Wie heise.de berichten, zeigt die, für die Auswertung der Bundestagswahl 2017 eingesetzte Software eklatante Sicherheitslücken. Einer Untersuchung des Chaos Computer Club (CCC) zufolge wäre es nahezu ein Kinderspiel, die zu übermittelnden Ergebnisse zu manipulieren.

UNGENÜGENDE SICHERHEIT

Der Chaos Computer Club (CCC) hat in Kooperation mit Zeit Online eklatante Sicherheitsschwächen in der Wahl-Auswertungssoftware „PC-Wahl“ aus dem Hause „Vote IT“ aufgedeckt. Diese wird so auch im Rahmen der bevorstehenden Bundestagswahl 2017 eingesetzt werden. Entdeckt wurden insbesondere Lücken in den Verschlüsselungsverfahren des Desktop-Clients der Software sowie auf den Web-Servern des Herstellers. Dadurch war es zeitweise möglich, ein Update für die Software mit Schadcode zu versehen und auf den Server zu laden. Dieses wäre dann an alle Nutzer verteilt und automatisch eingespielt worden.

NACHBESSERUNG LÄUFT – DENNOCH UNSICHER?

Der Hersteller hat mittlerweile reagiert und Updates für die Software bereitgestellt. Außerdem wurde wohl eine Verbesserung der Server-Sicherheit durchgeführt. Die CCC-Forscher vermuten jedoch, dass nach wie vor Sicherheitslücken vorhanden sein dürften. Schließlich hatte sie verschioedenste Schwachstellen identifizieren können: so ist z. B. in „PC-Wahl“ keine funktionierende Methode umgesetzt, um Software-Updares zu verifizieren. Darüber hinaus wird die Übertragung der Wahldaten von einer Instanz zur nächsten überhaupt weder verschlüsselt noch sonst wie geschützt. Lokale Zugangsdaten sind zum Teil überhaupt nicht, oder nur durch fraglich sichere selbstentwickelte Verschlüsselung geschützt. So werden die Passwörter damit teilweise nur als dezimal repräsentierte Hex-Werte gespeichert. Ein geheimer Schlüssel kommt überhaupt nicht zum Einsatz.

VERANTWORTUNGSLOSES VERHALTEN

CCC zweifelt nach eigenen Aussagen am grundsätzlichen Sicherheitsverständnis des Herstellers. Wie heise weiter berichtet, werden leicht zu erratene Standard-Passwörter ebenso in einer Live-Installation in Hessen eingesetzt, wie auch ein Server, der über ein installiertes Tool das Auslesen beliebiger Dateien auf dem Server erlaubt. So kurz vor dem Einsatz der Software bei der bevorstehenden Bundestagswahl stellt sei dies kaum zu verantworten.

DER BUNDESWAHLLEITER REAGIERT

Ein Sprecher des Bundeswahlleiters sprach jetzt vor wenigen Tagen von einem „ernsten Problem“, das schon vor Wochen bekannt geworden sei. Der Hersteller habe in der Zwischenzeit etliche Updates der Software nachgeliefert, um Lücken zu schließen. Die Landeswahlleiter seien nun aufgefordert worden, die Übermittlung der korrekten Wahldaten zusätzlich abzusichern. Die Ermittlung des vorläufigen amtlichen Wahlergebnisses ist dabei aber von den Sicherheitslücken grundsätzlich nicht betroffen, da dort andere Übertragungswege gewählt werden. Da es ja in Deutschland die Möglichkeit gibt, die Stimmen an Hand der vorgehaltenen Stimmzettel neu auszählen zu lassen, sofern das Ergebnis eines Wahlkreises oder sogar eines Bundeslandes berechtigterweise angezweifelt, sei eine tatsächliche Wahlmanipulation laut heise.de wohl eher unwahrscheinlich.
Es bleibt die Frage, ob nicht andere Regierungen am Ausgang der Bundestagswahl ein ähnliches Interesse haben könnten, wie an den Präsidentschaftswahlen in den USA. Dort steht ja immernoch der Vorwurf einer Manipulation durch Moskau im Raum.