Datenbankzugriff aus dem Netz möglich

So sei es möglich gewesen, in OK.Vote Admin-Funktionen ohne die erforderliche Berechtigung aufzurufen. Die Entwickler hätten einfach darauf verzichtet, eine Zugriffskontrolle zu implementieren. Dadurch habe man eine bereits abgeschlossene Auszählung neu aufrufen oder das komplette Wahlergebnis löschen können.

Stellenmarkt
  1. IT Expert Business Systems (m/w/d)
    teamtechnik Maschinen und Anlagen GmbH, Freiberg (Neckar)
  2. Junior Network Engineer - Firewall (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Köln, Stuttgart
Detailsuche

Ebenfalls hätten die Entwickler darauf verzichtet, die Software gegen Cross-Site-Request-Forgery zu schützen. Über den Aufruf einer manipulierten Webseite sei es möglich gewesen, gefälschte Stimmzettel in die Datenbank einzuschleusen.

Über einen ungeschützten Port 3306 sei darüber hinaus Zugriff auf die MariaDB-Datenbank möglich gewesen. Außerdem fanden die Sicherheitsexperten einen speziellen Host, über den nicht passwortgeschützt auf die Datenbank und die Ausführung von Code zugegriffen werden konnte.

Es gebe keine Vorgaben, ob die Rechner bei der Auswertung der Stimmen mit einem lokalen Netzwerk oder gar dem Internet verbunden sein dürften. Das werde auch von der Software nicht überprüft.

Gesetzliche Vorgaben gefordert

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    14./15.07.2022, Virtuell
Weitere IT-Trainings

Laut Obermaier und Madl reagierte AKDB "schnell und professionell" auf die Hinweise. Updates seien angekündigt worden. Die Vorgabe des Anbieters, eine sichere IT-Umgebung für den Einsatz von OK.Vote bereitzustellen, könnten die Kommunen nach Ansicht der Sicherheitsexperten jedoch kaum leisten. Daher sei es umso wichtiger, konkrete gesetzliche Vorgaben für die Sicherheit von Wahlsoftware zu machen. Zudem müsse die Software für unvoreingenommene Tests zur Verfügung gestellt werden. Ihrer Ansicht nach stellten die entdeckten Probleme nur "die Spitze des Eisbergs" dar.

AKBD behauptet auf seiner Webseite: "Bei der Entwicklung von OK.Vote wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Non-Profit-Organisation Open Web Application Security Project (OWASP)." Den beiden Experten zufolge sind solche Angaben wenig aussagekräftig.

Betroffen von den Problemen ist nicht nur Bayern. Denn OK.Vote werde auch in zahlreichen anderen Bundesländern eingesetzt. Im Quellcode hätten sich Hinweise auf die Länder Hamburg, Bremen, Hessen und Rheinland-Pfalz gefunden. Zur Europawahl 2019 nutzten laut AKDB deutschlandweit mehr als 1.600 Behörden die Software. Die Frage, ob die Sicherheitslücken bei zurückliegenden Wahlen bereits ausgenutzt worden seien, konnten Obermaier und Madl nicht beantworten. Dazu fehle ihnen der erforderliche Überblick. Eine Auswertung der Stimmen per Hand sei nur in Stichproben möglich.

Bitkom fordert digitale Wahlen

Trotz der immer wieder vorkommenden Probleme mit Wahlcomputern und Wahlsoftware forderte der IT-Branchenverband Bitkom zuletzt im September 2020 digitale Abstimmungsmöglichkeiten bei Wahlen in Bund, Ländern und Kommunen. Hintergrund waren Probleme mit Briefwahlunterlagen bei den Kommunalwahlen in Nordrhein-Westfalen. Für Obermaier ist es mit digitalen Systemen jedoch prinzipiell nicht möglich, dieselbe Transparenz wie bei papierbasierten Abstimmungen zu erreichen.

Nicht besonders für die Qualität der Software sprechen auch die Umstände, wie Obermaier an die Testmöglichkeit gelangte. So habe sich beim Import der Wahlergebnisse herausgestellt, dass die Exportdatei nur eine Größe von 10 MByte haben durfte. Um die Dateigröße zu reduzieren, habe er in der JSON-Datei auf seinem eigenen Rechner die enthaltenen Leerzeichen entfernt. Dabei habe er vergessen, die Software wieder zu entfernen und zu Hause die Möglichkeit genutzt, sie etwas genauer anzuschauen.

Nachtrag vom 28. Dezember 2020, 14:11 Uhr

Wir haben einige Details in der Passage zum Datenbankzugriff korrigiert.

Nachtrag vom 28. Dezember 2020, 21:25 Uhr

Nach Angaben der AKDB wird OK.Vote von der Vote iT Gmbh entwickelt und von der AKDB nur vertrieben. Wir haben dies in den ersten beiden Absätzen ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
  1.  
  2. 1
  3. 2


Megusta 29. Dez 2020

Behauptet Trump nicht das Gleiche, dass die Automaten bei der Wahl nicht zertifiziert...

Hantilles 29. Dez 2020

War denn im Vortrag explizit die Rede von der Wahl zum Münchner Stadtrat? Falls nicht...

StaTiC2206 29. Dez 2020

immer noch über 5% ist. ;-)

Schattenwerk 29. Dez 2020

Dort wird eigentlich überhaupt nix entwickelt sondern einfach nur an "Partner...



Aktuell auf der Startseite von Golem.de
Microsoft
Exchange Server von gut versteckter Hintertür betroffen

Sicherheitsforscher haben eine Backdoor gefunden, die zuvor gehackte Exchange-Server seit 15 Monaten zugänglich hält.

Microsoft: Exchange Server von gut versteckter Hintertür betroffen
Artikel
  1. Ayn Loki Zero: Dieses PC-Handheld kostet nur 200 US-Dollar
    Ayn Loki Zero
    Dieses PC-Handheld kostet nur 200 US-Dollar

    Es ist das bisher günstigste Modell in einer Reihe von vielen: Der Loki Zero mit 6-Zoll-Display nutzt einen Athlon-Prozessor mit Vega-Grafik.

  2. US-Streaming: Immer mehr Netflix-Abonnenten kündigen nach einem Monat
    US-Streaming
    Immer mehr Netflix-Abonnenten kündigen nach einem Monat

    Netflix hat zunehmend Probleme, neue Abonnenten zu halten. Der Anteil an Neukunden, die nach einem Monat wieder kündigen, steigt.

  3. Ducati V21L: Ducatis elektrische Rennmaschine schafft 275 km/h
    Ducati V21L
    Ducatis elektrische Rennmaschine schafft 275 km/h

    Ducati testet seit einem halben Jahr ein Elektromotorrad für den Rennsport. Der italienische Hersteller nennt Details zu Leistung und Einsatz.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Gigabyte RX 6800 679€ • Samsung SSD 2TB (PS5-komp.) 249,90€ • MindStar (Zotac RTX 3090 1.399€) • Top-Spiele-PC mit AMD Ryzen 7 RTX 3070 Ti 32GB 1.700€ • Nanoleaf günstiger • Alternate (TeamGroup DDR4-3600 16GB 49,99€) Switch OLED günstig wie nie: 333€ [Werbung]
    •  /