Eine Sicherheitslücke, so groß wie ein Wal

2

Keinen Post mehr verpassen? Folge uns auf Facebook oder Twitter!

Um die Bundestagswahl zu hacken braucht es einen ausländischen Geheimdienst und riesige Cyber-Armeen? Falsch. Ein einziger Student hätte gereicht. Ein Lehrstück über die Prioritäten deutscher Politik bei IT-Themen. Von Jan Schaller

Was hatten wir nicht alle Angst. Der böse Russe wird kommen und unsere Wahl hacken. Wenn nicht das, dann werden zumindest massenhaft dreckige Details ans Licht kommen und auf diesem Wege den Wahlkampf beeinflussen. Spätestens seit dem großen Bundestagshack von 2015 schien das ein realistisches Bedrohungsszenario zu sein. Mittlerweile wissen wir: Es kam anders. Es gab keine großangelegten Versuche russischer Hacker, den Wahlvorgang zu sabotieren. Was wir auch wissen: Das hätte es gar nicht bedurft. Ein einziger IT-Student hätte völlig gereicht, um den Glauben an unser Wahlsystem zu erschüttern.

Wahlen in Deutschland gelten als sicher. Keine Wahlcomputer können manipuliert werden. Es gibt nämlich keine. Die Stimmabgabe erfolgt wie eh und je auf Papier. Nachdem man sein Kreuzchen gemacht hat, kommt der Wahlschein in einen Umschlag und dann in die Wahlurne. Später am Tag zählen dann die Wahlhelfer*innen die Stimmen aus. Und dann? Dann kommen eben doch Computer ins Spiel. Und zwar um die Stimmen zusammen zu zählen und diese Ergebnisse dann weiter zu melden. Da Deutschland föderal organisiert ist, erfolgt die Auszählung der Stimmen zunächst im Wahlbezirk. Von da geht es weiter zum Wahlkreis. Dieser meldet die Ergebnisse an den oder die Landeswahlleiter*in. Am Ende landen sie bei der oder dem Bundeswahlleiter*in.

Sicherheitslücken soweit das Auge reicht

Blöd nur, wenn man für diesen Teil der Kette nachweislich unsichere Software nutzt. Die moderne Sicherheitsstandards ebenso wie gesunden Menschenverstand ignoriert. Auch blöd, wenn man einen Softwaredienstleister hat, der entweder unwillens oder unfähig ist, auf angezeigte Probleme zu reagieren. Genau das ist aber der Fall.

In den meisten Kommunen kommt die Software “PC Wahl” zum Einsatz. Diese ist im Grunde ein Tabellenkalkulationsprogramm mit vorprogrammierten Masken. Die Wahlhelfer*innen müssen am Wahlabend nur noch die Zahlen eintragen und die Ergebnisse werden ausgespuckt. Dieses Programm existiert seit 30 Jahren — und so sieht es auch aus. Ebenso die Website. Ein nostalgischer Schauer läuft einem beim Betrachten der Seite den Rücken herunter. Die Homepage des Anbieters sieht so aus, als hätte sie irgendjemand unmotiviert im Informatikunterricht als Abschlussprojekt produziert.

Nun ist eine schicke Verpackung (oder das Fehlen dieser) nicht alles. Wenn das Produkt stimmt, wäre das vollkommen egal. Leider ist dem nicht so, wie der Chaos Computer Club (CCC) in Zusammenarbeit mit dem IT-Studenten Martin Tschirsich nachgewiesen haben. Am 7. September veröffentlichte Zeit Online in Zusammenarbeit mit dem CCC einen ausführlichen Artikel zum Thema. Die Probleme sind und waren dabei so frappierend, dass man kaum glauben kann, dass diese Software überhaupt zum Einsatz kam.

