Werbung
Geht es um die IT-Sicherheit der Wahlen, denken viele an Manipulation im Vorfeld, die Einflussnahme in sozialen Netzwerken und über die Medien. Ebenfalls immer wieder im Fokus stehen Wahlcomputer, die in Deutschland allerdings nicht verwendet werden dürfen. Daher wechselt der Fokus in dieser Hinsicht auf die Auswertung der Wahl, denn spätestens hier kommen dann nicht mehr Papier und Stift, sondern PC-Hard- und Software zum Einsatz.
Der Chaos Computer Club hat sich die dazu verwendete Software und dahinterstehende Infrastruktur einmal etwas genauer angeschaut und ist dabei auf gravierende Lücken gestoßen. Da die Bundeslänger hier auf unterschiedliche Lösungen setzen, mussten sich die Sicherheitsforscher auch mit unterschiedlichsten Lösungen befassen. Das Fazit darf als vernichtend bezeichnet werden:
„Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagt Linus Neumann, an der Analyse beteiligter Sprecher des CCC.
Die Schwachstellen sind dabei auf den verschiedensten Ebenen zu finden. So kann die in der Mehrzahl der verwendeten Bundesländern verwendete Software PC-Wahl recht leicht kompromittiert werden. Sowohl der Update-Mechanismus als solches ist angreifbar, wie auch der Update-Server. Damit wäre es recht einfach eine entsprechend modifizierte Softwareversion unterzuschieben.
„Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien“, so Neumann weiter.
Nicht nur die Software zur Auswertung ist angreifbar, auch ein Upload modifizierter Ergebnisse an die statistische Landesa?mter ist möglich. Neben der Meldung der Wahlergebnisse per FTP an den Kreiswahlleiter gibt es weitere Meldewege, zum Teil direkt von den Gemeinden aus an den Landeswahlleiter bzw. das statistische Landesamt. Hierbei kommt in mehreren Bundesla?ndern ein nicht signiertes XML-Format zum Einsatz. Die PC-Wahl-Software kann ebenfalls auf diese Infrastruktur zurückgreifen und auf die dazugehörigen PHP-Dateien konnte mit recht einfachen Kombinationen aus Nutzer und Passwort zugegriffen werden. Einige Beispiele:
- Nutzer: gast, Passwort: test
- Nutzer: test01, Passwort: test01
- Nutzer: test02, Passwort: test02
Selbst wenn die Zugangsdaten ein wenig besser waren, waren die FTP-Zugangsdaten mitsamt der zugeho?rigen Entschlu?sselungsroutine in SmartEditor.exe "verschlüsselt" und in einer für jeden lesbaren Zip-Datei abgelegt. Diese Datei sieht dann wie folgt aus:
[FTP]
Hostname=http://www.wahlauswertung.de
Username=p8346897 Password=8713302813220600900709229127226402424409121901803428801104604
2000050150079180012084194005068098090780170680140440040730
Pfad=/test/smart
Daraus ließen sich dann wiederum die Zugangsdaten Nutzer: p8346897 und Passwort: ftppcw7 ableiten. Auch keine echte Sicherheit in heutigen Tagen. Ziel der Sicherheitsanalyse war es, vor allem die Sinne der Verantwortlichen zu schärfen. Eine plumpe Manipulation über die mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten Sensibilität unwahrscheinlicher geworden sein.
Aus den Erkenntnissen folgen für den CCC folgende Maßnahmen:
- Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben. Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.
- Die Wähler selbst müssen alle Resultate überprüfen können. Alle Verfahrensschritte müssen durch Software-unabhängige Prozeduren geprüft werden.
- Abhängigkeiten, bei denen manipulierte Software oder manipulierte Computer das Wahlergebnis beeinflussen können, sind zu vermeiden. Parallele, Software-unabhängige Zähl-Prozeduren und eine nochmalige zwingende Handauszählung bei Diskrepanz zwischen elektronisch unterstützter Auswertung und manueller Zählung müssen vorgeschrieben werden.
- Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen beteiligt ist, darf geheim gehalten werden. Jegliche Wahlhilfsmittel-Software muss mindestens als published Source mit öffentlichem Lese-Zugang auf die verwendeten Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die Sicherheit der Software muss die Veröffentlichung unerheblich sein, was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der Fall wäre.
- Berichte über die Audits der eingesetzten Software und Systeme müssen öffentlich sein. Dies schließt die Hardwarekomponenten und elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt werden. Alle Systemkomponenten müssen vor dem Einsatz einer unabhängigen Analyse unterzogen werden. Vorab-Angriffe gegen die für die Wahl eingesetzen Computer müssen durch Einsatz von vorher nicht anderweitig verwendeten Systemen erschwert werden.
- Noch verwendete Oldtimer-Software muss in modernen, sichereren Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit dem Quellcode publiziert werden. Lokale Sonderlösungen bei elektronischen Zählhilfen müssen minimiert werden. Es bedarf festgeschriebener Standards auf aktuellem Stand der Technik für alle verwendeten Rechner und deren Konfiguration sowie für alle System- und Netzwerkkomponenten.
- Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen. Bedienfehler und Fehler in der Software müssen von vorneherein mitbedacht werden.
- Möglichst detaillierte Publikation von Auswertungsdaten und deren Änderungsverlauf für eine öffentliche Prüfung. Dabei bedarf es einer Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche Einsatz der Software in Augenschein genommen werden kann, um das Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu erlauben.
Die komplette Analyse des CCC kann in einem PDF-Dokument nachverfolgt werden.
Update:
Der Hersteller der Wahlsoftware hat in den vergangenen Wochen versucht die zahlreichen Sicherheitslücken zu schließen. So richtig gelungen ist dies offenbar nicht, denn noch immer ist eine Manipulation möglich. Zwar ist eine Einflussname auf das offizielle Endergebnisse nicht möglich, im Verlaufe von Prognosen am Wahlabend könnte aber Verwirrung und Chaos gestiftet werden.
Diesen Zustand wollte der Choas Computer Club nicht länger akzeptieren und hat die Software PC Wahl daher selbst gepatcht. Die notwendigen Dateien liegen in einem GitHub-Repository und können vom Hersteller eingespielt werden.
Linus Neumann vom CCC dazu: "Das größte Einfallstor für Angreifer ist nicht wirksam beseitigt. Der Hersteller der Software PC-Wahl 10.0 versuchte vor der Bundestagswahl im September 2017 hektisch und vergeblich, die Update-Funktion seiner Software abzusichern. Dies geschah mehrfach hintereinander mit teils absurden Mechanismen."
Mit dem Patch wird vor allem verhindert, dass manipulierte Updates der Software heruntergeladen werden. Dazu wird eine Signatur der Update-Dateien erstellt. Auch die Einsendung der Wahlergebnisse erfolgt nun über eine Signatur abgesichert.
Derzeit ist völlig unklar, wie der Hersteller von PC Wahl auf die Patches reagiert und ob diese verwendet werden, um die Software für den kommenden Wahlsonntag abzusichern.