• IT-Karriere:
  • Services:

Datenbankzugriff aus dem Netz möglich

So sei es möglich gewesen, in OK.Vote Admin-Funktionen ohne die erforderliche Berechtigung aufzurufen. Die Entwickler hätten einfach darauf verzichtet, eine Zugriffskontrolle zu implementieren. Dadurch habe man eine bereits abgeschlossene Auszählung neu aufrufen oder das komplette Wahlergebnis löschen können.

Stellenmarkt
  1. Allianz Deutschland AG, München Unterföhring
  2. Berliner Verkehrsbetriebe (BVG), Berlin

Ebenfalls hätten die Entwickler darauf verzichtet, die Software gegen Cross-Site-Request-Forgery zu schützen. Über den Aufruf einer manipulierten Webseite sei es möglich gewesen, gefälschte Stimmzettel in die Datenbank einzuschleusen.

Über einen ungeschützten Port 3306 sei darüber hinaus Zugriff auf die MariaDB-Datenbank möglich gewesen. Außerdem fanden die Sicherheitsexperten einen speziellen Host, über den nicht passwortgeschützt auf die Datenbank und die Ausführung von Code zugegriffen werden konnte.

Es gebe keine Vorgaben, ob die Rechner bei der Auswertung der Stimmen mit einem lokalen Netzwerk oder gar dem Internet verbunden sein dürften. Das werde auch von der Software nicht überprüft.

Gesetzliche Vorgaben gefordert

Laut Obermaier und Madl reagierte AKDB "schnell und professionell" auf die Hinweise. Updates seien angekündigt worden. Die Vorgabe des Anbieters, eine sichere IT-Umgebung für den Einsatz von OK.Vote bereitzustellen, könnten die Kommunen nach Ansicht der Sicherheitsexperten jedoch kaum leisten. Daher sei es umso wichtiger, konkrete gesetzliche Vorgaben für die Sicherheit von Wahlsoftware zu machen. Zudem müsse die Software für unvoreingenommene Tests zur Verfügung gestellt werden. Ihrer Ansicht nach stellten die entdeckten Probleme nur "die Spitze des Eisbergs" dar.

AKBD behauptet auf seiner Webseite: "Bei der Entwicklung von OK.Vote wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Non-Profit-Organisation Open Web Application Security Project (OWASP)." Den beiden Experten zufolge sind solche Angaben wenig aussagekräftig.

Betroffen von den Problemen ist nicht nur Bayern. Denn OK.Vote werde auch in zahlreichen anderen Bundesländern eingesetzt. Im Quellcode hätten sich Hinweise auf die Länder Hamburg, Bremen, Hessen und Rheinland-Pfalz gefunden. Zur Europawahl 2019 nutzten laut AKDB deutschlandweit mehr als 1.600 Behörden die Software. Die Frage, ob die Sicherheitslücken bei zurückliegenden Wahlen bereits ausgenutzt worden seien, konnten Obermaier und Madl nicht beantworten. Dazu fehle ihnen der erforderliche Überblick. Eine Auswertung der Stimmen per Hand sei nur in Stichproben möglich.

Bitkom fordert digitale Wahlen

Trotz der immer wieder vorkommenden Probleme mit Wahlcomputern und Wahlsoftware forderte der IT-Branchenverband Bitkom zuletzt im September 2020 digitale Abstimmungsmöglichkeiten bei Wahlen in Bund, Ländern und Kommunen. Hintergrund waren Probleme mit Briefwahlunterlagen bei den Kommunalwahlen in Nordrhein-Westfalen. Für Obermaier ist es mit digitalen Systemen jedoch prinzipiell nicht möglich, dieselbe Transparenz wie bei papierbasierten Abstimmungen zu erreichen.

Nicht besonders für die Qualität der Software sprechen auch die Umstände, wie Obermaier an die Testmöglichkeit gelangte. So habe sich beim Import der Wahlergebnisse herausgestellt, dass die Exportdatei nur eine Größe von 10 MByte haben durfte. Um die Dateigröße zu reduzieren, habe er in der JSON-Datei auf seinem eigenen Rechner die enthaltenen Leerzeichen entfernt. Dabei habe er vergessen, die Software wieder zu entfernen und zu Hause die Möglichkeit genutzt, sie etwas genauer anzuschauen.

