Die Wahl des deutschen Bundestages im Jahr 2017. Ein wichtiges demokratisches Ereignis, wie die letzten 18 auch, dürfen doch die deutschen über die Legislative der Bundesrepublik entscheiden. Eine Demonstration der Macht des Volkes aber auch eine Demonstration der Fähigkeiten des Staates. Letzteres geht beim Punkt IT-Sicherheit gerade negativ durch die Schlagzeilen, und das Zurecht!

Realisierte IT- und Daten Sicherheit von PC Wahl als Antipattern

Mein 6 jähriger Sohn hat für sich gerade den Spaß der umgedrehten Aussagen entdeckt und ärgert damit seine kleinere Schwester, die das ganze noch nicht ganz versteht. Eines seiner Späßchen ist zum Beispiel die Aussage "ich nehme dir deine Puppe niemals weg" obwohl er das vorhat, wir Eltern haben dies "als Experten" natürlich schon lange durchschaut, nur die Schwester noch nicht und schreit jedes mal wie am Spieß.

So ähnlich wie bei meinem Großen habe ich mich auch bei der Lektüre der ganzen Artikel über die fehlenden Sicherheitsmechanismen der Wahl Auswertungssoftware "PC Wahl" gefühlt. Die wichtigst Aussage an alle Softwarehersteller vorweg:

Wenn ihr nicht wisst wie Ihr zumindest einen Grundschutz eurer Software realisiert. Nehmt den Bericht des CCC - PC Wahl Bericht des CCC und dreht ihn um so wie mein Sohn das macht, wendet es also als Antipattern an. Dann habt ihr schon mal eine gute Ausgangslage.

Was ist passiert?

Nach einem erstehn Resume mal zum Anfang, was ist eigentlich passiert?

Die Organisation und Auswertung einer Wahl sind anspruchsvoll und sehr zeitraubend, jeder der schonmal die Wahl eines Klassensprechers mitgemacht hat kennt das. Nicht jeder versteht es richtig, man muss aufpassen das niemand mehr Stimmen abgibt als er darf, man verzählt sich gerne mal, die Übermittlung der Anzahl der Stimmen klappt nicht weil die halbe Klasse nebenher mit was anderem beschäftigt ist und so weiter und so fort. Wie ist es dann erst wenn theoretisch 61,5 Mio Menschen zur Wahl kommen könnten. Schätzung Wahlberechtigter in Deutschland Quelle: Bundeswahlleiter

Es ist also unvermeidlich, dass die Organisatoren zu digitalen Hilfemitteln greifen um sich die Arbeit zu erleichtern. Hierzu existieren unterschiedliche Softwarelösungen auf dem Markt von den sich die Software "PC Wahl" des Herstellers Vote IT durchgesetzt hat. Da in Deutschland jedoch der Einsatz von Wahlcomputern bei der Stimmabgabe nicht gestattet ist, Leitsätze zum Urteil des Zweiten Senats vom 3. März 2009 - 2 BvC 3/07, 2 BvC 4/07 - , beschränkt sich der Einsatz der Software auf die Auswertung der Wahlergebnisse.

Da neben der direkten Erfassung auch die Auswertung der Stimmen einen kritischen Schritt darstellt hat sich der der Chaos Computer Club (CCC) der Analyse der eingesetzten Software angenommen. Mit katastrophalen Ergebnissen.

Persönliche Meinung zu einigen Details der Untersuchung des CCC

Nachfolgend findet Ihr einen kleinen ausgewählten, Ausschnitt meiner persönlichen Meinungen zu ausgewählten Bereichen des Berichts.

Security by Obscurity

Ehrlich gesagt war es der größte Schock für mich die Überschrift "Security by Obscurity", und die knappen Ausführungen, auf der dritten Seite des Berichts zu lesen. Das Prinzip der vermeidliche Gewährleistung der Sicherheit durch Verschleierung der Informationen über eingesetzte Sicherheitsmethoden ist bereits so lange verpönt wie es die Kryptographie gibt. Jeder der auch nur ein Basiswissen über Verschlüsselungsmethoden mitbringt kann dies im Schlaf begründen.

Nutzung globaler, fest programmierter Schlüsseln

Den nächste Moment, an dem ich unweigerlich mein Kopf schütteln musste und die Kapitel immer und immer wieder ungläubig lesen musste, in der Hoffnung irgendwo ein Körnchen Ironie oder einen verpassten Nebensatz zu finden, stellt sich bereits auf Seite 6 ein. Die Überschrift "Manipulation der Software" und damit einhergehend Kapitel "Ent- und „Verschlüsselung“ von Software-Updates" auf Seite 18. Dabei bekam nicht die fehlende Signatur, obwohl diese Möglicherweise zur Lösung des Problems beitragen könnte, meine Aufmerksamkeit sondern der Absatz

"Der zum „Entschlüsseln“ notwendige Schlüssel ist fester Bestandteil der vom Anbieter ausgelieferten Update-Funktion und somit für alle PC Wahl-Anwender identisch. [...] .Unter Einsatz des mit der Software ausgelieferten Schlüssels lassen sich Update-Pakete nicht nur entpacken und entschlüsseln. Vielmehr können damit auch eigene, beliebig manipulierte Update-Pakete erstellt und verschlüsselt werden."

