PC-Wahl: Deutsche Wahlsoftware ist extrem unsicher

Die Software für die Übermittlung von Wahlergebnissen ist nicht sicher. In einem Gutachten weisen Mitglieder des CCC auf zahlreiche Missstände hin. Einige wurden immerhin behoben.

Artikel veröffentlicht am ,
Die Software PC-Wahl hat zahlreiche Sicherheitslücken.
Die Software PC-Wahl hat zahlreiche Sicherheitslücken. (Bild: PC Wahl)

Einem Gutachten des CCC zufolge hat eine in Deutschland zur Übermittlung der Wahlergebnisse eingesetzte Software zahlreiche Sicherheitslücken, die eine Manipulation der Ergebnisübermittlung ermöglichen würde [Analyse als PDF]. Zeit Online hatte zunächst über das Gutachten berichtet.

Stellenmarkt
  1. Software Developer / Entwickler (m/w/d) Java - Cloud-Systeme
    INIT Group, Karlsruhe
  2. Business Analyst Online-Shop (m/w/d)
    Lidl Digital, Neckarsulm
Detailsuche

Die von der überwiegenden Mehrzahl der Kommunen genutzte Software PC-Wahl berücksichtigt auch in ihrer aktuellen Version 10 zahlreiche etablierte Sicherheitsverfahren nicht. Mehrere Dienstleister veröffentlichten etwa Passwörter für FTP-Server. Diese waren teils in veröffentlichten Handbüchern enthalten oder schlecht obfuskiert in Testarchiven.

Über das auf dem Server des Herstellers vorhandene Skript PHP-Obfuscator gelang es nach Darstellung des CCC außerdem, beliebige Dateien von dem Server zu extrahieren, auch wenn diese eigentlich nicht öffentlich einsehbar waren. Mit den Zugangsdaten zu den FTP-Servern hätten manipulierte Versionen des Programms verteilt werden können, weil bei der Installation keine wirksame Echtheitsprüfung der Software vorgesehen war. Über andere PHP-Skripte sei es möglich gewesen, beliebige Dateien "in den Webroot zu schreiben". Mittlerweile werden entsprechende Skripte nicht mehr akzeptiert.

Unverschlüsselte Übertragung der Ergebnisse

Auch die Übertragung der in den lokalen Wahlbüros eingegebenen Stimmen erfolgte leider unverschlüsselt und ohne Integritätsprüfung der Daten. Es besteht offenbar eine Möglichkeit, die Daten per AES zu verschlüsseln, die Option scheint aber nicht standardmäßig aktiviert zu sein.

Golem Karrierewelt
  1. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
  2. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    23./24.01.2023, Virtuell
Weitere IT-Trainings

Mit einem Update will der Hersteller die Daten künftig vor dem Absenden per GPG signieren. Bei der Implementierung der Funktion gab es nach Angaben des CCC allerdings erneut Probleme, weil die verwendeten Passwörter rausgelesen werden können. Auch die gespeicherten und übertragenen Passwörter seien aller Voraussicht nach nicht sicher - denn nach wie vor würden symmetrische Verschlüsselungsverfahren eingesetzt, die keine dauerhafte Sicherheit garantieren könnten.

Auch wenn in Deutschland keine Wahlcomputer verwendet werden, könnte die Anzahl abgegebener Stimmen bei der Übermittlung manipuliert werden. Dies gilt insbesondere für die in einigen Bundesländern übermittelten Live-Resultate im Internet. Immerhin gibt es Papierkopien der Stimmzettel, so dass eine manuelle Nachprüfung jederzeit möglich ist. In Venezuela konnten Wahlcomputer allerdings dabei helfen, eine Manipulation aufzudecken.

Grundsätzlich fordert der CCC, dass die Funktionsweise der Software unabhängig überprüft werden müsse. Unzeitgemäße Software müsse außerdem unter Berücksichtigung aktueller Anforderungen neu entwickelt werden und unabhängig auditiert sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


trademe 27. Okt 2017

may be nice it is Trade Me Insurance - online insurance quotes NZ trademe Great insurance...

RipClaw 10. Sep 2017

Das ist vermutlich von Bundesland zu Bundesland unterschiedlich. Ich habe bei der...

Vorlif 08. Sep 2017

Bitte einmal den verknüpften Artikel auf Zeit Online lesen. Der CCC wurde "nur...

ibsi 08. Sep 2017

Sag doch das Du spoilerst, ich hab die aktuelle Folge noch nicht gehört^^



Aktuell auf der Startseite von Golem.de
Viertes Mobilfunknetz
1&1 lässt laut Bericht Verkauf des Unternehmens durchrechnen

Fast keine eigenen Antennenstandorte, schwaches Open RAN, steigende Zinsen und Energiekosten: Ralph Dommermuth soll den Ausstieg bei 1&1 prüfen lassen. Das Unternehmen dementiert dies klar.

Viertes Mobilfunknetz: 1&1 lässt laut Bericht Verkauf des Unternehmens durchrechnen
Artikel
  1. App-Store-Rauswurfdrohung: Musk attackiert Apple
    App-Store-Rauswurfdrohung
    Musk attackiert Apple

    Apple hat angeblich seine Werbeaktivitäten auf Twitter weitgehend eingestellt und mit einem App-Store-Rauswurf gedroht.

  2. Verkehrsunternehmen: 49-Euro-Ticket kommt wohl erst im Mai
    Verkehrsunternehmen
    49-Euro-Ticket kommt wohl erst im Mai

    Das 49-Euro-Ticket sollte Anfang 2023 erscheinen, doch Verkehrsunternehmen erwarten den Start erst im Mai 2023. Kommunen drohen gar mit Blockade.

  3. Prozessor-Bug: Wie Intel einen Bug im ersten x86-Prozessor fixte
    Prozessor-Bug
    Wie Intel einen Bug im ersten x86-Prozessor fixte

    Der Prozessor tut nicht ganz, was er soll? Heute löst das oft eine neue Firmware, vor 40 Jahren musste neues Silizium her.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ • Palit RTX 4080 1.499€ • Astro A50 Gaming-Headset PS4/PS5/PC günstiger • Gigabyte RX 6900 XT 799€ • Thrustmaster Flight Sticks günstiger [Werbung]
    •  /