Nachtrag vom 28. Dezember 2020, 14:11 Uhr

Wir haben einige Details in der Passage zum Datenbankzugriff korrigiert.

Nachtrag vom 28. Dezember 2020, 21:25 Uhr

Nach Angaben der AKDB wird OK.Vote von der Vote iT Gmbh entwickelt und von der AKDB nur vertrieben. Wir haben dies in den ersten beiden Absätzen ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
  1.  
  2. 1
  3. 2
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Wonder Woman 1984
    Ein Superhelden-Film von vorgestern
  2. Arbeitsschutzverordnung
    Corona macht Homeoffice für Bildschirmarbeiter zur Regel
  3. Überwachung
    Techniker installiert Kameras und beobachtet Kunden
  4. Überwachung
    Militärgeheimdienst kauft kommerzielle Standortdaten
  5. Zoombombing im Distanzunterricht
    Pornografie statt Mathe und Deutsch
Anzeige
Spiele-Angebote
  1. Ghost Recon Breakpoint vom 21. bis zum 25. Januar kostenlos, mit allen Inhalten der Ultimate...
  2. 7,99€
  3. (u. a. Elite Dangerous für 5,99€, Struggling für 7,25€, Planet Zoo für 21,99€, Planet...
  4. (u. a. XCOM 2 Collection für 16,99€, Bioshock: The Collection für 11,99€, Mafia 3: The...
Kommentarübersicht
USA Wahlautomaten
Megusta 29. Dez 2020 / Themenstart

Behauptet Trump nicht das Gleiche, dass die Automaten bei der Wahl nicht zertifiziert...

Re: 80 Stimmen
Hantilles 29. Dez 2020 / Themenstart

War denn im Vortrag explizit die Rede von der Wahl zum Münchner Stadtrat? Falls nicht...

Endlich ist es geklärt wieso die grünen über 20...
StaTiC2206 29. Dez 2020 / Themenstart

immer noch über 5% ist. ;-)

Anmerkung: Vote IT ist nur eine "Scheinfirma"
Schattenwerk 29. Dez 2020 / Themenstart

Dort wird eigentlich überhaupt nix entwickelt sondern einfach nur an "Partner...

"sichere IT-Umgebung" aka "Wir machen es uns einfach"
Schattenwerk 29. Dez 2020 / Themenstart

Ich kenne diese Aussage "sichere IT-Umgebung" ganz genau: Ein System, welches 100%ig...

Kommentieren

Folgen Sie uns
       
Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
Security
IT-Security outsourcen: Besser als gar keine Sicherheit
IT-Security outsourcen
Besser als gar keine Sicherheit

Security as a Service (SECaaS) verspricht ein Höchstmaß an Sicherheit. Das Auslagern eines so heiklen Bereichs birgt jedoch auch Risiken.
Von Boris Mayer

  1. Joe Biden Stellenanzeige im Quellcode von Whitehouse.gov versteckt
  2. Sturm auf Kapitol Pelosis Laptop sollte Russland angeboten werden
  3. Malware Offenbar Ermittlungen gegen Jetbrains nach Solarwinds-Hack
Elektromobilität
Elektromobilität 2020/21: Nur Tesla legte in der Krise zu
Elektromobilität 2020/21
Nur Tesla legte in der Krise zu

Für die Autoindustrie war 2020 ein hartes Jahr. Wer im Homeoffice arbeitet und auch sonst zu Hause bleibt, braucht kein neues Auto. Doch in einem schwierigen Umfeld entwickelten sich die E-Auto-Verkäufe sehr gut.
Eine Analyse von Dirk Kunde

  1. Elektromobilität Akkupreise fallen auf Rekord von 66 Euro/kWh
  2. Transporter Mercedes eSprinter bekommt neue Elektroplattform
  3. Aptera Günstige Elektrofahrzeuge vorbestellbar
Whatsapp
Whatsapp: Überfällige Datenschutzabstimmung mit den Füßen
Whatsapp
Überfällige Datenschutzabstimmung mit den Füßen

Es gibt zwar keinen wirklichen Anlass, um plötzlich von Whatsapp zu Signal oder Threema zu wechseln. Doch der Denkzettel für Facebook ist wichtig.
Ein IMHO von Friedhelm Greis

  1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
  2. Facebook Whatsapp stellt Nutzern ein Ultimatum
  3. Watchchat Whatsapp mit der Apple Watch bedienen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /