IT-Fachmann: Bayern hat „keine gesetzlichen Vorgaben, dass eine Wahlsoftware getestet oder sicher sein muss“

Zwei IT-Sicherheitsforscher am Münchner Fraunhofer-Institut, die ehrenamtlich als Wahlhelfer tätig sind, haben bei einer Simulation mehrere Schwachstellen in der OK.Vote-Software entdeckt. Diese wird in Bayern, aber auch in anderen Ländern bei Kommunalwahlen eingesetzt.
Titelbild
Auch die deutsche Wahlsoftware ist unsicher.Foto: iStock
Von 8. Januar 2021

Die IT-Experten Tobias Madl und Dr. Johannes Obermaier arbeiten am Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) in München. In ihrer Freizeit stellen sie sich ehrenamtlich als Wahlhelfer zur Verfügung, zuletzt auch bei den Kommunalwahlen in Bayern im März 2020. Jüngst hielten sie einen Vortrag „Hacking German Election“ auf dem virtuellen Kongress des Chaos Computer Clubs (CCC).

Volle Kontrolle über die Rechner möglich

Dabei stießen Madl und Obermaier auf beunruhigende Erkenntnisse: Die Zählsoftware, die auch bei der manuellen Auszählung der Stimmen zur bayerischen Kommunalwahl helfen sollte, wies im Stresstest einige beunruhigende Sicherheitslücken auf. Wie „heise.de“ berichtet, soll das Programm Zugriffsrechte nicht kontrolliert haben und die Möglichkeit eröffnet haben, über den Klick auf eine manipulierte Website gefälschte Wahlergebnisse einzuspeisen.

Die eingesetzte Datenbank und der lokal installierte Webserver seien ebenfalls verwundbar gewesen und hätten sogar Ports zur Attacke eröffnet. Mittels einer eingeschleusten DLL-Datei hätten Außenstehende sogar die volle Kontrolle über die Rechner übernehmen können.

Sicherheitssystem leicht auszutricksen

„Angreifer hätten so die Wahlergebnisse manipulieren können“, meint Madl im Interview mit dem „Spiegel“. Außerdem hätte jeder, der sich im gleichen Netzwerk befunden hat wie das Wahllokal, auf alle Komponenten der Software zugreifen können.

Schutzvorkehrungen wie Benutzername und Passwort hätten sich leicht umgehen lassen, „indem man als Täter seinem Computer einen Namen gibt, den das System erwartet“. Dann hätte es „gar keinen Log-in mehr gebraucht, um auf die Wahldaten zuzugreifen und sie zu überschreiben“.

Früher oder später wäre es wohl aufgefallen, dass ausgewiesene und abgegebene Stimmen nicht übereinstimmten. Spätestens, wenn einzelne Wahlvorschläge und Kandidaten die Stimmzettel, die nach Parteien und uneinheitlichen Stimmabgaben sortiert wurden, nachgezählt und den Fehler bemerkt hätten.

Komplexe Wahl in Bayern hätte im Chaos enden können

Für Chaos hätte ein Eingriff der geschilderten Art jedoch allemal sorgen können: Gerade in Bayern, wo beispielsweise bei der Kreistagswahl in München ein Wähler 70 Stimmen über neun Listen und 599 Kandidaten verteilen, dazu auch Kandidaten streichen und einem bis zu drei Stimmen geben konnte, werden bereits für die Eingabe eines Zettels in die Software mindestens zwei bis drei Wahlhelfer benötigt.

Obermaier schildert, dass ein Stimmzettel „etwa einen Meter breit und 50 Zentimeter lang“ war. Dies mache die Auszählung sowohl beim Wählen als auch beim Auszählen enorm komplex und die Maschinen sollten dies vereinfachen.

Der IT-Fachmann sieht den Kern des Problems darin, dass die von der vote.IT GmbH und von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertriebene OK.VOTE-Software nicht ausreichend getestet worden wäre. Es gebe in Bayern „keine gesetzlichen Vorgaben, dass eine Wahlsoftware getestet oder sicher sein muss“.

IT-Spezialisten vermissen Transparenz

Madl ergänzt, dass es eher die Ausnahme als die Regel sei, dass Bundesländer rechtliche Vorgaben für Software oder Zertifizierungen hätten. OK.VOTE komme in mehreren Ländern zum Einsatz oder sei bereits eingesetzt worden. In ihrem aktuellen Zustand solle dies, so Madl, aber eigentlich nicht der Fall sein:

„Eigentlich müsste jeder Bürger einsehen können, wie viele Stimmzettel abgegeben wurden und zu welchem Ergebnis das geführt hat. Das ist hier aber nicht gegeben.“

Warum die Zertifizierung oder der Test von Zählmaschinen offenbar in den meisten Bundesländern noch kein Thema war, bleibt offen. De facto spielen sie nur bei komplexen Kommunalwahlen eine Rolle, wo Wähler eine Vielzahl an Stimmen vergeben können.

