Abo
  • Services:

PC-Wahl: Deutsche Wahlsoftware ist extrem unsicher

Die Software für die Übermittlung von Wahlergebnissen ist nicht sicher. In einem Gutachten weisen Mitglieder des CCC auf zahlreiche Missstände hin. Einige wurden immerhin behoben.

Artikel veröffentlicht am ,
Die Software PC-Wahl hat zahlreiche Sicherheitslücken.
Die Software PC-Wahl hat zahlreiche Sicherheitslücken. (Bild: PC Wahl)

Einem Gutachten des CCC zufolge hat eine in Deutschland zur Übermittlung der Wahlergebnisse eingesetzte Software zahlreiche Sicherheitslücken, die eine Manipulation der Ergebnisübermittlung ermöglichen würde [Analyse als PDF]. Zeit Online hatte zunächst über das Gutachten berichtet.

Stellenmarkt
  1. Dürr IT Service GmbH, Bietigheim-Bissingen
  2. PARI GmbH, Starnberg, Weilheim

Die von der überwiegenden Mehrzahl der Kommunen genutzte Software PC-Wahl berücksichtigt auch in ihrer aktuellen Version 10 zahlreiche etablierte Sicherheitsverfahren nicht. Mehrere Dienstleister veröffentlichten etwa Passwörter für FTP-Server. Diese waren teils in veröffentlichten Handbüchern enthalten oder schlecht obfuskiert in Testarchiven.

Über das auf dem Server des Herstellers vorhandene Skript PHP-Obfuscator gelang es nach Darstellung des CCC außerdem, beliebige Dateien von dem Server zu extrahieren, auch wenn diese eigentlich nicht öffentlich einsehbar waren. Mit den Zugangsdaten zu den FTP-Servern hätten manipulierte Versionen des Programms verteilt werden können, weil bei der Installation keine wirksame Echtheitsprüfung der Software vorgesehen war. Über andere PHP-Skripte sei es möglich gewesen, beliebige Dateien "in den Webroot zu schreiben". Mittlerweile werden entsprechende Skripte nicht mehr akzeptiert.

Unverschlüsselte Übertragung der Ergebnisse

Auch die Übertragung der in den lokalen Wahlbüros eingegebenen Stimmen erfolgte leider unverschlüsselt und ohne Integritätsprüfung der Daten. Es besteht offenbar eine Möglichkeit, die Daten per AES zu verschlüsseln, die Option scheint aber nicht standardmäßig aktiviert zu sein.

Mit einem Update will der Hersteller die Daten künftig vor dem Absenden per GPG signieren. Bei der Implementierung der Funktion gab es nach Angaben des CCC allerdings erneut Probleme, weil die verwendeten Passwörter rausgelesen werden können. Auch die gespeicherten und übertragenen Passwörter seien aller Voraussicht nach nicht sicher - denn nach wie vor würden symmetrische Verschlüsselungsverfahren eingesetzt, die keine dauerhafte Sicherheit garantieren könnten.

Auch wenn in Deutschland keine Wahlcomputer verwendet werden, könnte die Anzahl abgegebener Stimmen bei der Übermittlung manipuliert werden. Dies gilt insbesondere für die in einigen Bundesländern übermittelten Live-Resultate im Internet. Immerhin gibt es Papierkopien der Stimmzettel, so dass eine manuelle Nachprüfung jederzeit möglich ist. In Venezuela konnten Wahlcomputer allerdings dabei helfen, eine Manipulation aufzudecken.

Grundsätzlich fordert der CCC, dass die Funktionsweise der Software unabhängig überprüft werden müsse. Unzeitgemäße Software müsse außerdem unter Berücksichtigung aktueller Anforderungen neu entwickelt werden und unabhängig auditiert sein.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

trademe 27. Okt 2017

may be nice it is Trade Me Insurance - online insurance quotes NZ trademe Great insurance...

RipClaw 10. Sep 2017

Das ist vermutlich von Bundesland zu Bundesland unterschiedlich. Ich habe bei der...

Vorlif 08. Sep 2017

Bitte einmal den verknüpften Artikel auf Zeit Online lesen. Der CCC wurde "nur...

ibsi 08. Sep 2017

Sag doch das Du spoilerst, ich hab die aktuelle Folge noch nicht gehört^^

HilariousSushi 08. Sep 2017

Warum nicht einfach jede Stimmenabgabe in einen WORM schreiben? Beispielsweise redundant...


Folgen Sie uns
       


Cocktailmixer Hector 9000 ausprobiert

Wie funktioniert ein Cocktail-Mixer aus dem 3D-Drucker? Wir haben uns den Hector 9000 des Chaostreffs Recklinghausen mal vorführen lassen und ein bisschen nachgebaut.

Cocktailmixer Hector 9000 ausprobiert Video aufrufen
Oldtimer umrüsten: Happy End mit Elektromotor
Oldtimer umrüsten
Happy End mit Elektromotor

Verbotszonen könnten die freie Fahrt von Oldtimern einschränken. Aber auch Umweltschutzgründe und Exzentrik führen dazu, dass immer mehr Sammler ihre liebsten Fahrzeuge umrüsten.
Ein Bericht von Dirk Kunde

  1. Piëch Mark Zero Porsche-Nachfahre baut eigenen E-Sportwagen
  2. Elektroautos Sportversion des E.Go Life und Shuttle E.Go Lux
  3. Rivian Amazon investiert in Elektropickups

Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf

Digitaler Hausfriedensbruch: Bund warnt vor Verschärfung der Hackerparagrafen
Digitaler Hausfriedensbruch
Bund warnt vor Verschärfung der Hackerparagrafen

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

  1. Runc Sicherheitslücke ermöglicht Übernahme von Container-Host
  2. Security Metasploit 5.0 verbessert Datenbank und Automatisierungs-API
  3. Datenbank Fehler in SQLite ermöglichte Codeausführung

    •  /