von Dennis Lenz •
Seit der Entdeckung der Sicherheitslücken in der Auswertungssoftware für die Bundestagswahl 2017 durch den Chaos Computer Club (CCC) versucht der Hersteller der Software die Lücken zu schließen. Mit den Ergebnissen ist der CCC jedoch nicht zufrieden und liefert nun selbst ein Update.
Die lang bekannten Sicherheitslücken in der Wahl-Software sorgen beim Chaos Computer Club offenbar für so viel Frust, dass diese nun selbst ein als Open-Source-Spende deklariertes Sicherheitsupdate anbieten. Aber auch dies schließt längst nicht alle Sicherheitslücken in der Wahl-Software, sondern nur die Gröbsten. Im Detail geht es um den Einbau einer digitalen Signatur, die von selbst prüft, ob sowohl die Updates in der Software als auch die Dateien mit den Wahldaten authentisch sind.
Eines der Hauptschwachstellen der ursprünglichen Version war, dass die alte Version nicht überprüfte, ob es sich bei Updates auch um authentische Updates handelte. So müssen beispielsweise Gemeinden regelmäßig Updates installieren, um etwa die aktuellen Wahllisten zu erhalten. Hier bestand die Möglichkeit für potenzielle Angreifer, manipulierten Code einzuschleusen.
Der Hersteller der Software hat zwar am 13. September ein Update mit einer digitalen Signatur implementiert, diese sei laut dem CCC jedoch mangelhaft. Mit der neunen Version muss der Nutzer von Hand prüfen, ob ein Update auch wirklich signiert ist. Zudem existieren weiterhin Lücken, die Hacker ausnutzen könnten. So ist es dem Chaos Computer Club beispielsweise wenigen Stunden nach dem Update gelungen, erneut manipulierten Code per Software-Update in das System einzuschleusen.
Das Update hat an der Empfehlung des CCC nichts geändert. Aus diesem Grund hat der Chaos Computer Club nun eigenständig ein erstes Sicherheitsupdate entwickelt und zur Verfügung gestellt. Der CCC-Sprecher Linus Neumann kommentiert: „Resigniert stellen wir nun fest, dass es dem Hersteller nicht nur am Willen, sondern an Kompetenz und inzwischen auch an der notwendigen Zeit fehlt, seine Probleme nachhaltig in den Griff zu bekommen.“
Zwar ist die Software nicht die Einzige, die bei der Auszählung und Übermittlung der Stimmergebnisse zum Einsatz kommen, jedoch diejenige, die am weitesten verbreitet ist. Erste Landeswahlleiter haben bereits reagiert und Wahllokale aufgefordert, doppelt von Hand zu prüfen ob die übermittelten Ergebnisse auch mit den realen übereinstimmen.
Wie vor einigen Tagen bekannt wurde, wussten die Behörden schon mindestens seit März von den Sicherheitslücken. Es sollen auch Reformen folgen – aber erst in der nächsten Legislaturperiode. So soll in Zukunft nur noch Software zum Einsatz kommen, die vom BSI zertifiziert wurde.
Der Chaos Computer Club geht aber noch einen Schritt weiter und fordert: „Von öffentlicher Hand bezahlte Software soll künftig auch öffentlich einsehbar und überprüfbar sein – insbesondere bei der Wahlauswertung, aber auch darüber hinaus.