• IT-Karriere:
  • Services:

OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware

rC3

Bei der Auswertung von Wahlergebnissen werden in Deutschland Computer eingesetzt. Doch eine bayerische Wahlsoftware hat viele Sicherheitslücken.

Artikel veröffentlicht am ,
Die beiden Sicherheitsexperten Johannes Obermaier (l.) und Tobias Madl haben eine Wahlsoftware untersucht.
Die beiden Sicherheitsexperten Johannes Obermaier (l.) und Tobias Madl haben eine Wahlsoftware untersucht. (Bild: rc3.ccc.de/Screenshot: Golem.de)

Sicherheitsexperten haben in einer Wahlsoftware aus Bayern zahlreiche Sicherheitslücken gefunden. Die bei den bayerischen Kommunalwahlen 2020 eingesetzte Software OK.Vote, die von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertrieben wird, sei auf verschiedenen Wegen angreifbar gewesen, berichteten Johannes Obermaier und Tobias Madl in einem Vortrag auf dem Online-Treffen rC3 des Chaos Computer Clubs (CCC). Es sei möglich gewesen, die ausgezählten Stimmen in der Datenbank des Systems beliebig zu manipulieren.

Inhalt:
  1. OK.Vote: Schwere Sicherheitslücken in bayerischer Wahlsoftware
  2. Datenbankzugriff aus dem Netz möglich

Die Software OK.Vote wird von der Firma Vote iT GmbH entwickelt. Nach Angaben der AKDB unterstützt sie "Wahlämter bei der Vorbereitung, Durchführung und Auswertung von Europa-, Bundestags-, Kommunal-, Landtags- und Bezirkstagswahlen sowie Bürger- und Volksentscheiden". Zwar werden in Deutschland die Wahlstimmen nicht direkt per Computer abgegeben, doch für die Auswertung der Stimmen und die Übermittlung der Wahlergebnisse werden Rechner eingesetzt. 2017 hatte der CCC eklatante Sicherheitslücken in der von der überwiegenden Mehrzahl der Kommunen genutzten Software PC-Wahl nachgewiesen.

Datenübergabe per USB-Stick

Obermaier, der beim Fraunhofer Institute for Applied and Integrated Security (Aisec) in München arbeitet, kam mit der Software zufällig als Wahlhelfer in Kontakt. Vor allem die Kommunalwahlen mit den komplizierten Stimmabgaben per Panaschieren und Kumulieren sind ohne technische Unterstützung kaum noch auswertbar. Jeder Bürger habe bis zu 70 Stimmen abgeben können.

Zwei bis drei Wahlhelfer müssen gemeinsam jeden Stimmzettel in ein entsprechendes Formular händisch in der Software eingeben. Dies geschieht an einzelnen Clients in den Wahllokalen. Per USB-Stick werden dann die Ergebnisse der einzelnen Clients auf einen Hauptrechner übertragen und in der Datenbank addiert. Zuletzt fährt ein Wahlhelfer mit einem USB-Stick zur kommunalen Wahlzentrale, um dort das Ergebnis des Wahllokals einzulesen.

Keine sichere IT-Umgebung

Stellenmarkt
  1. DRÄXLMAIER Group, München
  2. Investitionsbank Schleswig-Holstein, Kiel

Laut Obermaier und Madl gibt es in diesem Prozess viele Angriffspunkte. Das fängt schon damit an, dass die einzelnen Wahllokale, zum Beispiel Grundschulen, keine sichere IT-Umgebung bereitstellen können. Selbst Rechner mit Windows XP waren vorgesehen. Da OK.Vote ein 64-Bit-System benötigt, ließ sich das Programm jedoch nicht auf dem Rechner starten.