In Ländern wie Sachsen oder Sachsen-Anhalt, wo ein Wähler nur maximal drei Stimmen verteilen kann und die Zahl der Kandidaten deutlich geringer ist, wird im Regelfall ausschließlich händisch ausgezählt, ebenso bei Landtags- und Bundestagswahlen.

Anbieter betrachtet seine Software als ausreichend zertifiziert

Beim Anbieter des Systems sieht man offenbar keine Sicherheitsprobleme. Auf der Website heißt es, bei der Entwicklung von OK.VOTE sei „höchster Wert auf das Thema Sicherheit“ gelegt worden.

Diese orientiere sich an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Non-Profit-Organisation Open Web Application Security Project (OWASP). Für den Zweck des Einsatzes reiche dies aus:

„Mit dem Einsatz von OK.VOTE in unserem BSI-zertifizierten Outsourcing-Rechenzentrum ist die Einhaltung der geforderten hohen Sicherheitsstandards gewährleistet.“



Unsere Buchempfehlung

Alle Völker der Welt kennen den Teufel aus ihren Geschichten und Legenden, Traditionen und Religionen. Auch in der modernen Zeit führt er – verborgen oder offen – auf jedem erdenklichen Gebiet seinen Kampf gegen die Menschheit: Religion, Familie, Politik, Wirtschaft, Finanzen, Militär, Bildung, Kunst, Kultur, Medien, Unterhaltung, soziale Angelegenheiten und internationale Beziehungen.

Er verdirbt die Jugend und formt sich eine neue, noch leichter beeinflussbare Generation. Er fördert Massenbewegungen, Aufstände und Revolutionen, destabilisiert Länder und führt sie in Krisen. Er heftet sich - einer zehrenden Krankheit gleich - an die staatlichen Organe und die Gesellschaft und verschwendet ihre Ressourcen für seine Zwecke.

In ihrer Verzweiflung greifen die Menschen dann zum erstbesten „Retter“, der im Mantel bestimmter Ideologien erscheint, wie Kommunismus und Sozialismus, Liberalismus und Feminismus, bis hin zur Globalisierungsbewegung. Grenzenloses Glück und Freiheit für alle werden versprochen. Der Köder ist allzu verlockend. Doch der Weg führt in die Dunkelheit und die Falle ist bereits aufgestellt. Hier mehr zum Buch.

Jetzt bestellen - Das dreibändige Buch ist sofort erhältlich zum Sonderpreis von 50,50 Euro im Epoch Times Online Shop

Das dreibändige Buch „Wie der Teufel die Welt beherrscht“ untersucht auf insgesamt 1008 Seiten historische Trends und die Entwicklung von Jahrhunderten aus einer neuen Perspektive. Es analysiert, wie der Teufel unsere Welt in verschiedenen Masken und mit raffinierten Mitteln besetzt und manipuliert hat.

Gebundenes Buch: Alle 3 Bände für 50,50 Euro (kostenloser Versand innerhalb Deutschlands); Hörbuch und E-Book: 43,- Euro.

Weitere Bestellmöglichkeiten: Bei Amazon oder direkt beim Verlag der Epoch Times – Tel.: +49 (0)30 26395312, E-Mail: [email protected]

Epoch TV
Epoch Vital
Kommentare
Liebe Leser,

vielen Dank, dass Sie unseren Kommentar-Bereich nutzen.

Bitte verzichten Sie auf Unterstellungen, Schimpfworte, aggressive Formulierungen und Werbe-Links. Solche Kommentare werden wir nicht veröffentlichen. Dies umfasst ebenso abschweifende Kommentare, die keinen konkreten Bezug zum jeweiligen Artikel haben. Viele Kommentare waren bisher schon anregend und auf die Themen bezogen. Wir bitten Sie um eine Qualität, die den Artikeln entspricht, so haben wir alle etwas davon.

Da wir die Verantwortung für jeden veröffentlichten Kommentar tragen, geben wir Kommentare erst nach einer Prüfung frei. Je nach Aufkommen kann es deswegen zu zeitlichen Verzögerungen kommen.


Ihre Epoch Times - Redaktion