• IT-Karriere:
  • Services:

OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware

rC3

Bei der Auswertung von Wahlergebnissen werden in Deutschland Computer eingesetzt. Doch eine bayerische Wahlsoftware hat viele Sicherheitslücken.

Artikel veröffentlicht am ,
Die beiden Sicherheitsexperten Johannes Obermaier (l.) und Tobias Madl haben eine Wahlsoftware untersucht.
Die beiden Sicherheitsexperten Johannes Obermaier (l.) und Tobias Madl haben eine Wahlsoftware untersucht. (Bild: rc3.ccc.de/Screenshot: Golem.de)

Sicherheitsexperten haben in einer Wahlsoftware aus Bayern zahlreiche Sicherheitslücken gefunden. Die bei den bayerischen Kommunalwahlen 2020 eingesetzte Software OK.Vote, die von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertrieben wird, sei auf verschiedenen Wegen angreifbar gewesen, berichteten Johannes Obermaier und Tobias Madl in einem Vortrag auf dem Online-Treffen rC3 des Chaos Computer Clubs (CCC). Es sei möglich gewesen, die ausgezählten Stimmen in der Datenbank des Systems beliebig zu manipulieren.

Inhalt:
  1. OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
  2. Datenbankzugriff aus dem Netz möglich

Die Software OK.Vote wird von der Firma Vote iT GmbH entwickelt. Nach Angaben der AKDB unterstützt sie "Wahlämter bei der Vorbereitung, Durchführung und Auswertung von Europa-, Bundestags-, Kommunal-, Landtags- und Bezirkstagswahlen sowie Bürger- und Volksentscheiden". Zwar werden in Deutschland die Wahlstimmen nicht direkt per Computer abgegeben, doch für die Auswertung der Stimmen und die Übermittlung der Wahlergebnisse werden Rechner eingesetzt. 2017 hatte der CCC eklatante Sicherheitslücken in der von der überwiegenden Mehrzahl der Kommunen genutzten Software PC-Wahl nachgewiesen.

Datenübergabe per USB-Stick

Obermaier, der beim Fraunhofer Institute for Applied and Integrated Security (Aisec) in München arbeitet, kam mit der Software zufällig als Wahlhelfer in Kontakt. Vor allem die Kommunalwahlen mit den komplizierten Stimmabgaben per Panaschieren und Kumulieren sind ohne technische Unterstützung kaum noch auswertbar. Jeder Bürger habe bis zu 70 Stimmen abgeben können.

Zwei bis drei Wahlhelfer müssen gemeinsam jeden Stimmzettel in ein entsprechendes Formular händisch in der Software eingeben. Dies geschieht an einzelnen Clients in den Wahllokalen. Per USB-Stick werden dann die Ergebnisse der einzelnen Clients auf einen Hauptrechner übertragen und in der Datenbank addiert. Zuletzt fährt ein Wahlhelfer mit einem USB-Stick zur kommunalen Wahlzentrale, um dort das Ergebnis des Wahllokals einzulesen.

Keine sichere IT-Umgebung

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf, Eschborn, Unterföhring
  2. ISTEC Industrielle Software-Technik GmbH, Leinfelden-Echterdingen

Laut Obermaier und Madl gibt es in diesem Prozess viele Angriffspunkte. Das fängt schon damit an, dass die einzelnen Wahllokale, zum Beispiel Grundschulen, keine sichere IT-Umgebung bereitstellen können. Selbst Rechner mit Windows XP waren vorgesehen. Da OK.Vote ein 64-Bit-System benötigt, ließ sich das Programm jedoch nicht auf dem Rechner starten.

OK.Vote selbst wurde als Web-Applikation in Java entwickelt. Dabei wird Apache Tomcat als Applikationsserver eingesetzt. Auf dem Client wird laut AKDB ein aktueller Web-Browser, der Java-Script unterstützt, und ein PDF-Programm vorausgesetzt. Als Datenbank kommen Microsoft SQL Server oder Oracle zum Einsatz. Im konkreten Paket war jedoch Firefox Portable enthalten. Zudem wurde eine MariaDB-Datenbank genutzt.

