OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
Bei der Auswertung von Wahlergebnissen werden in Deutschland Computer eingesetzt. Doch eine bayerische Wahlsoftware hat viele Sicherheitslücken.

Sicherheitsexperten haben in einer Wahlsoftware aus Bayern zahlreiche Sicherheitslücken gefunden. Die bei den bayerischen Kommunalwahlen 2020 eingesetzte Software OK.Vote, die von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertrieben wird, sei auf verschiedenen Wegen angreifbar gewesen, berichteten Johannes Obermaier und Tobias Madl in einem Vortrag auf dem Online-Treffen rC3 des Chaos Computer Clubs (CCC). Es sei möglich gewesen, die ausgezählten Stimmen in der Datenbank des Systems beliebig zu manipulieren.
- OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
- Datenbankzugriff aus dem Netz möglich
Die Software OK.Vote wird von der Firma Vote iT GmbH entwickelt. Nach Angaben der AKDB unterstützt sie "Wahlämter bei der Vorbereitung, Durchführung und Auswertung von Europa-, Bundestags-, Kommunal-, Landtags- und Bezirkstagswahlen sowie Bürger- und Volksentscheiden". Zwar werden in Deutschland die Wahlstimmen nicht direkt per Computer abgegeben, doch für die Auswertung der Stimmen und die Übermittlung der Wahlergebnisse werden Rechner eingesetzt. 2017 hatte der CCC eklatante Sicherheitslücken in der von der überwiegenden Mehrzahl der Kommunen genutzten Software PC-Wahl nachgewiesen.
Datenübergabe per USB-Stick
Obermaier, der beim Fraunhofer Institute for Applied and Integrated Security (Aisec) in München arbeitet, kam mit der Software zufällig als Wahlhelfer in Kontakt. Vor allem die Kommunalwahlen mit den komplizierten Stimmabgaben per Panaschieren und Kumulieren sind ohne technische Unterstützung kaum noch auswertbar. Jeder Bürger habe bis zu 70 Stimmen abgeben können.
Zwei bis drei Wahlhelfer müssen gemeinsam jeden Stimmzettel in ein entsprechendes Formular händisch in der Software eingeben. Dies geschieht an einzelnen Clients in den Wahllokalen. Per USB-Stick werden dann die Ergebnisse der einzelnen Clients auf einen Hauptrechner übertragen und in der Datenbank addiert. Zuletzt fährt ein Wahlhelfer mit einem USB-Stick zur kommunalen Wahlzentrale, um dort das Ergebnis des Wahllokals einzulesen.
Keine sichere IT-Umgebung
Laut Obermaier und Madl gibt es in diesem Prozess viele Angriffspunkte. Das fängt schon damit an, dass die einzelnen Wahllokale, zum Beispiel Grundschulen, keine sichere IT-Umgebung bereitstellen können. Selbst Rechner mit Windows XP waren vorgesehen. Da OK.Vote ein 64-Bit-System benötigt, ließ sich das Programm jedoch nicht auf dem Rechner starten.
OK.Vote selbst wurde als Web-Applikation in Java entwickelt. Dabei wird Apache Tomcat als Applikationsserver eingesetzt. Auf dem Client wird laut AKDB ein aktueller Web-Browser, der Java-Script unterstützt, und ein PDF-Programm vorausgesetzt. Als Datenbank kommen Microsoft SQL Server oder Oracle zum Einsatz. Im konkreten Paket war jedoch Firefox Portable enthalten. Zudem wurde eine MariaDB-Datenbank genutzt.
Laut Obermaier und Madl lässt sich das Wahlergebnis jedoch nicht nur dadurch manipulieren, dass ein Angreifer beispielsweise vor der Auszählung die Rechner manipuliert.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Datenbankzugriff aus dem Netz möglich |
- 1
- 2
Behauptet Trump nicht das Gleiche, dass die Automaten bei der Wahl nicht zertifiziert...
War denn im Vortrag explizit die Rede von der Wahl zum Münchner Stadtrat? Falls nicht...
immer noch über 5% ist. ;-)
Dort wird eigentlich überhaupt nix entwickelt sondern einfach nur an "Partner...
Ich kenne diese Aussage "sichere IT-Umgebung" ganz genau: Ein System, welches 100%ig...
Kommentieren