Betrug zur Bundestagswahl? Software „PC-Wahl“ noch unsicher

3
8
Bild: © Victoria - Fotolia.com
Bild: © Victoria - Fotolia.com
Anzeige

Die Wahl-Auswertungssoftware „PC-Wahl“ ist selbst nach ihrem Update vom 13. September nicht sicherer geworden, wie der Chaos Computer Club zeigt. Problematisch: einige Bundesländer nutzen sie, um Wahlergebnisse zwischen verschiedenen Instanzen zu übermitteln.

Wie der Chaos Computer Club (CCC) mitteilt, ist es ihm gelungen die Wahl-Auswertungssoftware „PC-Wahl“ erfolgreich anzugreifen und zu trojanisieren. Das ist besorgniserregend, da der Hersteller sie erst am 13. September mit einem Update versorgte, das enorme Sicherheitslücken schließen sollte. Was ebenfalls nur durch den CCC bekannt wurde.

Problem der Wahlsoftware

Zunächst hatte „PC-Wahl“ keine Funktion integriert, um Software-Updates zu verifizieren. Das bedeutet, jeder Hacker konnte sein „Update“ dem Anwender unterschieben. Zwar sollte dies nach dem neuesten Update Geschichte sein, doch der Hersteller vergaß dabei die Überprüfung der Vertrauenswürdigkeit der Signatur. So gelang es dem CCC als Man-in-the-Middle ein eigenes Update-Paket einzuschleusen. Nun standen dem Hacker wieder Tür und Tor offen, um beispielsweise Wahlergebnisse bei der Übermittlung zum Wahlleiter zu verändern.
 
Ob die alten Probleme gelöst sind, ist zurzeit unklar. Dazu gehörte etwa, dass die Zugangsdaten für die Server, die zum Upload der Daten dienen, leicht zu erraten oder sogar öffentlich im Netz verfügbar sind. Oder das kein geheimer Schlüssel zum Schutz der Passwörter zum Einsatz kommt.

Hersteller ignoriert etablierte Lösungen

Grundsätzlich macht der Hersteller von „PC-Wahl“ einen altbekannten Fehler. Er versucht das Rad neu zu erfinden. Statt die für kryptografische Sicherung dokumentierten, etablierten und getesteten Verfahren zu verwenden, bastelt er sich eine eigene Lösung. Dabei tritt er in alle Fallen, die kryptographische Verfahren aufweisen.
 
Würde er die im Betriebssystem und den Bibliotheken bereits vorhandenen Lösungen nutzen, würde ihm ein Teil der Arbeit abgenommen, wie etwa die sichere Umsetzung der Signatur-Prüfung.

CCC spendet an Hersteller

Als „Sachspende“ hat nun der Chaos Computer Club eine Open-Source-Bibliothek namens Walruss bereit gestellt. Sie sorgt für eine sichere Überprüfung der Signaturschlüssel. Ob der Hersteller von „PC-Wahl“ diese Hilfe annimmt? Wahrscheinlich wird er weiter auf seinen fehlerhaften eigenen Verschlüsselungs- und Sicherheitssystem beharren. Die kann er nämlich zu Geld machen. Das ist bei Open-Source-Projekten weniger lukrativ.  

Gefahr für Wahl?

Nein, eine Gefahr für die Wahl besteht nicht, da die Software nur zur Ermittlung der vorläufigen Wahlergebnisse dient. Auf das amtliche Endergebnis kann damit kein Einfluss genommen werden. Allerdings können Manipulationen der Ergebnisse zum Vertrauensverlust in die Demokratie beitragen. 

[tk]

Bildquelle:

  • Technik_Web_Artikelbild: © Victoria - Fotolia.com

3 Kommentare im Forum

  1. Das Problem ist nicht sooo groß, wie im Artikel geschildert. Bei der Ermittlung des amtlichen Wahlergebnisses spielt dieses Programm keine Rolle. Da regiert noch das Papierformular und die Schneckenpost. Das Programm dient lediglich dazu, die Datenbasis für die Hochrechnungen nach der Schließung der Wahllokale schneller zu verfeinern ... Falls man auf die Idee kommt, auch die Datenübermittlung zur Ermittlung des amtlichen Endergebnisses zu digitalisieren - da hoffe ich auf besser geeignete Software ...
  2. Bullshit - Wahlbetrug ist nur möglich, wenn man Einfluss auf das amtliche Endergebnis nehmen kann - da das Programm aber bei der Ermittlung desselben keine Rolle spielt.... Schlimm ist das trotzdem: Wenn zwischen amtlichem Endergebnis und Hochrechnungen am Wahlabend ungewohnte gravierende Unterschiede auftreten, kann das das Vertrauen in die Korrektheit des amtlichen Endergebnisses schwächen...
Alle Kommentare 3 im Forum anzeigen

Kommentieren Sie den Artikel im Forum