Datenbankzugriff aus dem Netz möglich
So sei es möglich gewesen, in OK.Vote Admin-Funktionen ohne die erforderliche Berechtigung aufzurufen. Die Entwickler hätten einfach darauf verzichtet, eine Zugriffskontrolle zu implementieren. Dadurch habe man eine bereits abgeschlossene Auszählung neu aufrufen oder das komplette Wahlergebnis löschen können.
Ebenfalls hätten die Entwickler darauf verzichtet, die Software gegen Cross-Site-Request-Forgery zu schützen. Über den Aufruf einer manipulierten Webseite sei es möglich gewesen, gefälschte Stimmzettel in die Datenbank einzuschleusen.
Über einen ungeschützten Port 3306 sei darüber hinaus Zugriff auf die MariaDB-Datenbank möglich gewesen. Außerdem fanden die Sicherheitsexperten einen speziellen Host, über den nicht passwortgeschützt auf die Datenbank und die Ausführung von Code zugegriffen werden konnte.
Es gebe keine Vorgaben, ob die Rechner bei der Auswertung der Stimmen mit einem lokalen Netzwerk oder gar dem Internet verbunden sein dürften. Das werde auch von der Software nicht überprüft.
Gesetzliche Vorgaben gefordert
Laut Obermaier und Madl reagierte AKDB "schnell und professionell" auf die Hinweise. Updates seien angekündigt worden. Die Vorgabe des Anbieters, eine sichere IT-Umgebung für den Einsatz von OK.Vote bereitzustellen, könnten die Kommunen nach Ansicht der Sicherheitsexperten jedoch kaum leisten. Daher sei es umso wichtiger, konkrete gesetzliche Vorgaben für die Sicherheit von Wahlsoftware zu machen. Zudem müsse die Software für unvoreingenommene Tests zur Verfügung gestellt werden. Ihrer Ansicht nach stellten die entdeckten Probleme nur "die Spitze des Eisbergs" dar.
AKBD behauptet auf seiner Webseite: "Bei der Entwicklung von OK.Vote wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Non-Profit-Organisation Open Web Application Security Project (OWASP)." Den beiden Experten zufolge sind solche Angaben wenig aussagekräftig.
Betroffen von den Problemen ist nicht nur Bayern. Denn OK.Vote werde auch in zahlreichen anderen Bundesländern eingesetzt. Im Quellcode hätten sich Hinweise auf die Länder Hamburg, Bremen, Hessen und Rheinland-Pfalz gefunden. Zur Europawahl 2019 nutzten laut AKDB deutschlandweit mehr als 1.600 Behörden die Software. Die Frage, ob die Sicherheitslücken bei zurückliegenden Wahlen bereits ausgenutzt worden seien, konnten Obermaier und Madl nicht beantworten. Dazu fehle ihnen der erforderliche Überblick. Eine Auswertung der Stimmen per Hand sei nur in Stichproben möglich.
Bitkom fordert digitale Wahlen
Trotz der immer wieder vorkommenden Probleme mit Wahlcomputern und Wahlsoftware forderte der IT-Branchenverband Bitkom zuletzt im September 2020 digitale Abstimmungsmöglichkeiten bei Wahlen in Bund, Ländern und Kommunen. Hintergrund waren Probleme mit Briefwahlunterlagen bei den Kommunalwahlen in Nordrhein-Westfalen. Für Obermaier ist es mit digitalen Systemen jedoch prinzipiell nicht möglich, dieselbe Transparenz wie bei papierbasierten Abstimmungen zu erreichen.
Nicht besonders für die Qualität der Software sprechen auch die Umstände, wie Obermaier an die Testmöglichkeit gelangte. So habe sich beim Import der Wahlergebnisse herausgestellt, dass die Exportdatei nur eine Größe von 10 MByte haben durfte. Um die Dateigröße zu reduzieren, habe er in der JSON-Datei auf seinem eigenen Rechner die enthaltenen Leerzeichen entfernt. Dabei habe er vergessen, die Software wieder zu entfernen und zu Hause die Möglichkeit genutzt, sie etwas genauer anzuschauen.
Nachtrag vom 28. Dezember 2020, 14:11 Uhr
Wir haben einige Details in der Passage zum Datenbankzugriff korrigiert.
Nachtrag vom 28. Dezember 2020, 21:25 Uhr
Nach Angaben der AKDB wird OK.Vote von der Vote iT Gmbh entwickelt und von der AKDB nur vertrieben. Wir haben dies in den ersten beiden Absätzen ergänzt.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware |
- 1
- 2
Behauptet Trump nicht das Gleiche, dass die Automaten bei der Wahl nicht zertifiziert...
War denn im Vortrag explizit die Rede von der Wahl zum Münchner Stadtrat? Falls nicht...
immer noch über 5% ist. ;-)
Dort wird eigentlich überhaupt nix entwickelt sondern einfach nur an "Partner...
Ich kenne diese Aussage "sichere IT-Umgebung" ganz genau: Ein System, welches 100%ig...
Kommentieren