Nachrichten

Chaos Computer Club:

Die IT-Absicherung der Bundestagswahl ist katastrophal

Internet | HT4U.net
Der Chaos Computer Club (CCC) hat sich die Auswertungs-Software "PC-Wahl", welche bei der Bundestagswahl am 24. September 2017 zum Einsatz kommen wird, angesehen und kommt zu einem vernichtenden Ergebnis: "Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen."

Dies sind die Worte von Linus Neumann, dem Sprecher des CCC, der auch selbst an der Untersuchung mitgewirkt hat. Nach Einschätzung der deutschen Hacker sei die Software "PC-Wahl", welche in mehreren Bundesländern schon seit Jahrzehnten für die Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes- und Kommunalebene eingesetzt wird, eine einzige Katastrophe. Offenbar blieben selbst elementare Grundsätze der IT-Sicherheit unbeachtet, so dass sich "eine Vielzahl von Schwachstellen und mehrere praktikable Angriffsszenarien" ergeben. Eine Manipulation von Wahlergebnissen, auch über die Grenzen von Wahlkreisen und Bundesländern hinweg, sei demnach möglich, und der CCC liefert auch gleich den Beweis in Form einer eigenen Software.

Nach Ansicht des CCC sind drei Angriffsszenarien für die Praxis relevant: Der Upload modifizierter Wahlergebnisse vom einzelnen Wahllokal bis zum Bundesland, der Upload modifizierter Ergebnisse an die statistischen Landesämter sowie eine Manipulation der Software. Der letzte Punkt ist dabei besonders brisant: Da der Update-Mechanismus von "PC-Wahl" fehlerhaft sei und die Absicherung der Update-Server mangelhaft umgesetzt wurde, lasse sich der komplette Auswertungsvorgang übernehmen. Die Software selbst sei unsigniert und erkenne auch nicht, ob sie manipuliert wurde. Den Schwierigkeitsgrad des Angriffs bewertet der CCC als derart trivial, dass die Schwachstellen auch Dritten bekannt sein müssten. Auch Benutzernamen wie gast, test01 und test02 sowie Passwörter wie test, test01 und test02 zeugen von einem Höchstmaß an Dilettantismus.

Deutschland, das Land der Dichter und Denker, will Vorreiter bei der "Industrie 4.0" und der Computersicherheit sein. Tatsächlich zeugt das Programmierniveau der Auswertungs-Software "PC-Wahl" von einem Wissensstand, der offenbar noch aus Goethes Zeiten stammt. Wer wen wählt, entscheidet nicht mehr das Volk, sondern der schnellste Hacker. Dessen schwerste Aufgabe scheint dabei zu sein, das löchrige System abzusichern, damit andere Angreifer seine Manipulationen nicht wieder überschreiben.

Autor: mid
[]