OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware

rC3

Bei der Auswertung von Wahlergebnissen werden in Deutschland Computer eingesetzt. Doch eine bayerische Wahlsoftware hat viele Sicherheitslücken.

Artikel veröffentlicht am ,
Die beiden Sicherheitsexperten Johannes Obermaier (l.) und Tobias Madl haben eine Wahlsoftware untersucht.
Die beiden Sicherheitsexperten Johannes Obermaier (l.) und Tobias Madl haben eine Wahlsoftware untersucht. (Bild: rc3.ccc.de/Screenshot: Golem.de)

Sicherheitsexperten haben in einer Wahlsoftware aus Bayern zahlreiche Sicherheitslücken gefunden. Die bei den bayerischen Kommunalwahlen 2020 eingesetzte Software OK.Vote, die von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertrieben wird, sei auf verschiedenen Wegen angreifbar gewesen, berichteten Johannes Obermaier und Tobias Madl in einem Vortrag auf dem Online-Treffen rC3 des Chaos Computer Clubs (CCC). Es sei möglich gewesen, die ausgezählten Stimmen in der Datenbank des Systems beliebig zu manipulieren.

Inhalt:
  1. OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
  2. Datenbankzugriff aus dem Netz möglich

Die Software OK.Vote wird von der Firma Vote iT GmbH entwickelt. Nach Angaben der AKDB unterstützt sie "Wahlämter bei der Vorbereitung, Durchführung und Auswertung von Europa-, Bundestags-, Kommunal-, Landtags- und Bezirkstagswahlen sowie Bürger- und Volksentscheiden". Zwar werden in Deutschland die Wahlstimmen nicht direkt per Computer abgegeben, doch für die Auswertung der Stimmen und die Übermittlung der Wahlergebnisse werden Rechner eingesetzt. 2017 hatte der CCC eklatante Sicherheitslücken in der von der überwiegenden Mehrzahl der Kommunen genutzten Software PC-Wahl nachgewiesen.

Datenübergabe per USB-Stick

Obermaier, der beim Fraunhofer Institute for Applied and Integrated Security (Aisec) in München arbeitet, kam mit der Software zufällig als Wahlhelfer in Kontakt. Vor allem die Kommunalwahlen mit den komplizierten Stimmabgaben per Panaschieren und Kumulieren sind ohne technische Unterstützung kaum noch auswertbar. Jeder Bürger habe bis zu 70 Stimmen abgeben können.

Zwei bis drei Wahlhelfer müssen gemeinsam jeden Stimmzettel in ein entsprechendes Formular händisch in der Software eingeben. Dies geschieht an einzelnen Clients in den Wahllokalen. Per USB-Stick werden dann die Ergebnisse der einzelnen Clients auf einen Hauptrechner übertragen und in der Datenbank addiert. Zuletzt fährt ein Wahlhelfer mit einem USB-Stick zur kommunalen Wahlzentrale, um dort das Ergebnis des Wahllokals einzulesen.

Keine sichere IT-Umgebung

Stellenmarkt
  1. Business Performance Data Specialist (m/w/d)
    AGCO GmbH, Marktoberdorf
  2. Informatiker als IT Projektleiter SAP S / 4HANA Energiebranche (m/w/d)
    Thüga SmartService GmbH, München, Freiburg, Naila
Detailsuche

Laut Obermaier und Madl gibt es in diesem Prozess viele Angriffspunkte. Das fängt schon damit an, dass die einzelnen Wahllokale, zum Beispiel Grundschulen, keine sichere IT-Umgebung bereitstellen können. Selbst Rechner mit Windows XP waren vorgesehen. Da OK.Vote ein 64-Bit-System benötigt, ließ sich das Programm jedoch nicht auf dem Rechner starten.

OK.Vote selbst wurde als Web-Applikation in Java entwickelt. Dabei wird Apache Tomcat als Applikationsserver eingesetzt. Auf dem Client wird laut AKDB ein aktueller Web-Browser, der Java-Script unterstützt, und ein PDF-Programm vorausgesetzt. Als Datenbank kommen Microsoft SQL Server oder Oracle zum Einsatz. Im konkreten Paket war jedoch Firefox Portable enthalten. Zudem wurde eine MariaDB-Datenbank genutzt.

  • Selbst ein Windows-XP-Rechner sollte Johannes Obermaier (l.) und Tobias Madl bei der Stimmenauswertung helfen. (Foto: RC3/Screenshot: Golem.de)
  • Die Software OK.Vote verfügte nicht über die erforderliche Zugriffskontrolle. (Foto: RC3/Screenshot: Golem.de)
  • Die Software basiert auf einem Apache Tomcat Webserver. (Foto: RC3/Screenshot: Golem.de)
  • Über einen ungeschützten Port lässt sich auf die Datenbank zugreifen. (Foto: RC3/Screenshot: Golem.de)
  • Eine Ausführung von Code ist ebenfalls möglich. (Foto: RC3/Screenshot: Golem.de)
Selbst ein Windows-XP-Rechner sollte Johannes Obermaier (l.) und Tobias Madl bei der Stimmenauswertung helfen. (Foto: RC3/Screenshot: Golem.de)

Laut Obermaier und Madl lässt sich das Wahlergebnis jedoch nicht nur dadurch manipulieren, dass ein Angreifer beispielsweise vor der Auszählung die Rechner manipuliert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Datenbankzugriff aus dem Netz möglich 
  1. 1
  2. 2
  3.  


Megusta 29. Dez 2020

Behauptet Trump nicht das Gleiche, dass die Automaten bei der Wahl nicht zertifiziert...

Hantilles 29. Dez 2020

War denn im Vortrag explizit die Rede von der Wahl zum Münchner Stadtrat? Falls nicht...

StaTiC2206 29. Dez 2020

immer noch über 5% ist. ;-)

Schattenwerk 29. Dez 2020

Dort wird eigentlich überhaupt nix entwickelt sondern einfach nur an "Partner...

Schattenwerk 29. Dez 2020

Ich kenne diese Aussage "sichere IT-Umgebung" ganz genau: Ein System, welches 100%ig...



Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /