hersteller vote iT wurde erstmals im Juni 2017 kontaktiert. Seit dem 28.07.2017 erhielt der Hersteller auch Unterstützung durch das Bundesamt für Sicherheit in der Informationstechnik.“ Der Softwarehersteller verneinte die Existenz der Probleme, erzählte einer der Autoren, Linus Neumann, in The Daily Beast, und begann stattdessen im Hintergrund damit, die Schwachstellen zu beheben.

Wahlautomaten – per fas et nefas

„Schwachstellen auf Servern wurden nach Meldung beseitigt“, meldete CCC im Bericht. Die durch Updates vorgenommenen technischen Gegenmaßnahmen in der Software erwiesen sich jedoch „bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen“. Es wurden auch prozedurale Änderungen im Wahlablauf vorgenommen, die beispielsweise eine unabhängige und obligatorische Verifikation des per PC-Wahl übermittelten Wahlergebnisses vorschreiben. Während nach der Prüfung eines Alternativprodukts zu PC-Wahl, IVU. elect, Anfang des Jahres in den Niederlanden beschlossen wurde, bei den Parlamentswahlen auf eine automatische Stimmenauszählung zu verzichten, hält man offensichtlich in Deutschland weiter an der Software fest. Auch wenn die bisher vorgeschlagenen Workarounds genauso gut die elektronische Stimmauszählung und -übertragung ganz ersetzen könnten – sollte zur Verifikation die Auszählung parallel manuell durchgeführt werden.

„Dieses verbriefte fundamentale Misstrauen in die Software ist angemessen“, kommentieren die Autoren des Berichts die Gegenmaßnahmen, „beantwortet aber die Frage nach dem verbleibenden Sinn ihres Einsatzes nicht.“ Auf der Konferenz DEF CON im Juli 2017 in Las Vegas schafften es Hacker in weniger als 90 Minuten, die eigens zu Testzwecken erworbenen und sich vielerorts in den USA noch im Einsatz befindlichen Wahlcomputer zu hacken. Den kompromittierenden Urteilen über diese Technologien zum Trotz kündigte der Bundeswahlleiter im August an: „Wahlautomaten sind für Deutschland ein Zukunftsprojekt, bei dem es sich lohnt, es weiterzuentwickeln.“

Kein Internet-Voting!

Im frühen Stadium der Automatisierung warnte der britische Kybernetiker, Stafford Beer, davor, automatisierte Fabriken nur aus dem obsessiven Antrieb zu bauen, diese bauen zu können. Er erinnerte dabei an das moralische Diktum Immanuel Kants, dass ein Obligo zu einer Möglichkeit führe: Das „müssen“ impliziert „können“. Die digitale Revolution folgt der Umkehrung dieses Prinzips, aus dem „können“ folgt nämlich unweigerlich das „müssen“.

Die wesentliche Frage ist womöglich gar nicht, ob jemand die Schwachstellen in der Wahlsoftware oder den Wahlautomaten tatsächlich ausnutzen und das Wahlergebnis manipulieren könnte, sondern ob damit das strapazierte Vertrauen der Wähler in die Wahlen und die Demokratie noch weiter untergraben wird. „Überhaupt sollten wir darüber reden, welche technologische Entwicklungen es nie geben wird“, empfahl deswegen der Futurologe Stanislaw Lem in Cicero. Weil wir es der Demokratie schuldig sind. Der IT-Sicherheitsguru Bruce Schneier hat sich wegen Sicherheits- und Datenschutzbedenken schon gegen das Internet-Voting ausgesprochen. Aber auch Wahlsoftware, Wahlcomputer und Wahlautomaten wären ganz gute Kandidaten.

Mehr aus der Kolumne

Kryptomania

Medium_3eec12a6ba

Kommen jetzt die neuen Robotergesetze?

Die drei Robotergesetze kennt fast jeder. Oder hat wenigstens schon davon gehört. Leider hat ihr Schöpfer nicht gesagt, wie solche Vorgaben verbindlich zu machen sind. Inzwischen streben Roboter nach politischen Ämtern und treffen für Menschen Entscheidungen. Gültige Robotergesetze gibt es aber immer noch nicht. Eventuell kann die vom Bundestag kürzlich gegründete KI-Enquete Abhilfe schaffen.

Medium_83d5aa8aac

Das liest die Maschine nicht

An deutschen Postschaltern hat die Kundschaft mit den Herausforderungen der Digitalisierung zu kämpfen. „Sie müssen das Land hier unten hinschreiben, in Großbuchstaben“, erklärt der Mitarbeiter geduldig, „sonst liest es die Maschine nicht.“ England oder Großbritannien? Das ist der Maschine egal. Doch schon kommen weitere Probleme. Digitalisierung ist kompliziert.

Medium_d18ad02468

Russische Hacker

Viele Hinweise, kaum Beweise – so lässt sich die Diskussion zur Beteiligung russischer Hacker an weltweiten Cyber-Angriffen zusammenfassen. Ihre Möglichkeiten scheinen schier unbegrenzt. Ihre Beherrschung digitaler Technologien grenzt an Magie. Doch das Problem ist weniger mystisch: Unternehmen und Behörden hierzulande setzen unsichere Technologien ein. Die Motivation, dies zu ändern, ist gering.

comments powered by Disqus