Die Wahl-Auswertungssoftware „PC-Wahl“ ist selbst nach ihrem Update vom 13. September nicht sicherer geworden, wie der Chaos Computer Club zeigt. Problematisch: einige Bundesländer nutzen sie, um Wahlergebnisse zwischen verschiedenen Instanzen zu übermitteln.
Wie der Chaos Computer Club (CCC) mitteilt, ist es ihm gelungen die Wahl-Auswertungssoftware „PC-Wahl“ erfolgreich anzugreifen und zu trojanisieren. Das ist besorgniserregend, da der Hersteller sie erst am 13. September mit einem Update versorgte, das enorme Sicherheitslücken schließen sollte. Was ebenfalls nur durch den CCC bekannt wurde.
Problem der Wahlsoftware
Zunächst hatte „PC-Wahl“ keine Funktion integriert, um Software-Updates zu verifizieren. Das bedeutet, jeder Hacker konnte sein „Update“ dem Anwender unterschieben. Zwar sollte dies nach dem neuesten Update Geschichte sein, doch der Hersteller vergaß dabei die Überprüfung der Vertrauenswürdigkeit der Signatur. So gelang es dem CCC als Man-in-the-Middle ein eigenes Update-Paket einzuschleusen. Nun standen dem Hacker wieder Tür und Tor offen, um beispielsweise Wahlergebnisse bei der Übermittlung zum Wahlleiter zu verändern.
Ob die alten Probleme gelöst sind, ist zurzeit unklar. Dazu gehörte etwa, dass die Zugangsdaten für die Server, die zum Upload der Daten dienen, leicht zu erraten oder sogar öffentlich im Netz verfügbar sind. Oder das kein geheimer Schlüssel zum Schutz der Passwörter zum Einsatz kommt.
Hersteller ignoriert etablierte Lösungen
Grundsätzlich macht der Hersteller von „PC-Wahl“ einen altbekannten Fehler. Er versucht das Rad neu zu erfinden. Statt die für kryptografische Sicherung dokumentierten, etablierten und getesteten Verfahren zu verwenden, bastelt er sich eine eigene Lösung. Dabei tritt er in alle Fallen, die kryptographische Verfahren aufweisen.
Würde er die im Betriebssystem und den Bibliotheken bereits vorhandenen Lösungen nutzen, würde ihm ein Teil der Arbeit abgenommen, wie etwa die sichere Umsetzung der Signatur-Prüfung.
CCC spendet an Hersteller
Als „Sachspende“ hat nun der Chaos Computer Club eine Open-Source-Bibliothek namens Walruss bereit gestellt. Sie sorgt für eine sichere Überprüfung der Signaturschlüssel. Ob der Hersteller von „PC-Wahl“ diese Hilfe annimmt? Wahrscheinlich wird er weiter auf seinen fehlerhaften eigenen Verschlüsselungs- und Sicherheitssystem beharren. Die kann er nämlich zu Geld machen. Das ist bei Open-Source-Projekten weniger lukrativ.
Gefahr für Wahl?
Nein, eine Gefahr für die Wahl besteht nicht, da die Software nur zur Ermittlung der vorläufigen Wahlergebnisse dient. Auf das amtliche Endergebnis kann damit kein Einfluss genommen werden. Allerdings können Manipulationen der Ergebnisse zum Vertrauensverlust in die Demokratie beitragen.
[tk]
Bildquelle:
- Technik_Web_Artikelbild: © Victoria - Fotolia.com
