In den Niederlanden wurde die Software zur Auszählung von Wahlen wegen Sicherheitsproblemen abgeschafft. Das gleiche Produkt wird auch in Deutschland verwendet – eine Sicherheitsprüfung ist unumgänglich. Wir bitten um Zusendung der Software zum Zwecke der Sicherheitsprüfung.

Wenige Wochen vor den nächsten Wahlen in den Niederlanden hat das dort zuständige Ministerium die Verwendung der bisher für das Zusammenrechnen und die Präsentation der Wahlergebnisse verwendeten Software untersagt. [1] Grund dafür sind die kürzlich von einem Forscher aufgedeckten gravierenden Sicherheitsmängel [2] und die Sorge um Wahlmanipulation durch ausländische Mächte. Schon 2011 wurden erhebliche Sicherheitsprobleme in der damaligen Version der Software aufgedeckt, [3] ohne daß es eine Reaktion gab.

Das gleiche Softwareprodukt wird auch in Deutschland verwendet – in verschiedenen Bundesländern, vom Bundeswahlleiter und vom Statistischen Bundesamt. [4] Mit dem kommerziellen Partner IVU wird die Organisation von Wahlen und das Zusammenzählen der Stimmen mit der Software „IVU.elect“ vorgenommen. Die Software soll „Plausibilitätsprüfungen“ erledigen und alle Prozesse nach Schließung der Wahllokale automatisieren. Auch verschiedene Landesämter für Statistik kooperieren mit dem Anbieter IVU. So wurde „IVU.elect“ in Brandenburg bereits getestet. [5] Leider hat die Software einen erheblichen Nachteil: Die in Deutschland verwendete Version liegt nicht quelloffen vor. Auch Audit-Berichte sind bisher nicht öffentlich zugänglich.

Nachdem – auch durch die jahrelange Arbeit des Chaos Computer Clubs – die Verwendung von Wahlcomputern in Deutschland beendet wurde, rückt nun die für die Wahlauswertung und das Zusammenrechnen verwendete Software ins Zentrum der Risikobetrachtung. Zwar unterliegt durch die reine Papierwahl in Deutschland eine direkte Wahlfälschung einem hohen Entdeckungsrisiko. Eine durch einen digitalen Angriff erzeugte erhebliche Diskrepanz zwischen den Auszählungsergebnissen in den Wahllokalen und den veröffentlichten Resultaten könnte jedoch zu einem Vertrauensverlust und weitverbreiteten Zweifeln an der Integrität der Wahlprozesse führen.

„Egal, wem man so eine Manipulation zutraut: An der Integrität der Wahlen dürfen keinerlei Zweifel aufkommen. Die aufgezeigten digitalen Angriffsmöglichkeiten beeinträchtigen jedoch das Vertrauen in einen korrekten Ablauf der Auszählung“, sagte der Sprecher des CCC, Dirk Engling. „Bis zur Bundestagswahl ist es nicht mehr lange, es ist an der Zeit zu handeln.“

Auch in Deutschland sollte die Wahlsoftware aller Hersteller – nicht nur die von IVU – intensiven öffentlich zugänglichen Sicherheitsanalysen und -tests unterzogen werden. Wir bitten daher Menschen, die Zugriff auf aktuelle Varianten von „IVU.elect“ oder für den gleichen Zweck verwendete Konkurrenzprodukte haben, uns eine Kopie zum Zwecke der Sicherheitsprüfung zu senden. Wir haben dafür die spezielle E-Mailadresse wahlcomputer(at)ccc.de für anonyme Download-Links vorgesehen, [6] nehmen aber auch gern braune Umschläge mit möglichst kleinformatigen Datenträgern entgegen:

Chaos Computer Club Berlin

Postfach 64 02 36

10048 Berlin

Links:

[0] Mы призываем всех пользователей „IVU.elect“, или аналогам от других компаний, используемых на предстоящих федеральных выборах, поделиться с ими для независимого анализа на наличие уязвимостей: pdf

[1] Software in den Niederlanden wird nicht mehr für die nächsten Wahlen verwendet

[2] Blogpost: Sicherheitsanalyse

https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections#more-1166

[3] Masterarbeit aus dem Jahr 2011, die schon Schwachstellen aufzeigte: http://www.ru.nl/publish/pages/769526/m_engberts_scriptie.pdf

[4] Produktbroschüre von IVU.elect (pdf)

[5] Brandenburg: „Software der IVU sorgt für sichere Stimmenauszählung“

http://mb.cision.com/Main/5704/2097775/573101.pdf

[6] GPG-Key für wahlcomputer(at)ccc.de:

Fingerprint 001D 5376 5583 831C 60ED B765 A4FD DABB FA1F 920D

[7] Source von zwei Teilprogrammen der in .nl verwendeten Software

https://www.kiesraad.nl/adviezen-en-publicaties/formulieren/2016/osv/osv-bestanden/osv-broncode-programma-4-en-5-versie-2.17.2