OK.Vote selbst wurde als Web-Applikation in Java entwickelt. Dabei wird Apache Tomcat als Applikationsserver eingesetzt. Auf dem Client wird laut AKDB ein aktueller Web-Browser, der Java-Script unterstützt, und ein PDF-Programm vorausgesetzt. Als Datenbank kommen Microsoft SQL Server oder Oracle zum Einsatz. Im konkreten Paket war jedoch Firefox Portable enthalten. Zudem wurde eine MariaDB-Datenbank genutzt.

  • Selbst ein Windows-XP-Rechner sollte Johannes Obermaier (l.) und Tobias Madl bei der Stimmenauswertung helfen. (Foto: RC3/Screenshot: Golem.de)
  • Die Software OK.Vote verfügte nicht über die erforderliche Zugriffskontrolle. (Foto: RC3/Screenshot: Golem.de)
  • Die Software basiert auf einem Apache Tomcat Webserver. (Foto: RC3/Screenshot: Golem.de)
  • Über einen ungeschützten Port lässt sich auf die Datenbank zugreifen. (Foto: RC3/Screenshot: Golem.de)
  • Eine Ausführung von Code ist ebenfalls möglich. (Foto: RC3/Screenshot: Golem.de)
Selbst ein Windows-XP-Rechner sollte Johannes Obermaier (l.) und Tobias Madl bei der Stimmenauswertung helfen. (Foto: RC3/Screenshot: Golem.de)

Laut Obermaier und Madl lässt sich das Wahlergebnis jedoch nicht nur dadurch manipulieren, dass ein Angreifer beispielsweise vor der Auszählung die Rechner manipuliert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Datenbankzugriff aus dem Netz möglich 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X 469€)

Megusta 29. Dez 2020 / Themenstart

Behauptet Trump nicht das Gleiche, dass die Automaten bei der Wahl nicht zertifiziert...

Hantilles 29. Dez 2020 / Themenstart

War denn im Vortrag explizit die Rede von der Wahl zum Münchner Stadtrat? Falls nicht...

StaTiC2206 29. Dez 2020 / Themenstart

immer noch über 5% ist. ;-)

Schattenwerk 29. Dez 2020 / Themenstart

Dort wird eigentlich überhaupt nix entwickelt sondern einfach nur an "Partner...

Schattenwerk 29. Dez 2020 / Themenstart

Ich kenne diese Aussage "sichere IT-Umgebung" ganz genau: Ein System, welches 100%ig...

Kommentieren


Folgen Sie uns
       


Surface Duo - Fazit

Das Surface Duo ist Microsofts erstes Smartphone seit Jahren - und ein ungewöhnliches dazu. Allerdings ist das Gerät in Deutschland viel zu teuer.

Surface Duo - Fazit Video aufrufen
IT-Unternehmen: Die richtige Software für ein Projekt finden
IT-Unternehmen
Die richtige Software für ein Projekt finden

Am Beginn vieler Projekte steht die Auswahl der passenden Softwarelösung. Das kann man intuitiv machen oder mit endlosen Pro-und-Contra-Listen, optimal ist beides nicht. Ein Praxisbeispiel mit einem Ticketsystem.
Von Markus Kammermeier

  1. Anzeige Was ITler tun können, wenn sich jobmäßig nichts (mehr) tut
  2. IT-Jobs Lohnt sich ein Master in Informatik überhaupt?
  3. Quereinsteiger Mit dem Master in die IT

Verschlüsselung: Auch das BKA nutzt Staatstrojaner nur ganz selten
Verschlüsselung
Auch das BKA nutzt Staatstrojaner nur ganz selten

Die neue Zitis-Behörde soll bei Staatstrojanern eine wichtige Rolle spielen. Quantennetzwerke zum eigenen Schutz lehnt die Regierung ab.
Ein Bericht von Friedhelm Greis

  1. Staatstrojaner-Statistik Aus 368 werden 3
  2. Untersuchungsbericht Mehrere Fehler führten zu falscher Staatstrojaner-Statistik
  3. Staatstrojaner Ermittler hacken jährlich Hunderte Endgeräte

Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel


      •  /