Die Möglichkeit der Verschlüsselung und die Aussage über identische Schlüssel deutet für mich auf die Verwendung globaler, möglicherweise symmetrischer, Schlüssel die fest im Quellcode abgelegt und somit nicht wirklich austauschbar sind. Dies führt dazu das ein erbeutetet Schlüssel dazu genutzt werden kann beliebige Installationen zu kompromittieren Was übrigens auch den Ansatz "Security by Obscurity" erklären würde.

Mögliche Auswirkungen

Aufgrund der Tatsache, das Wahlcomputer in Deutschland keinen Einsatz finden und somit eine unverfälschte Stimmabgabe immer noch gewährleistet werden kann, wird das Thema seitens der Bundesregierung bzw. bewusst aus den Medien rausgehalten. Es wird auf Bundesebene zwar von ernsten und kritischen Probleme gesprochen, eine ernst gemeinte Handlung ist jedoch nicht zu erkennen. Auf Landesebenen wird das Thema gar heruntergespielt wie z.b. Heise berichtet oder der Ansatz "Security by Obscurity" weiterverfolgt (Heise).

Angeblich hat auch der Hersteller Vote IT mittlerweile eine verbesserte Version der Software ausgeliefert, allerdings werden weder seitens des Herstellers noch seitens der Bundesregierung hierzu keine Details genannt, zumindest nicht dem CCC. Laut N-TV haben mittlerweile auch die Grünen eine Anfrage bzgl. der Sicherheit der PC Wahl Software gestellt (NTV).

Mögliche Angriffsszenarien hier hat bereits der CCC thematisiert, weshalb ich an dieser Stelle darauf verweisen möchte.

Update 24. September 2017

Nicht weil heute Wahlen sind, sondern um das Verständnis zu erhöhen und die Problematik bei dem Thema zu verdeutlichen, möchte ich mit euch ein Interview, welches Heise mit Linus Neumann vom CCC geführt haben, teilen. Linus erklärt hier in einfachen worten und sehr verständlich wie einfach es für Ihn und seine mitstreitern war an Daten zu kommen und die Möglichkeit zu haben diese zu manipulieren.

Also ich persönlich würde in einem solchen Fall noch nicht einmal von einem "Hack" sprechen. Um gehacked zu werden sollte man zumindest mal ein Mindestmaß an sicherheitsmaßnahmen installieren die ein "Hacker" überwinden muss. Im Fall von PC- Wahl und der Wahlorganisation in Hessen kann man nicht davon sprechen.

Hier noch der Link zu dem Artikel der Heiseshow

Zusammenfassung

Als Fachmann ist es schmerzhaft anzuschauen wir lasch unsere Bundesregierung mit dem Thema IT-Sicherheit umgeht. Wenn man ganz weit ausholen und Verschwörungstheorien befeuern möchte, würde ich hier fast Gleichgültigkeit gegenüber dem Wahlausgang vorwerfen aus Gründen die sich jeder selbst zusammenstellen darf. Bleibt man allerdings bei einer ernsten Betrachtung der Thematik und bezieht auch den Aspekt der Legislative, als der Gesetzgebung, mit ein dann wird das Bild immer düsterer.

Aus meiner Sicht ist die Gesetzgebung gut mit dem Anforderungsmanagement bei der Produktentwicklung zu vergleichen. Es werden Anforderungen (Gesetze) die jeder der in Deutschland leben möchte befolgen muss. Sind diese zu generisch, lassen sie Zuviel Interpretationsspielraum und sind somit unbrauchbar, sind sie zu spezifisch dann fokussieren Sie lediglich eine Nische und können somit leicht umgangen werden. Wenn dieser Gesetzgeber, der selbstverständlich auch die Gesetzgebung zum Thema Datensicherheit, IT-Sicherheit in der Hand hat, keinerlei "Security" Kompetenzen und Bewusstsein bei der Spezifizierung einer, im Vergleich zur Gesetzgebung, einfachen Software hat. Wie soll man dann dieser Regierung bei der Gestaltung der genannten Gesetze Vertrauen.

Allerdings viel schwerer als die fehlende Kompetenz bei der Spezifizierung wiegt meiner Meinung nach die Art des Umgangs mit dem Problem. Anstatt offen die Probleme anzusprechen und aktiv nach Lösungen zu suchen, wird vielmehr der Ansatz "Security by Obscurity" verfolgt und die Wähler für unfähig verkauft die Problematik zu verstehen.

Next Post Previous Post