OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
Sicherheitsexperten haben in einer Wahlsoftware aus Bayern zahlreiche Sicherheitslücken gefunden. Die bei den bayerischen Kommunalwahlen 2020 eingesetzte Software OK.Vote(öffnet im neuen Fenster), die von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertrieben wird, sei auf verschiedenen Wegen angreifbar gewesen, berichteten Johannes Obermaier und Tobias Madl in einem Vortrag auf dem Online-Treffen rC3(öffnet im neuen Fenster) des Chaos Computer Clubs (CCC). Es sei möglich gewesen, die ausgezählten Stimmen in der Datenbank des Systems beliebig zu manipulieren.
Die Software OK.Vote wird von der Firma Vote iT GmbH entwickelt(öffnet im neuen Fenster). Nach Angaben der AKDB unterstützt sie "Wahlämter bei der Vorbereitung, Durchführung und Auswertung von Europa-, Bundestags-, Kommunal-, Landtags- und Bezirkstagswahlen sowie Bürger- und Volksentscheiden". Zwar werden in Deutschland die Wahlstimmen nicht direkt per Computer abgegeben, doch für die Auswertung der Stimmen und die Übermittlung der Wahlergebnisse werden Rechner eingesetzt. 2017 hatte der CCC eklatante Sicherheitslücken in der von der überwiegenden Mehrzahl der Kommunen genutzten Software PC-Wahl nachgewiesen.
Datenübergabe per USB-Stick
Obermaier, der beim Fraunhofer Institute for Applied and Integrated Security (Aisec) in München arbeitet, kam mit der Software zufällig als Wahlhelfer in Kontakt. Vor allem die Kommunalwahlen mit den komplizierten Stimmabgaben per Panaschieren und Kumulieren sind ohne technische Unterstützung kaum noch auswertbar. Jeder Bürger habe bis zu 70 Stimmen abgeben können.
Zwei bis drei Wahlhelfer müssen gemeinsam jeden Stimmzettel in ein entsprechendes Formular händisch in der Software eingeben. Dies geschieht an einzelnen Clients in den Wahllokalen. Per USB-Stick werden dann die Ergebnisse der einzelnen Clients auf einen Hauptrechner übertragen und in der Datenbank addiert. Zuletzt fährt ein Wahlhelfer mit einem USB-Stick zur kommunalen Wahlzentrale, um dort das Ergebnis des Wahllokals einzulesen.
Keine sichere IT-Umgebung
Laut Obermaier und Madl gibt es in diesem Prozess viele Angriffspunkte. Das fängt schon damit an, dass die einzelnen Wahllokale, zum Beispiel Grundschulen, keine sichere IT-Umgebung bereitstellen können. Selbst Rechner mit Windows XP waren vorgesehen. Da OK.Vote ein 64-Bit-System benötigt, ließ sich das Programm jedoch nicht auf dem Rechner starten.
OK.Vote selbst wurde als Web-Applikation in Java entwickelt. Dabei wird Apache Tomcat als Applikationsserver eingesetzt. Auf dem Client wird laut AKDB ein aktueller Web-Browser, der Java-Script unterstützt, und ein PDF-Programm vorausgesetzt. Als Datenbank kommen Microsoft SQL Server oder Oracle zum Einsatz. Im konkreten Paket war jedoch Firefox Portable enthalten. Zudem wurde eine MariaDB-Datenbank genutzt.
Laut Obermaier und Madl lässt sich das Wahlergebnis jedoch nicht nur dadurch manipulieren, dass ein Angreifer beispielsweise vor der Auszählung die Rechner manipuliert.
Datenbankzugriff aus dem Netz möglich
So sei es möglich gewesen, in OK.Vote Admin-Funktionen ohne die erforderliche Berechtigung aufzurufen. Die Entwickler hätten einfach darauf verzichtet, eine Zugriffskontrolle zu implementieren. Dadurch habe man eine bereits abgeschlossene Auszählung neu aufrufen oder das komplette Wahlergebnis löschen können.
Ebenfalls hätten die Entwickler darauf verzichtet, die Software gegen Cross-Site-Request-Forgery(öffnet im neuen Fenster) zu schützen. Über den Aufruf einer manipulierten Webseite sei es möglich gewesen, gefälschte Stimmzettel in die Datenbank einzuschleusen.