Die Datei, die nach Eingabe aller Stimmen verschickt werden sollte, war beispielsweise in keinster Weise gesichert. Es konnte nicht überprüft werden, ob die verschickte Datei auch die ist, die am Ende eine Ebene weiter oben ankommt. Moderne Methoden wie Zertifikate oder einmalige Schlüssel waren nicht implementiert. Damit ist es möglich zu verhindern, dass sich jemand in die Kommunikationskette einschaltet und die Datei manipuliert. PC Wahl hatte solche Systeme nicht implementiert. Dass Tschirsich das überhaupt herausgefunden hat, ist einer weiteren Sicherheitslücke zu verdanken. “PC Wahl” ist nämlich keine öffentliche Software, sondern soll nur von Kommunen bezogen werden. Dumm nur, dass auf der Seite eines anderen kleinen hessischen IT-Dienstleisters eine Anleitung für “PC Wahl” zu finden war — inklusive Passwort für den geschützten Downloadbereich vom “PC Wahl”-Anbieter. Von dort konnte sich Tschirsich die Software runterladen. Und nicht nur das. Da die Kommunen sich die Updates auch von der Herstellerseite laden müssen, war es möglich manipulierte Versionen hochzuladen. Da weitere Sicherheitsmaßnahmen fehlten, hätte man so allen Wahlbehörden gezinkte Software unterjubeln können — mit minimalem Aufwand.

Angebotene Hilfe wird verweigert

Das ist aber noch nicht das Ende. Die Kommunikation am Wahlabend erfolgt nicht über das Internet. Zu unsicher. Stattdessen wird ein eigenes Netzwerk genutzt. Das Passwort hierfür? “Test”.

Als dann am 7. September Zeit Online und der CCC diese unglaublichen Missstände öffentlich machten, reagierte der Anbieter zugeknöpft. Kein Wort des Danks und auch sonst kaum eine Reaktion. Man schob dann schnell ein Update nach, welches die Probleme beheben sollte. Leider war auch dieses völlig unzureichend, wie eine weitere Analyse des CCC zeigte. Daraufhin nahm der CCC die Sache selbst in die Hand und programmierte kurzerhand einen Patch, der die Probleme behob. Man stellte ihn als Open Source online und kontaktiere auch den Anbieter. Der reagierte nicht.

Der ganze Vorgang ist ein einziger Skandal. Es hätte keinerlei ausgeklügelter Angriffe bedurft, um das Vertrauen in den Wahlprozess und damit die Demokratie zu erschüttern. Generell ist es ein Unding, dass für so einen heiklen Teil der Wahl, eine veraltete Software von einem kleinen IT-Dienstleister genutzt wird. Dieser scheint nicht in der Lage zu sein, adäquate Sicherheitstechnologien einzubauen. Und selbst die kostenlose Hilfe vom CCC wird ignoriert. Sollte das nicht eigentlich Aufgabe für eine hohe staatliche Stelle sein? Oder zumindest für eine erfahrene, mit ausreichend Ressourcen ausgestattete Privatfirma? Das dem nicht so ist, offenbart den desaströsen “State of Mind” mit dem man vielerorts im öffentlichen Sektor IT-Themen begegnet. Der nicht vorankommende Breitbandausbau ist kein Zufall. Deutschland ist einfach ein digitales Entwicklungsland und wenn sich nicht schnell etwas grundlegend an dieser Einstellung ändert, wird uns das noch sehr viel mehr auf die Füße fallen.


Wer mehr über PC Wahl und die Vorkommnisse erfahren möchte, kann das in der Folge 228 von Logbuch Netzpolitik. Dort redet Tim Pritlove mit dem Sprecher des CCC Linus Neumann. Die gesamte Analyse des CCC gibt es hier.

2 KOMMENTARE

  1. Zu köstlich 😀 Das Passwort “Test” hat mir den Rest gegeben. Es zeigt sich wieder, wie sehr wir hier in der Steinzeit leben. In Estland läuft alles digital ab. Wahlen, Steuererklärung oder neuen Personalausweis beantragen. Ich bin mir sicher da würde sowas nicht vorkommen. Daran könnte sich Deutschland eine Scheibe abschneiden.

    • Da geb ich dir total Recht. Man muss sich ja nur den Stand des Breitbandausbaus in D anschauen. Da bekommt man das kalte Grausen und ich befürchte, dass uns das noch arg auf die Füße fallen wird. /JS

Kommentar verfassen