  • Selbst ein Windows-XP-Rechner sollte Johannes Obermaier (l.) und Tobias Madl bei der Stimmenauswertung helfen. (Foto: RC3/Screenshot: Golem.de)
  • Die Software OK.Vote verfügte nicht über die erforderliche Zugriffskontrolle. (Foto: RC3/Screenshot: Golem.de)
  • Die Software basiert auf einem Apache Tomcat Webserver. (Foto: RC3/Screenshot: Golem.de)
  • Über einen ungeschützten Port lässt sich auf die Datenbank zugreifen. (Foto: RC3/Screenshot: Golem.de)
  • Eine Ausführung von Code ist ebenfalls möglich. (Foto: RC3/Screenshot: Golem.de)
Selbst ein Windows-XP-Rechner sollte Johannes Obermaier (l.) und Tobias Madl bei der Stimmenauswertung helfen. (Foto: RC3/Screenshot: Golem.de)

Laut Obermaier und Madl lässt sich das Wahlergebnis jedoch nicht nur dadurch manipulieren, dass ein Angreifer beispielsweise vor der Auszählung die Rechner manipuliert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Datenbankzugriff aus dem Netz möglich 
  1. 1
  2. 2
  3.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. GTA 6
    Rockstar Games reicht Patent für servergesteuerte NPCs ein
  2. ONT
    Deutsche Glasfaser verlangt 60 Euro für die Routerfreiheit
  3. Minimal 3 Monate mieten
    Volkswagen bietet ID.3 im Abo an
  4. Cyberpunk 2077
    So wunderbar kaputt!
  5. Cyberbunker-Prozess
    Mitarbeiter speicherten Server-Passwörter in Excel-Tabelle
Anzeige
Mobile-Angebote
  1. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  2. 249,09€ mit Rabattcode "POWEREBAY6" (Bestpreis)
  3. 279,99€ (Bestpreis)
Kommentarübersicht
USA Wahlautomaten
Megusta 29. Dez 2020 / Themenstart

Behauptet Trump nicht das Gleiche, dass die Automaten bei der Wahl nicht zertifiziert...

Re: 80 Stimmen
Hantilles 29. Dez 2020 / Themenstart

War denn im Vortrag explizit die Rede von der Wahl zum Münchner Stadtrat? Falls nicht...

Endlich ist es geklärt wieso die grünen über 20...
StaTiC2206 29. Dez 2020 / Themenstart

immer noch über 5% ist. ;-)

Anmerkung: Vote IT ist nur eine "Scheinfirma"
Schattenwerk 29. Dez 2020 / Themenstart

Dort wird eigentlich überhaupt nix entwickelt sondern einfach nur an "Partner...

"sichere IT-Umgebung" aka "Wir machen es uns einfach"
Schattenwerk 29. Dez 2020 / Themenstart

Ich kenne diese Aussage "sichere IT-Umgebung" ganz genau: Ein System, welches 100%ig...

Kommentieren

Folgen Sie uns
       
Android Smartphone als Webcam nutzen - Tutorial

Wir erklären in einem kurzen Video, wie sich das Smartphone für Videokonferenzen unter Windows nutzen lässt.

Android Smartphone als Webcam nutzen - Tutorial Video aufrufen
Boeing
Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing
Energiewende
Westküste 100: Wie die Energiewende an der Küste aussehen soll
Westküste 100
Wie die Energiewende an der Küste aussehen soll

An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
Ein Bericht von Werner Pluta

  1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
  2. Energiewende Statkraft baut Schwungradspeicher in Schottland
Razer
Razer Book 13 im Test: Razer wird erwachsen
Razer Book 13 im Test
Razer wird erwachsen

Nicht Lenovo, Dell oder HP: Anfang 2021 baut Razer das zunächst beste Notebook fürs Büro. Wer hätte das gedacht? Wir nicht.
Ein Test von Oliver Nickel

  1. Gaming-Notebook Razer Blade 15 mit Geforce RTX 3080 und gestecktem RAM
  2. Project Brooklyn Razer zeigt skurrilen Gaming-Stuhl mit ausrollbarem OLED
  3. Tomahawk Gaming Desktop Razers winziger Gaming-PC erhält Geforce RTX 3080
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /