Anzeige
Tech

Eine Einladung für Hacker: Drei Dummheiten, die unsere Wahl gefährden

Sicherheitsbehörden befürchten seit Monaten, Hacker könnten die Wahl durch Leaks manipulieren. Der Zufallsfund eines IT-Studenten zeigt jetzt: Die größere Gefahr liegt vermutlich ganz woanders.

von Daniel Mützel und Theresa Locker
07 September 2017, 12:46pm

In Deutschland wird per Stift gewählt, Wahlhelfer zählen die Stimmen anschließend per Hand aus. So weit, so analog. Doch danach reisen die Kreuze vom Wahllokal zum Wahlleiter, der die Ergebnisse an das statistische Bundesamt meldet – und zwar auf digitalem Weg.

Nun wird bekannt: In der Wahlsoftware, die die Wählerstimmen digital übermittelt, könnte die eigentliche Gefahr für einen Hackerangriff auf die deutsche Bundestagswahl liegen.

Wie der Chaos Computer Club (CCC) und der Informatiker Martin Tschirsich in einer heute veröffentlichten Analyse zeigen, ist die Software namens PC-Wahl nämlich geradezu fahrlässig unsicher: Das Programm bietet zahlreiche Angriffsflächen für Hacker, den Wahlprozess zu stören und das Abstimmungsergebnis zu manipulieren.

Laut einer Recherche der Zeit, die zuerst darüber berichtete, hatte Tschirsich die Sicherheitslücken auf eigene Faust entdeckt. Um sich Zugang zu dem Quellcode des Programms zu verschaffen, das die Stimmabgaben des Großteils der deutschen Wähler übermittelt, reichte dem 29-Jährigen eine einfache Google-Suche.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Die Software PC-Wahl, deren Webseite einen eher besorgniserregenden 90ies-Charme versprüht, hat gleich mehrere gravierende Schwachstellen, wie Tschirsich und der CCC überprüft haben. Diese sind die drei wichtigsten:

1. Das Passwort ist ein schlechter Witz und liegt ungeschützt im Netz herum

Die erste grobe Schwachstelle findet Informatiker Tschirsich, als er versucht, an den Quellcode von PC-Wahl zu gelangen, um zu verstehen, wie die Software genau funktioniert. Der interne Bereich der Hersteller-Webseite, wo man die Software herunterladen kann, ist zwar durch ein Passwort gesichert, doch liegen die Zugangsdaten, wie Tschirsich feststellt, ungeschützt im Internet: Er findet sie auf der Webseite eines Vertriebspartners von PC-Wahl, ekom21, laut Selbstbeschreibung die "Zukunft der Verwaltung".

Die hessische IT-Firma, die PC-Wahl unter anderem an Kommunen verkauft, stellt auf ihrer Webseite eine Bedienungsanleitung für das Programm zur Verfügung, wo sich praktischerweise gleich das Kennwort für den internen Bereich von PC-Wahl befindet, wie Tschirsich bemerkt. Es lautet "pcwkunde"; der Nutzername ist "service". Abgesehen davon, dass man nie ein Kennwort ungeschützt ins Netz stellen sollte, bricht das Passwort konsequent sämtliche allgemein akzeptierten Passwortregeln und Sicherheitsstandards.

Mit den privaten Zugangsdaten bewaffnet, lädt sich der Informatik-Student im nächsten Teile von PC-Wahl herunter und kann so zum Innersten der Software vorstoßen: dem Quellcode. Am Codegerippe von PC-Wahl kann Tschirsich studieren, welche Schwachstellen die Software hat, und welche Angriffsflächen sie bietet. Es dauert nicht lange, und er stößt auf die nächste große Sicherheitslücke des Programms.

2. Die Dateien, die die Auszählungsergebnisse enthalten, sind leicht zu hacken

Sobald die Wahlhelfer in den Wahllokalen die Stimmen addiert haben, wird auch das deutsche Wahlsystem digital und damit hackbar. Die Ergebnisse der manuellen Stimmauszählung werden im Programm PC-Wahl in Tabellen eingetragen und in den entsprechenden Spalten auf die jeweiligen Kandidaten verteilt. Die Summen werden in eine neue Datei geschrieben, die am Ende an den Wahlleiter via Upload auf der Server gehen.