Über einen ungeschützten Port 3306 sei darüber hinaus Zugriff auf die MariaDB-Datenbank möglich gewesen. Außerdem fanden die Sicherheitsexperten einen speziellen Host, über den nicht passwortgeschützt auf die Datenbank und die Ausführung von Code zugegriffen werden konnte.
Es gebe keine Vorgaben, ob die Rechner bei der Auswertung der Stimmen mit einem lokalen Netzwerk oder gar dem Internet verbunden sein dürften. Das werde auch von der Software nicht überprüft.
Gesetzliche Vorgaben gefordert
Laut Obermaier und Madl reagierte AKDB "schnell und professionell" auf die Hinweise. Updates seien angekündigt worden. Die Vorgabe des Anbieters, eine sichere IT-Umgebung für den Einsatz von OK.Vote bereitzustellen, könnten die Kommunen nach Ansicht der Sicherheitsexperten jedoch kaum leisten. Daher sei es umso wichtiger, konkrete gesetzliche Vorgaben für die Sicherheit von Wahlsoftware zu machen. Zudem müsse die Software für unvoreingenommene Tests zur Verfügung gestellt werden. Ihrer Ansicht nach stellten die entdeckten Probleme nur "die Spitze des Eisbergs" dar.
AKBD behauptet auf seiner Webseite: "Bei der Entwicklung von OK.Vote wurde höchster Wert auf das Thema Sicherheit gelegt. Diese orientiert sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Non-Profit-Organisation Open Web Application Security Project (OWASP)." Den beiden Experten zufolge sind solche Angaben wenig aussagekräftig.
Betroffen von den Problemen ist nicht nur Bayern. Denn OK.Vote werde auch in zahlreichen anderen Bundesländern eingesetzt. Im Quellcode hätten sich Hinweise auf die Länder Hamburg, Bremen, Hessen und Rheinland-Pfalz gefunden. Zur Europawahl 2019 nutzten laut AKDB deutschlandweit mehr als 1.600 Behörden die Software. Die Frage, ob die Sicherheitslücken bei zurückliegenden Wahlen bereits ausgenutzt worden seien, konnten Obermaier und Madl nicht beantworten. Dazu fehle ihnen der erforderliche Überblick. Eine Auswertung der Stimmen per Hand sei nur in Stichproben möglich.
Bitkom fordert digitale Wahlen
Trotz der immer wieder vorkommenden Probleme mit Wahlcomputern und Wahlsoftware forderte der IT-Branchenverband Bitkom zuletzt im September 2020 digitale Abstimmungsmöglichkeiten bei Wahlen in Bund, Ländern und Kommunen. Hintergrund waren Probleme mit Briefwahlunterlagen bei den Kommunalwahlen in Nordrhein-Westfalen. Für Obermaier ist es mit digitalen Systemen jedoch prinzipiell nicht möglich, dieselbe Transparenz wie bei papierbasierten Abstimmungen zu erreichen.
Nicht besonders für die Qualität der Software sprechen auch die Umstände, wie Obermaier an die Testmöglichkeit gelangte. So habe sich beim Import der Wahlergebnisse herausgestellt, dass die Exportdatei nur eine Größe von 10 MByte haben durfte. Um die Dateigröße zu reduzieren, habe er in der JSON-Datei auf seinem eigenen Rechner die enthaltenen Leerzeichen entfernt. Dabei habe er vergessen, die Software wieder zu entfernen und zu Hause die Möglichkeit genutzt, sie etwas genauer anzuschauen.
Nachtrag vom 28. Dezember 2020, 14:11 Uhr
Wir haben einige Details in der Passage zum Datenbankzugriff korrigiert.
Nachtrag vom 28. Dezember 2020, 21:25 Uhr
Nach Angaben der AKDB wird OK.Vote von der Vote iT Gmbh entwickelt und von der AKDB nur vertrieben. Wir haben dies in den ersten beiden Absätzen ergänzt.
- Anzeige Hier geht es zum Handbuch für Softwareentwickler bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.