Der Chaos Computer Club (CCC) hat in Kooperation mit Zeit Online eklatante Sicherheitsschwächen in der Wahl-Auswertungssoftware PC-Wahl des Herstellers Vote IT aufgedeckt. Diese wird auch bei der bevorstehenden Bundestagswahl Anwendung finden. Bei einer Untersuchung der Software entdeckten Sicherheitsforscher um CCC-Sprecher Linus Neumann Lücken in den Verschlüsselungsverfahren des Desktop-Clients der Software sowie auf den Web-Servern des Herstellers. Dadurch war es zeitweise möglich, ein Update für die Software mit Schadcode zu versehen und auf den Server zu laden. Dieses wäre dann an alle Nutzer verteilt und automatisch eingespielt worden. Der Hersteller hat mittlerweile mit Updates für die Software und Verbesserung der Server-Sicherheit reagiert. Allerdings vermuten die CCC-Forscher, dass nach wie vor Lücken vorhanden sind.

Anfängerfehler und stümperhafte Pseudo-Verschlüsselung

Die Forscher haben mehrere unterschiedliche Arten von Sicherheitslücken ausgemacht. Neben der Tatsache, dass in PC-Wahl keine funktionierende Methode umgesetzt ist, um Software-Updares zu verifizieren, wird außerdem die Übertragung der Wahldaten von einer Instanz zur nächsten überhaupt nicht geschützt. So können Wahlergebnisse etwa auf dem Weg vom Wahllokal zum Kreiswahlleiter abgefangen oder manipuliert werden. Lokale Zugangsdaten sind zum Teil überhaupt nicht, zum Teil durch selbstentwickelte Verschlüsselung geschützt. In einem Fall werden die Passwörter lediglich als dezimal repräsentierte Hex-Werte gespeichert. Ein geheimer Schlüssel kommt nicht zum Einsatz.

Außerdem sind die Zugangsdaten für die Server, die zum Upload der Daten dienen, leicht zu erraten oder sogar öffentlich im Netz verfügbar. Anfängerfehler bei der Sicherheit des Webservers, den der Hersteller zum Bereitstellen seiner Software-Updates verwendet, führen schließlich dazu, dass Angreifer eigene Updates dort bereitstellen konnten. Da PC-Wahl diese nicht richtig auf Authentizität prüft, wäre ein Angriffsszenario wie auf die Steuersoftware MeDoc im Falle des verheerenden NotPetya-Angriffes äußerst plausibel.

Der CCC beschreibt in seiner Untersuchung nicht nur die Schwachstellen der Software im Detail, die Forscher kritisieren auch das grundsätzliche Sicherheitsverständnis des Herstellers. In der Tat gewinnt man beim Lesen der Untersuchung den Eindruck, Vote IT nehme die Sicherheit einer solch wichtigen Software nicht wirklich ernst. Leicht zu erratene Standard-Passwörter wurden ebenso in einer Live-Installation in Hessen eingesetzt, wie auch ein Server, der über ein installiertes Tool das Auslesen beliebiger Dateien auf dem Server erlaubte. So kurz vor dem Einsatz der Software bei der bevorstehenden Bundestagswahl stellt dieses Vorgehen ein unverantwortbares Risiko dar.

Tatsächliche Wahlmanipulationen unwahrscheinlich

Glücklicherweise sind Manipulationen des Wahlergebnisses durch eine Analyse-Software wie PC-Wahl einigermaßen unwahrscheinlich. Wird das Ergebnis eines Wahlkreises oder sogar eines Bundeslandes berechtigterweise angezweifelt, gibt es immer die Möglichkeit die Stimmen an Hand der vorgehaltenen Stimmzettel neu auszählen zu lassen. Ein Umstand, der nicht zuletzt Aktivisten des CCC zuzurechnen ist, die am Verbot von Wahlcomputern auf Bundesebene beteiligt waren. Im Jahr 2009 hatte das Bundesverfassungsgericht die bis dahin geltende Bundeswahlgeräteverordnung für verfassungswidrig erklärt, seitdem werden in Deutschland keine Wahlcomputer mehr eingesetzt.

Trotzdem betont der CCC, dass ein Angriff auf die Analyse-Software das Vertrauen der Wähler in die Integrität des demokratischen Prozesses stark erschüttern könnte. Der Hersteller Vote IT wird sich fragen lassen müssen, warum man trotz schon seit Langem öffentlich geäußerter Befürchtungen eines Hackerangriffs auf die Bundestagswahl seine Software nicht besser abgesichert hat. Immerhin existieren die technischen Grundlagen dafür, denn es gibt öffentlich verfügbare und von Kryptografen geprüfte Verschlüsselungsverfahren, die sich für diesen Einsatzzweck durchaus eignen.

[Update 07.09.2017 14:11]:

Ein Sprecher des Bundeswahlleiters sprach von einem "ernsten Problem", das schon vor Wochen bekannt geworden sei. Der Hersteller habe in der Zwischenzeit etliche Updates der Software nachgeliefert, um Lücken zu schließen. Die Landeswahlleiter seien nun aufgefordert worden, die Übermittlung der korrekten Wahldaten zusätzlich abzusichern. Die Ermittlung des vorläufigen amtlichen Wahlergebnisses sei von den Sicherheitslücken aber nie betroffenen gewesen, weil dort andere Übertragungswege gewählt würden.

Sehen Sie zu diesem Thema auch die Aufzeichnung der aktuellen Folge der #heiseshow mit CCC-Sprecher Linus Neumann:

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Details und Proof-of-Concept-Code zu den von den Sicherheitsforschern entdeckten Lücken finden sich in der Untersuchung des Chaos Computer Clubs. (fab)