• IT-Karriere:
  • Services:

PC-Wahl: Deutsche Wahlsoftware ist extrem unsicher

Die Software für die Übermittlung von Wahlergebnissen ist nicht sicher. In einem Gutachten weisen Mitglieder des CCC auf zahlreiche Missstände hin. Einige wurden immerhin behoben.

Artikel veröffentlicht am ,
Die Software PC-Wahl hat zahlreiche Sicherheitslücken.
Die Software PC-Wahl hat zahlreiche Sicherheitslücken. (Bild: PC Wahl)

Einem Gutachten des CCC zufolge hat eine in Deutschland zur Übermittlung der Wahlergebnisse eingesetzte Software zahlreiche Sicherheitslücken, die eine Manipulation der Ergebnisübermittlung ermöglichen würde [Analyse als PDF]. Zeit Online hatte zunächst über das Gutachten berichtet.

Stellenmarkt
  1. ING Deutschland, Frankfurt am Main
  2. IT-Servicezentrum der bayerischen Justiz, verschiedene Standorte

Die von der überwiegenden Mehrzahl der Kommunen genutzte Software PC-Wahl berücksichtigt auch in ihrer aktuellen Version 10 zahlreiche etablierte Sicherheitsverfahren nicht. Mehrere Dienstleister veröffentlichten etwa Passwörter für FTP-Server. Diese waren teils in veröffentlichten Handbüchern enthalten oder schlecht obfuskiert in Testarchiven.

Über das auf dem Server des Herstellers vorhandene Skript PHP-Obfuscator gelang es nach Darstellung des CCC außerdem, beliebige Dateien von dem Server zu extrahieren, auch wenn diese eigentlich nicht öffentlich einsehbar waren. Mit den Zugangsdaten zu den FTP-Servern hätten manipulierte Versionen des Programms verteilt werden können, weil bei der Installation keine wirksame Echtheitsprüfung der Software vorgesehen war. Über andere PHP-Skripte sei es möglich gewesen, beliebige Dateien "in den Webroot zu schreiben". Mittlerweile werden entsprechende Skripte nicht mehr akzeptiert.

Unverschlüsselte Übertragung der Ergebnisse

Auch die Übertragung der in den lokalen Wahlbüros eingegebenen Stimmen erfolgte leider unverschlüsselt und ohne Integritätsprüfung der Daten. Es besteht offenbar eine Möglichkeit, die Daten per AES zu verschlüsseln, die Option scheint aber nicht standardmäßig aktiviert zu sein.

Mit einem Update will der Hersteller die Daten künftig vor dem Absenden per GPG signieren. Bei der Implementierung der Funktion gab es nach Angaben des CCC allerdings erneut Probleme, weil die verwendeten Passwörter rausgelesen werden können. Auch die gespeicherten und übertragenen Passwörter seien aller Voraussicht nach nicht sicher - denn nach wie vor würden symmetrische Verschlüsselungsverfahren eingesetzt, die keine dauerhafte Sicherheit garantieren könnten.

Auch wenn in Deutschland keine Wahlcomputer verwendet werden, könnte die Anzahl abgegebener Stimmen bei der Übermittlung manipuliert werden. Dies gilt insbesondere für die in einigen Bundesländern übermittelten Live-Resultate im Internet. Immerhin gibt es Papierkopien der Stimmzettel, so dass eine manuelle Nachprüfung jederzeit möglich ist. In Venezuela konnten Wahlcomputer allerdings dabei helfen, eine Manipulation aufzudecken.

Grundsätzlich fordert der CCC, dass die Funktionsweise der Software unabhängig überprüft werden müsse. Unzeitgemäße Software müsse außerdem unter Berücksichtigung aktueller Anforderungen neu entwickelt werden und unabhängig auditiert sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)

trademe 27. Okt 2017

may be nice it is Trade Me Insurance - online insurance quotes NZ trademe Great insurance...

RipClaw 10. Sep 2017

Das ist vermutlich von Bundesland zu Bundesland unterschiedlich. Ich habe bei der...

Vorlif 08. Sep 2017

Bitte einmal den verknüpften Artikel auf Zeit Online lesen. Der CCC wurde "nur...

ibsi 08. Sep 2017

Sag doch das Du spoilerst, ich hab die aktuelle Folge noch nicht gehört^^

HilariousSushi 08. Sep 2017

Warum nicht einfach jede Stimmenabgabe in einen WORM schreiben? Beispielsweise redundant...


Folgen Sie uns
       


Mafia (2002) - Golem retro_

Wer in der Mafia hoch hinaus will, muss loyal sein - ansonsten verstößt ihn die Familie. In Golem retro_ haben wir das erneut selbst erlebt.

Mafia (2002) - Golem retro_ Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /