Datenbankzugriff aus dem Netz möglich

So sei es möglich gewesen, in OK.Vote Admin-Funktionen ohne die erforderliche Berechtigung aufzurufen. Die Entwickler hätten einfach darauf verzichtet, eine Zugriffskontrolle zu implementieren. Dadurch habe man eine bereits abgeschlossene Auszählung neu aufrufen oder das komplette Wahlergebnis löschen können.

Stellenmarkt
  1. Lead Developer Delphi (m/w/d)
    Haufe Group, Bielefeld
  2. Mitarbeiter Online-Marketing (m/w/d)
    Blickle Räder+Rollen GmbH u. Co. KG, Rosenfeld
Detailsuche

Ebenfalls hätten die Entwickler darauf verzichtet, die Software gegen Cross-Site-Request-Forgery zu schützen. Über den Aufruf einer manipulierten Webseite sei es möglich gewesen, gefälschte Stimmzettel in die Datenbank einzuschleusen.

Über einen ungeschützten Port 3306 sei darüber hinaus Zugriff auf die MariaDB-Datenbank möglich gewesen. Außerdem fanden die Sicherheitsexperten einen speziellen Host, über den nicht passwortgeschützt auf die Datenbank und die Ausführung von Code zugegriffen werden konnte.

Es gebe keine Vorgaben, ob die Rechner bei der Auswertung der Stimmen mit einem lokalen Netzwerk oder gar dem Internet verbunden sein dürften. Das werde auch von der Software nicht überprüft.

Gesetzliche Vorgaben gefordert

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. PostgreSQL Fundamentals
    14.-17. September 2021, online
Weitere IT-Trainings

Laut Obermaier und Madl reagierte AKDB "schnell und professionell" auf die Hinweise. Updates seien angekündigt worden. Die Vorgabe des Anbieters, eine sichere IT-Umgebung für den Einsatz von OK.Vote bereitzustellen, könnten die Kommunen nach Ansicht der Sicherheitsexperten jedoch kaum leisten. Daher sei es umso wichtiger, konkrete gesetzliche Vorgaben für die Sicherheit von Wahlsoftware zu machen. Zudem müsse die Software für unvoreingenommene Tests zur Verfügung gestellt werden. Ihrer Ansicht nach stellten die entdeckten Probleme nur "die Spitze des Eisbergs" dar.

AKBD behauptet auf seiner Webseite: "Bei der Entwicklung von OK.Vote wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Non-Profit-Organisation Open Web Application Security Project (OWASP)." Den beiden Experten zufolge sind solche Angaben wenig aussagekräftig.

Betroffen von den Problemen ist nicht nur Bayern. Denn OK.Vote werde auch in zahlreichen anderen Bundesländern eingesetzt. Im Quellcode hätten sich Hinweise auf die Länder Hamburg, Bremen, Hessen und Rheinland-Pfalz gefunden. Zur Europawahl 2019 nutzten laut AKDB deutschlandweit mehr als 1.600 Behörden die Software. Die Frage, ob die Sicherheitslücken bei zurückliegenden Wahlen bereits ausgenutzt worden seien, konnten Obermaier und Madl nicht beantworten. Dazu fehle ihnen der erforderliche Überblick. Eine Auswertung der Stimmen per Hand sei nur in Stichproben möglich.

Bitkom fordert digitale Wahlen

Trotz der immer wieder vorkommenden Probleme mit Wahlcomputern und Wahlsoftware forderte der IT-Branchenverband Bitkom zuletzt im September 2020 digitale Abstimmungsmöglichkeiten bei Wahlen in Bund, Ländern und Kommunen. Hintergrund waren Probleme mit Briefwahlunterlagen bei den Kommunalwahlen in Nordrhein-Westfalen. Für Obermaier ist es mit digitalen Systemen jedoch prinzipiell nicht möglich, dieselbe Transparenz wie bei papierbasierten Abstimmungen zu erreichen.

Nicht besonders für die Qualität der Software sprechen auch die Umstände, wie Obermaier an die Testmöglichkeit gelangte. So habe sich beim Import der Wahlergebnisse herausgestellt, dass die Exportdatei nur eine Größe von 10 MByte haben durfte. Um die Dateigröße zu reduzieren, habe er in der JSON-Datei auf seinem eigenen Rechner die enthaltenen Leerzeichen entfernt. Dabei habe er vergessen, die Software wieder zu entfernen und zu Hause die Möglichkeit genutzt, sie etwas genauer anzuschauen.

Nachtrag vom 28. Dezember 2020, 14:11 Uhr

Wir haben einige Details in der Passage zum Datenbankzugriff korrigiert.

Nachtrag vom 28. Dezember 2020, 21:25 Uhr

Nach Angaben der AKDB wird OK.Vote von der Vote iT Gmbh entwickelt und von der AKDB nur vertrieben. Wir haben dies in den ersten beiden Absätzen ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Star Wars
Youtuber bekommt für Deep Fakes Job bei Lucasfilm

Mit Deepfakes schafft Shamook überzeugendere Varianten von Star-Wars-Figuren, als es Disney je gelungen ist. Jetzt arbeitet er bei ILM.

Star Wars: Youtuber bekommt für Deep Fakes Job bei Lucasfilm
Artikel
  1. Flight Simulator im Benchmark-Test: Sim Update 5 lässt Performance abheben
    Flight Simulator im Benchmark-Test
    Sim Update 5 lässt Performance abheben

    Die Optimierungen bei Bildrate und Speicherbedarf sind derart immens, dass wir kaum glauben können, noch den Flight Simulator zu spielen.
    Ein Test von Marc Sauter

  2. Sony: Zehn Millionen Exemplare der Playstation 5 verkauft
    Sony
    Zehn Millionen Exemplare der Playstation 5 verkauft

    Trotz Lieferengpässen ist die Playstation 5 vermutlich die am schnellsten verkaufte Konsole. Auch zum Absatz der Xbox Series X/S gibt es neue Zahlen.

  3. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

Megusta 29. Dez 2020

Behauptet Trump nicht das Gleiche, dass die Automaten bei der Wahl nicht zertifiziert...

Hantilles 29. Dez 2020

War denn im Vortrag explizit die Rede von der Wahl zum Münchner Stadtrat? Falls nicht...

StaTiC2206 29. Dez 2020

immer noch über 5% ist. ;-)

Schattenwerk 29. Dez 2020

Dort wird eigentlich überhaupt nix entwickelt sondern einfach nur an "Partner...

Schattenwerk 29. Dez 2020

Ich kenne diese Aussage "sichere IT-Umgebung" ganz genau: Ein System, welches 100%ig...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /