Wahlen
IT-Fachmann: Bayern hat „keine gesetzlichen Vorgaben, dass eine Wahlsoftware getestet oder sicher sein muss“
Zwei IT-Sicherheitsforscher am Münchner Fraunhofer-Institut, die ehrenamtlich als Wahlhelfer tätig sind, haben bei einer Simulation mehrere Schwachstellen in der OK.Vote-Software entdeckt. Diese wird in Bayern, aber auch in anderen Ländern bei Kommunalwahlen eingesetzt.
Auch die deutsche Wahlsoftware ist unsicher.
Foto: iStock
Die IT-Experten Tobias Madl und Dr. Johannes Obermaier arbeiten am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) in München. In ihrer Freizeit stellen sie sich ehrenamtlich als Wahlhelfer zur Verfügung, zuletzt auch bei den Kommunalwahlen in Bayern im März 2020. Jüngst hielten sie einen Vortrag „Hacking German Election“ auf dem virtuellen Kongress des Chaos Computer Clubs (CCC).
Volle Kontrolle über die Rechner möglich
Dabei stießen Madl und Obermaier auf beunruhigende Erkenntnisse: Die Zählsoftware, die auch bei der manuellen Auszählung der Stimmen zur bayerischen Kommunalwahl helfen sollte, wies im Stresstest einige beunruhigende Sicherheitslücken auf. Wie „heise.de“ berichtet, soll das Programm Zugriffsrechte nicht kontrolliert haben und die Möglichkeit eröffnet haben, über den Klick auf eine manipulierte Website gefälschte Wahlergebnisse einzuspeisen.
Die eingesetzte Datenbank und der lokal installierte Webserver seien ebenfalls verwundbar gewesen und hätten sogar Ports zur Attacke eröffnet. Mittels einer eingeschleusten DLL-Datei hätten Außenstehende sogar die volle Kontrolle über die Rechner übernehmen können.
Sicherheitssystem leicht auszutricksen
„Angreifer hätten so die Wahlergebnisse manipulieren können“, meint Madl im Interview mit dem „Spiegel“. Außerdem hätte jeder, der sich im gleichen Netzwerk befunden hat wie das Wahllokal, auf alle Komponenten der Software zugreifen können.
Schutzvorkehrungen wie Benutzername und Passwort hätten sich leicht umgehen lassen, „indem man als Täter seinem Computer einen Namen gibt, den das System erwartet“. Dann hätte es „gar keinen Log-in mehr gebraucht, um auf die Wahldaten zuzugreifen und sie zu überschreiben“.
Früher oder später wäre es wohl aufgefallen, dass ausgewiesene und abgegebene Stimmen nicht übereinstimmten. Spätestens, wenn einzelne Wahlvorschläge und Kandidaten die Stimmzettel, die nach Parteien und uneinheitlichen Stimmabgaben sortiert wurden, nachgezählt und den Fehler bemerkt hätten.
Komplexe Wahl in Bayern hätte im Chaos enden können
Für Chaos hätte ein Eingriff der geschilderten Art jedoch allemal sorgen können: Gerade in Bayern, wo beispielsweise bei der Kreistagswahl in München ein Wähler 70 Stimmen über neun Listen und 599 Kandidaten verteilen, dazu auch Kandidaten streichen und einem bis zu drei Stimmen geben konnte, werden bereits für die Eingabe eines Zettels in die Software mindestens zwei bis drei Wahlhelfer benötigt.
Obermaier schildert, dass ein Stimmzettel „etwa einen Meter breit und 50 Zentimeter lang“ war. Dies mache die Auszählung sowohl beim Wählen als auch beim Auszählen enorm komplex und die Maschinen sollten dies vereinfachen.
Der IT-Fachmann sieht den Kern des Problems darin, dass die von der vote.IT GmbH und von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertriebene OK.VOTE-Software nicht ausreichend getestet worden wäre. Es gebe in Bayern „keine gesetzlichen Vorgaben, dass eine Wahlsoftware getestet oder sicher sein muss“.
IT-Spezialisten vermissen Transparenz
Madl ergänzt, dass es eher die Ausnahme als die Regel sei, dass Bundesländer rechtliche Vorgaben für Software oder Zertifizierungen hätten. OK.VOTE komme in mehreren Ländern zum Einsatz oder sei bereits eingesetzt worden. In ihrem aktuellen Zustand solle dies, so Madl, aber eigentlich nicht der Fall sein:
„Eigentlich müsste jeder Bürger einsehen können, wie viele Stimmzettel abgegeben wurden und zu welchem Ergebnis das geführt hat. Das ist hier aber nicht gegeben.“
Warum die Zertifizierung oder der Test von Zählmaschinen offenbar in den meisten Bundesländern noch kein Thema war, bleibt offen. De facto spielen sie nur bei komplexen Kommunalwahlen eine Rolle, wo Wähler eine Vielzahl an Stimmen vergeben können.
In Ländern wie Sachsen oder Sachsen-Anhalt, wo ein Wähler nur maximal drei Stimmen verteilen kann und die Zahl der Kandidaten deutlich geringer ist, wird im Regelfall ausschließlich händisch ausgezählt, ebenso bei Landtags- und Bundestagswahlen.
Anbieter betrachtet seine Software als ausreichend zertifiziert
Beim Anbieter des Systems sieht man offenbar keine Sicherheitsprobleme. Auf der Website heißt es, bei der Entwicklung von OK.VOTE sei „höchster Wert auf das Thema Sicherheit“ gelegt worden.
Diese orientiere sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Non-Profit-Organisation Open Web Application Security Project (OWASP). Für den Zweck des Einsatzes reiche dies aus:
„Mit dem Einsatz von OK.VOTE in unserem BSI-zertifizierten Outsourcing-Rechenzentrum ist die Einhaltung der geforderten hohen Sicherheitsstandards gewährleistet.“
Reinhard Werner schreibt für die Epoch Times zu Wirtschaft, gesellschaftlichen Dynamiken und geopolitischen Fragen. Schwerpunkte liegen dabei auf internationalen Beziehungen, Migration und den ökonomischen Folgen politischer Entscheidungen.
Aktuelle Artikel des Autors
Kommentare
Noch keine Kommentare – schreiben Sie den ersten Kommentar zu diesem Artikel.
0
Kommentare
Noch keine Kommentare – schreiben Sie den ersten Kommentar zu diesem Artikel.