Schwere Sicherheitslücken in bayerischer Wahlsoftware

CCC-Vortrag
Der Anbieter der betroffenen Software hat bereits Updates angekündigt. (Screenshot: Posteo)

In einer in Bayern eingesetzten Wahlsoftware stecken gleich mehrere Sicherheitslücken. Die IT-Sicherheitsforscher Johannes Obermaier und Tobias Madl hatten die Software untersucht, nachdem sie bei den bayerischen Kommunalwahlen als Wahlhelfer vor Ort waren. Ihr Ergebnis: Angreifer hätten die Wahlen aufgrund der Sicherheitslücken manipulieren können. Ihre Erkenntnisse haben Obermaier und Madl in ihrem Vortrag “Hacking German Elections” auf dem Online-Kongress des Chaos Computer Clubs (CCC) vorgestellt.

Die Kommunalwahlen im März beschreiben die Experten als äußerst komplex: Wählerinnen und Wähler konnten insgesamt 70 Stimmen für 599 Kandidaten und 9 Parteien abgeben – dabei waren bis zu drei Stimmen pro Kandidatin oder Kandidat möglich. Um die Stimmen auszuzählen, kam eine Software der Firma Vote.IT zum Einsatz. Sie wird unter dem Namen “OK.VOTE” von der Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) vertrieben.

Wahlsoftware auf Schulcomputern

In den Wahllokalen ist oft keine sichere IT-Umgebung gewährleistet: Obermaier und Madl berichten, dass die Software in ihrem Wahllokal einfach auf einem Grundschulcomputer installiert worden sei. Solche Computer könnten aber bereits mit Schadsoftware infiziert sein, warnen die Sicherheitsforscher. Die AKDB empfiehlt zwar, “OK.VOTE” auf sicheren Behördencomputern zu nutzen; es gebe jedoch nicht genügend solcher Systeme, so Obermaier in dem Vortrag.

Tatsächlich mussten die Experten für den ersten möglichen Angriff keine Sicherheitslücken in der Software finden: Nach der Auszählung brachte ein einzelner Wahlhelfer das Ergebnis des Wahllokals auf einem USB-Stick in die Zentrale. Die gespeicherten Ergebnisse waren weder verschlüsselt, noch kryptografisch signiert und hätten sich laut den Sicherheitsforschern einfach manipulieren lassen.

Auch die Software selbst wies gleich mehrere eklatante Sicherheitsmängel auf: Ihr fehlte eine Zugriffskontrolle, sodass die Experten einfach Administrator-Funktionen aufrufen konnten. Mit diesen hätten sich sämtliche Stimmen löschen und neue Auszählungen anlegen lassen.

Angriff über präparierte Webseiten

Angreifer hätten die Wahlergebnisse auch leicht über eine manipulierte Webseite fälschen können. Auf diesem Wege wäre das Einspeisen gefälschter Stimmzettel in die Software möglich gewesen. Zudem löscht die Software überschüssige Stimmen einfach, anstatt eine Warnung anzuzeigen: So hätten Wahlhelfer bei einem potenziellen Angriff nichts bemerkt.

Den Sicherheitsforschern gelang es außerdem, die Zugangsdaten für die verwendete Datenbank abzufangen. Auch der lokale Server war angreifbar: Über einen Computer im Netzwerk hätte sich das gesamte Wahlsystem übernehmen lassen.

Anzeichen dafür, dass diese Sicherheitslücken tatsächlich ausgenutzt wurden, gibt es nicht. Allerdings gaben die Experten zu bedenken, dass sie nur in einem Wahllokal geholfen haben. Zudem werden die Ergebnisse aus den einzelnen Wahllokalen in eine andere Software übertragen. Wie diese funktioniert – und ob sie ebenfalls Sicherheitslücken aufweist, ist unklar. Die AKDB habe sich sehr professionell verhalten, nachdem die Forscher sie über die Probleme informiert hatten. Updates, die die Sicherheitslücken schließen, wurden gegenüber den Experten bereits angekündigt.

Obermaier und Madl fordern aber mehr als Updates: Es müsse Gesetze geben, die den Einsatz von Software bei Wahlen regulieren. Denn derzeit sei der Einsatz einer solch fehlerhaften Software zumindest in Bayern vollkommen legal. Idealerweise käme Open-Source-Software zum Einsatz, die von unabhängigen Sicherheitsforschern geprüft werden könne. Letztlich aber blieben Zettel sicherer als eine Wahlsoftware. Der Chaos Computer Club hatte bereits 2017 Schwachstellen in einer bei der Bundestagswahl eingesetzten Software nachgewiesen. (js)