Über unsMediaKontaktImpressum
07. September 2017

Sicherheitslücken in Software für die Bundestagswahl 2017

Heute wurde vom Chaos Computer Club (CCC) eine Analyse einer Software veröffentlicht, die Bundesweit zur Weiterverarbeitung von Wählerstimmen eingesetzt wird. Das Ergebnis offenbart massive Sicherheitslücken, die eine Einflussnahme auf die Wahlergebnisse ermöglichen.

Für die am 24. September 2017 anstehende Bundestagswahl ist die Sorge über potenzielle Hacking-Angriffe bei Politik und Öffentlichkeit groß. Auch wenn Wahlcomputer in einem Urteil des Bundesverfassungsgerichts 2009 für Verfassungswidrig erklärt wurden, so kommt eine technische Einflussnahme auf das Wahlergebnis zumindest bei den späteren Schritten der Wahlerfassung und -auswertung in Frage. Cyberangriffe könnten darauf abzielen, Wahlergebnisse auf dem Übertragungsweg zu manipulieren, falsche Wahlergebnisse einzuschleusen oder die Übermittlung der vorläufigen Wahlergebnisse technisch zu unterbinden. Bei der Software, mit der die Wahldaten gesammelt und weitergeleitet werden, handelt sich um ein Programm namens "PC-Wahl", nach Angaben des Herstellers das meistgenutzte Wahlorganisationssystem in deutschen Verwaltungen.

Im Rahmen der Analyse des CCC wurde unter anderem festgestellt, dass der Server wahlauswertung.de des Herstellers PC-Wahl auf einem Shared Host von 1und1 gehostet wird. Mehrere Skripte waren öffentlich zugänglich und haben unter Eingabe trivialer Zugangsdaten einen Upload von Dateien auf den Server ermöglicht. FTP-Zugangsdaten nebst zugehörigen Entschlüsselungsroutinen waren in einem öffentlich lesbaren ZIP-Archiv zugänglich. Unter den Zugangsdaten für einen VPN-Zugang zum Austausch von Wahlergebnissen wurden wenig kreative Logins wie Nutzer:test, Passwort:test gefunden. Komplettiert werden die Fehler der Software durch fehlende Verschlüsselung und Signatur der übertragenen Ergebnisse sowie mangelhafte Verschlüsselung der Zugangsdaten.

Download vollständiger Bericht - Dort ist auch ein Software-Repository zur Nachvollziehbarkeit der Angriffsszenarien auf GitHub verlinkt.

HH

Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.