In den vergangenen Monaten wurde viel über potenzielle Manipulationen durch Hackerangriffe auf die bevorstehende Bundestagswahl diskutiert. Kürzlich häuften sich dann Berichte, welche durch die vom Chaos Computer Club (CCC) veröffentlichte „Analyse einer Wahlsoftware“ ausgelöst wurden. In vielen Kommunen wird für das Zusammenzählen und Auswerten der vorläufigen Ergebnisse aus den Wahllokalen die Software „PC Wahl“ eingesetzt, auch wenn für die Durchführung und Auszählung der Wahl vor Ort selbst keine Computer zum Einsatz kommen. Diese Software wurde am Beispiel einer Konfiguration für das Land Hessen analysiert, im Ergebnis gab es eine ganze Reihe von Schwachpunkten.

Was wurde bemängelt?

Bereits in der Vergangenheit unternommene Versuche, den Quellcode dieser Software und damit deren Funktionsweise einzusehen, scheiterten. Unter anderem wurde argumentiert, dass für die Sicherheit der Wahl die Geheimhaltung der Software erforderlich sei. Bei durchgeführten Überprüfungen wurde lediglich darauf geachtet, dass die erfassten Daten korrekt addiert wurden. Ob das Programm auch sicher betrieben wurde, schien dabei nicht erheblich gewesen zu sein. „Security by Obscurity“ stellt jedoch kein geeignetes Sicherheitskonzept dar – nur weil nicht bekanntgemacht wird, wie eine Software funktioniert, kann daraus nicht geschlossen werden, dass diese sicher ist. Es besteht vielmehr die Gefahr, dass Sicherheitslücken nicht identifiziert werden und die Software dadurch angreifbar bleibt.

Den Veröffentlichungen zufolge war die Bedienungsanleitung für das Programm frei im Internet auffindbar, ein Dienstleister soll diese versehentlich online gestellt haben. Darin waren auch die Zugangsdaten zum passwortgeschützten Servicebereich des Herstellers enthalten: „Nutzername: service“, „Kennwort: pcwkunde“. Auf diesem Weg konnten Teile der Software heruntergeladen und getestet werden.

Für eine Updatefunktion eingesetzte Server und Verfahren sollen nicht ausreichend gesichert gewesen sein. Neben dem Download soll es auch möglich gewesen sein, die bereitgestellten Updates zu ersetzen. So könnten diese theoretisch verändert und den beziehenden Stellen dadurch modifizierte Software untergeschoben werden. Der Hersteller setzt keine Signaturverfahren ein, mit denen etwaige unbefugte Änderungen an den Softwarepaketen festgestellt werden könnten.

Auch Zugangsdaten zum Upload von Wahlergebnissen im Land Hessen waren nur rudimentär gesichert. Diese waren in Konfigurationsdateien enthalten, die frei aus dem Internet heruntergeladen werden konnten. Darin war ersichtlich, dass sowohl für verschiedene vergangene Wahlen als auch für den Zugriff auf unterschiedliche Wahlkreisverzeichnisse dieselben Zugangsdaten verwendet wurden, differenzierte Berechtigungsstrukturen waren nicht erkennbar. Der zur Übergabe vorgesehene FTP-Server war zwar nicht direkt aus das Internet erreichbar, jedoch soll auch der zum Zugriff erforderliche VPN-Zugang nur unzureichend gesichert gewesen sein. Im untersuchten Stand könnten mit den Zugangsdaten beliebige Daten hochgeladen bzw. hochgeladenen Daten verändert werden. Denn auch schon vor der Übertragung sind softwareseitig keine Maßnahmen implementiert, welche die Integrität der von „PC Wahl“ ausgegebenen Daten gewährleisteten. Es wäre problemlos möglich, die erzeugten Exporte nach Belieben zu verändern.

Die Liste der Probleme ließe sich fortsetzen.

Grundlegende Sicherheitsmechanismen seien laut Hersteller bisher kein Thema gewesen, da diese von den Kunden nicht verlangt wurden. Nun soll ein Update Abhilfe schaffen. Durch Hersteller und Dienstleister erfolgten mehrere Nachbesserungen, die teilweise jedoch nicht ausreichend waren oder mangelhaft umgesetzt worden sein sollen. Beispielsweise wurden öffentlich zugängliche Informationen und fehlerhafte Konfigurationen entfernt, Kennwörter wurden geändert. Statt einer unverschlüsselten Datenübertragung per FTP soll nun die verschlüsselte Variante SFTP zum Einsatz kommen, dabei werden die Daten jedoch nur während der Übertragung geschützt. Ferner sollen für jede Gemeinde eigene Zugangsdaten eingerichtet werden. Bei einer GPG-Implementierung zum Schutz der Datenintegrität durch den Einsatz von Signaturen soll der verwendete Schlüssel nicht oder nur unzureichend gesichert übergeben und gespeichert worden sein. Auch diese Auflistung ist nicht abschließend.

Was bedeutet das jetzt für die Bundestagswahl 2017?

Auch wenn die identifizierten Schwachstellen bis zur Wahl nicht behoben sein sollten, ist nicht davon auszugehen, dass es aufgrund der aufgedeckten Schwächen zu einer Manipulation der endgültigen Ergebnisse kommen könnte. Die Auszählungen in den Wahllokalen sind öffentlich, auch die Ergebnisse werden veröffentlicht. Bei Zweifeln an den Wahlergebnissen wäre eine erneute Auszählung der Stimmzettel möglich, das Addieren und Vergleichen der Auszählungsergebnisse aus den Wahllokalen kann auch auf anderen Wegen erfolgen. Die Wahlleiter in Hessen sind dazu angehalten, die auf den Seiten des statistischen Landesamts veröffentlichten Schnellmeldungen mit den vor Ort ermittelten Ergebnissen zu vergleichen. Dies dürfe auch in anderen Ländern bzw. Kommunen der Fall sein.

Fazit

Verbindungen nicht gesichert, Daten und Software nicht vor Veränderung geschützt, fehlende Berechtigungskonzepte, keine wirksame Authentisierung – alles „technische Probleme“ – oder nicht? Der Fall macht deutlich, dass die Ursachen nicht auf „technischen Fehlern“ beruhen. Die Ursachen resultieren vielmehr aus einem nicht vorhandenen oder falschen Verständnis von Informationssicherheit. Die alleinige Umsetzung technischer Maßnahmen so kurz vor der Wahl kann die Probleme nicht lösen. Nur bei der Umsetzung aufeinander abgestimmter technischer und organisatorischer Sicherheitsmaßnahmen kann ein wirksamer Schutz erreicht werden. Scheinbar wurde dazu jetzt die Unterstützung durch das BSI intensiviert. Es ist jedoch erstaunlich, welche Wege für die Erkenntnis – dass Informationssicherheit ein relevantes Thema sein könnte – eingeschlagen werden müssen. Die Wahlsoftware wird vermutlich nicht das letzte Beispiel bleiben, bei dem Betreiber und Dienstleister „vergessen“, sich dem Thema Informationssicherheit zu widmen.