Das Problem: Die verschickte Datei ist völlig ungeschützt. Weder enthält sie digitale Signaturen noch eine andere kryptografische Authentifizierung. Was beim Wahlleiter als Datei ankommt, könnte dieser also gar nicht verifizieren. Denn der digitale Weg über den Upload der Datei auf dem Server bietet genügend Angriffsflächen für so genannte Man-in-the-Middle-Attacken, bei der sich ein Angreifer zwischen zwei Kommunikationspunkten einhackt und Informationspakete ausliest oder verändert.

Mit der veralteten Software von PC-Wahl wäre es laut CCC-Bericht also durchaus möglich, die Tabellendatei mit den abgezählten Stimmen auszulesen und zu manipulieren. Der Wahlleiter hätte auf diesem Weg keine Möglichkeit, zu überprüfen, ob die Ergebnisse gefälscht wurden oder nicht.

3. Gemeinden kann eine manipulierte Wahlsoftware-Version untergejubelt werden

Jede Gemeinde, die die PC-Wahl bereits benutzt, braucht laut Wahlerlass 2017 ein Update der Software mit den richtigen Vordrucken für die Bundestagswahl im September. Die Gemeinden laden sich die aktuelle Version aber nicht direkt von der Website, sondern von einem FTP-Server herunter. Das Passwort für diesen Server ist dabei nicht nur genauso lächerlich einfach ("ftp,wahl") wie das für den internen Bereich von PC-Wahl – es ist ebenfalls nach einer kurzen Google-Suche im Netz auffindbar.

Wer das Passwort kennt, kann die Dateien auf dem FTP-Server beliebig hoch- und runterladen. Die Original-Dateien sind zwar verschlüsselt, aber nicht schwer zu knacken, wie der CCC beweist. Man könnte also eine infizierte, manipulierte Version des Software-Updates auf den Server laden, die sich mehrere Gemeinden downloaden. Durch solche manipulierten Datei könnten die Wahlergebnisse bei der digitalen Erfassung flächendeckend verfälscht werden, nachdem die Wahllokale geschlossen wurden.

Es ist genau jene Methode, mit der die ukrainische Steuersoftware MeDoc zur zentralen Virenschleuder für die Ransomware Petya/NotPetya missbraucht wurde. Hier schleusten die Angreifer manipulierte Versionen einer Programmbibliothek auf einen Server, welche sich nichtsahnende Mitarbeiter über die MeDoc-Updatefunktion auf den Rechner luden und damit die Erpressersoftware verteilten.

Durch die schlechte Absicherung des Upload-Servers braucht man, so betont der CCC, keine besonders raffinierten Fähigkeiten, um die erfassten Ergebnisse von PC-Wahl manipulieren zu können. In einer Demo auf GitHub zeigen der CCC und Tschirsich, wie man selbst eine Update-Datei erstellen kann, die auf dem Server platziert werden kann.

CCC: Nicht das richtige Jahrtausend, um in Sachen IT-Sicherheit bei Wahlen ein Auge zuzudrücken

Um diesem Problem beizukommen, ist eine "vollständige Signaturkette" nötig, wie Linus Neumann in einem Facebook Live zum Thema gegenüber Heise erklärte: Sowohl der Empfänger als auch der Übermittler müssen sich gegenseitig bei jeder Übertragung sicher ausweisen können.

Neumann betont, es sei zwar sehr unwahrscheinlich, dass ein in die Software eingeschleustes manipuliertes Wahlergebnis tatsächlich auch nach der Wahl unerkannt bleibt: die Wahlhelfer haben ja das ausgezählte Ergebnis, das sie mit dem vorläufigen Endergebnis abgleichen können. Doch schon allein ein Zweifel an der Auszählung oder einer möglichen Manipulation wäre Gift für das politische Klima und das Vertrauen in die demokratischen Institutionen.

Als CCC-Sprecher fasst es Neumann auf dem Blog des Chaos Computer Clubs so zusammen: „Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken."