Die IT-Absicherung der Bundestagswahl ist katastrophal

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 32558
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Die IT-Absicherung der Bundestagswahl ist katastrophal

Beitrag von doelf » 07 Sep 2017, 15:11

Der Chaos Computer Club (CCC) hat sich die Auswertungssoftware "PC-Wahl", welche bei der Bundestagswahl am 24. September 2017 zum Einsatz kommen wird, angesehen und kommt zu einem vernichtenden Ergebnis: "Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen".

Dies sind die Worte von Linus Neumann, dem Sprecher des CCC, der auch selbst an der Untersuchung mitgewirkt hat. Nach Einschätzung der deutschen Hacker ist die Software "PC-Wahl", welche in mehreren Bundesländern schon seit Jahrzehnten für die Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes- und Kommunalebene eingesetzt wird, eine einzige Katastrophe. Offenbar blieben selbst elementare Grundsätze der IT-Sicherheit unbeachtet, so dass sich "eine Vielzahl von Schwachstellen und mehrere praktikable Angriffsszenarien" ergeben. Eine Manipulation von Wahlergebnissen, auch über die Grenzen von Wahlkreisen und Bundesländern hinweg, ist demnach möglich und der CCC liefert auch gleich den Beweis in Form einer eigenen Software.

Nach Ansicht des CCC sind drei Angriffsszenarien für die Praxis relevant: Der Upload modifizierter Wahlergebnisse vom einzelnen Wahllokal bis zum Bundesland, der Upload modifizierter Ergebnisse an die statistischen Landesämter sowie eine Manipulation der Software. Der letzte Punkt ist dabei besonders brisant: Da der Update-Mechanismus von "PC-Wahl" fehlerhaft ist und die Absicherung der Update-Server mangelhaft umgesetzt wurde, lässt sich der komplette Auswertungsvorgang übernehmen. Die Software selbst ist unsigniert und erkennt auch nicht, ob sie manipuliert wurde. Den Schwierigkeitsgrad des Angriffs bewertet der CCC als derart trivial, dass die Schwachstellen auch Dritten bekannt sein müssen. Auch Benutzernamen wie gast, test01 und test02 sowie Passwörter wie test, test01 und test02 zeugen von einem Höchstmaß an Dilettantismus.

Deutschland, das Land der Dichter und Denker, will Vorreiter bei der "Industrie 4.0" und der Computersicherheit sein. Tatsächlich zeugt das Programmierniveau der Auswertungssoftware "PC-Wahl" von einem Wissensstand, der offenbar noch aus Goethes Zeiten stammt. Wer wen wählt, entscheidet nicht mehr das Volk, sondern der schnellste Hacker. Dessen schwerste Aufgabe scheint dabei zu sein, das löchrige System abzusichern, damit andere Angreifer seine Manipulationen nicht wieder überschreiben.

Quelle:
https://ccc.de/de/updates/2017/pc-wahl/
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 782
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Die IT-Absicherung der Bundestagswahl ist katastrophal

Beitrag von Mausolos » 08 Sep 2017, 13:39

Spätestens, wenn Mutti diesmal nicht gewinnt, fällt das noch jemand anderem auf. :wink:
Linux :)

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 32558
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Die IT-Absicherung der Bundestagswahl ist katastrophal

Beitrag von doelf » 08 Sep 2017, 13:55

Wenn man manipuliert, dann unauffällig. Die Zahlen müssen immer noch halbwegs realistisch wirken.
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
Mausolos
Special-Forces
Special-Forces
Beiträge: 782
Registriert: 09 Mär 2015, 20:50
Wohnort: Vierländerregion

Re: Die IT-Absicherung der Bundestagswahl ist katastrophal

Beitrag von Mausolos » 10 Sep 2017, 09:49

An anderer Stelle (Deutschlandfunk) wurde dieses Problem der mit dilettantischen Sicherheitslücken durchzogenen Software „PC-Wahl“ unter Berufung auf das Ergebnis des Chaos Computer Clubs ebenfalls besprochen.
Letztlich werden nur Stimmen auf den Wahlzetteln, also auf dem Papier, gerechnet.
Allerdings kann durch Hackerangriffe die anfängliche Hochrechnung manipuliert werden, was einen ziemlichen Wirbel veranstalten kann.
Linux :)

Benutzeravatar
neO
Insider
Insider
Beiträge: 1596
Registriert: 23 Feb 2005, 10:59

Re: Die IT-Absicherung der Bundestagswahl ist katastrophal

Beitrag von neO » 12 Sep 2017, 11:48

Solange sie dann Digital mit einer unsicheren Software übermittelt werden ist die Sicherheit des Papiers wieder dahin.
Hic et nunc et in aeternum:
This world is one!
see you in the world of tomorrow

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 32558
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: Die IT-Absicherung der Bundestagswahl ist katastrophal

Beitrag von doelf » 12 Sep 2017, 14:29

Genau: Das Problem besteht darin, dass kein zweiter Übertragungsweg vorgeschrieben ist.

Papier: Der Wähler füllt den Stimmzettel im Wahllokal aus.
Die Stimmzettel werden ausgewertet und die Zahlen in die Software eingegeben.
Software: Übertragung von den Gemeinden/Stadtteilen an die Städte/Kreise, dann weiter zu den Landeswahlämtern und dann zum Bund.

Nachgezählt wird nur, wenn es Beschwerden gibt oder die Zahlen seltsam sind.

Gruß

Michael
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
neO
Insider
Insider
Beiträge: 1596
Registriert: 23 Feb 2005, 10:59

Re: Die IT-Absicherung der Bundestagswahl ist katastrophal

Beitrag von neO » 20 Sep 2017, 22:17

Und nochmal rasiert:
Dem CCC ist es nach eigenen Angaben gelungen auch das am 13. September bereitgestellte Sicherheits-Update der Wahl-Auswertungssoftware "PC-Wahl" erfolgreich anzugreifen und zu trojanisieren. Wie es scheint, bekommt der Hersteller den Update-Prozess des Programms nicht in den Griff und auch die aktuelle Version weist gravierende Sicherheitsprobleme auf. Die Software wird auch bei der anstehenden Bundestagswahl in einigen Bundesländern eingesetzt, um Wahlergebnisse zwischen verschiedenen Instanzen zu übermitteln.[..]
https://www.heise.de/security/meldung/P ... 35282.html
Hic et nunc et in aeternum:
This world is one!
see you in the world of tomorrow

Antworten