CCC hackt Hamburger Wahlstift
Durch eine grundlegende Änderung des Wahlrechts werde unter anderem ein Computer-Wahlverfahren eingeführt, das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift aussieht, kritisiert der CCC das Vorhaben. Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür bekommt er einen digitalen Wahlstift ausgehändigt, der über ein für Menschen kaum sichtbares Muster auf dem Stimmzettel aufzeichnet, wo auf dem Papier der Wähler seine Kreuze macht.
Der Stift wird anschließend in eine Auslesestation gesteckt, um das digitale Kreuz vom Stift über ein Kabel auf einen Laptop zu übertragen. Im Laptop werden dann die Kreuze zu Stimmen umgerechnet. Am Wahlende wird aus den gespeicherten Kreuzen ein Ergebnis errechnet, welches dann über einen Drucker ausgegeben wird. Aus Gründen der Ausfallsicherheit werden alle Stimmen zusätzlich auf einem USB-Stick gespeichert, so das Konzept.
Doch dieser Ansatz berge besondere Risiken, meinen die Hacker des CCC, die sich allgemein gegen den Einsatz von Wahlcomputern aussprechen. Nach ihrer Ansicht bringt der Einsatz von Wahlcomputern unnötige Risiken mit sich und die Manipulation einer elektronischen Wahl könnte zudem nur schwer zu entdecken und nachzuvollziehen sein.
Der Chaos Computer Club machte anhand der verfügbaren Informationen und durch Untersuchung der Basistechnologie des Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von schwerwiegenden prinzipiellen Mängeln des Systems aus. Ein komplettes System wurde dem CCC durch den Hamburger Wahlleiter nicht zur Analyse überlassen.
Der CCC hat zur beispielhaften Illustration der vielfältigen Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger Bürgerschaft einen trojanischen Wahlstift entwickelt, der äußerlich nicht als solcher erkennbar ist. Solch ein Stift könne sowohl von Wählern als auch von an der Wahlvorbereitung und -durchführung beteiligten Personen unbemerkt ins Wahllokal mitgebracht und statt des echten Wahlstifts in die Auslesestation gesteckt werden.
Der manipulierte Stift überträgt dann nicht nur digitale Stimmkreuze zum Auswertungscomputer, sondern agiert als ein so genanntes Trojanisches Pferd zum Einschleusen von Schadsoftware. Sobald der Stift in die Auslesestation gesteckt werde, aktiviere sich ein Manipulationsprogramm, das automatisch auf das Zielsystem übertragen und dort ohne Zutun des Bedieners ausgeführt wird. So könne die Wahl problemlos auf dem Auswertungs-Notebook manipuliert werden, indem beispielsweise die Position der digital gespeicherten Stimmkreuze verändert wird.
Der CCC kritisiert insbesondere, dass nach dem neuen Hamburger Wahlgesetz ausschließlich die vom Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des Wählerwillens gelten sollen. Das Papier diene nur als wählerberuhigende Dekoration, denn die Stimmen auf dem Papier sollen nur in 17 der rund 1.300 Wahllokale zur Überprüfung nachgezählt werden. Stimmen, die erkennbar mit einem herkömmlichen Kugelschreiber oder Füller abgegeben werden, sollen als ungültig aussortiert werden, so dass im Zweifel der Computer maßgeblich sei, nicht die Stimmen auf dem Papier.
Bei der Briefwahl werden die Stimmen von zwei Wahlhelfern mit dem digitalen Stift nachgemalt, um damit ebenfalls ein computergestütztes Ergebnis zu ermitteln.
Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu belegen, wurde ein Schutzprofil nach den so genannten Common Criteria erstellt, einem Standard, der eigentlich zur Standardisierung von Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme entwickelt wurde. Aufgrund dieses Schutzprofils soll nun eine Baumusterprüfung durch die Physikalisch-Technische Bundesanstalt (PTB) stattfinden.
Gegenstand der Prüfung soll dabei die Auslesestation und der Wahlstift selbst, die Software auf dem Stift sowie die Auswertungs- und Zählsoftware auf dem Notebook sein. Die Prüfung umfasst jedoch nicht den Drucker, das Notebook, auf dem Windows XP als Betriebssystem laufen wird, und die zentrale Auswertungssoftware beim Statistikamt Nord, so der CCC. Der Hacker-Club weist zudem darauf hin, dass die PTB bereits die Wahlcomputer der Firma Nedap für Deutschland als sicher eingestuft hatte, welche in den Niederlanden gerade aufgrund von Sicherheitsbedenken komplett aus dem Verkehr gezogen wurden.
Eine Manipulation der Wahl durch Innentäter, also etwa durch Wahlhelfer, Administratoren der Behörde für Inneres oder Mitarbeiter der Herstellerfirmen werde im Schutzprofil per Definition ausgeschlossen, was CCC-Sprecher Dirk Engling kritisiert: "Die Ignoranz gegenüber der Innentäter-Gefahr entlarvt das konzeptionell falsche Herangehen an computerisierte Wahlvorgänge. Es erinnert an einen Flugzeugbauer, der bei der Konstruktion mal eben die Erdanziehung vergisst und sich nachher wundert, dass das Flugzeug nicht abheben kann." Die von Hersteller und Hamburger Senat getroffene Annahme, dass es keine Innentäter geben wird, die eine Wahlfälschung versuchen würden, disqualifiziere die Sicherheitsannahmen für das System vollständig.
Auch sei keine Veröffentlichung der Software des "Digitalen Wahlstiftsystems" und der zu Grunde liegenden Technik vorgesehen, womit eine öffentliche Prüfung durch unabhängige Sicherheitsexperten unterbunden werde.
"Der trojanische Wahlstift ist nur einer von vielen verschiedenen Angriffen gegen das Wahlstift-System. Es geht hier nicht um das eine oder andere Sicherheitsloch, das noch irgendwie gestopft werden kann. Das prinzipielle Problem ist, dass der Wähler bewusst in die Irre geführt wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit eine unsichere und intransparente Computerwahl ist" , sagt CCC-Sprecher Dirk Engling.
Vor dem Hintergrund der prinzipiellen und sicherheitstechnischen Probleme des digitalen Wahlstifts, insbesondere der mangelnden Überprüfbarkeit durch den Wähler, fordert der Chaos Computer Club den Hamburger Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben. Selbst mit massiver Nacharbeit an den heute sichtbaren Sicherheitslücken sei das System prinzipbedingt nicht dazu geeignet, die Anforderungen an Wahlen in Deutschland zu erfüllen.