Sicherheitslücken bei Software PC-Wahl Chaos Computer Club bietet Hersteller Hilfe an

Hacker des Chaos Computer Clubs zerlegten vor Kurzem eine Software, die bei der Bundestagswahl zum Einsatz kommen soll. Jetzt wollen die Hacker dem Hersteller helfen, die gravierendste Lücke zu schließen - auf ihre Art.

Website zu PC-Wahl

Website zu PC-Wahl


Der Chaos Computer Club (CCC) hat sich laut eigener Wortwahl entschieden, kurz vor der Bundestagswahl digital Erste Hilfe zu leisten. Der Patient, der in diesem Fall - um im Bild zu bleiben - wohl Opfer und Unfall zugleich ist, ist die Software PC-Wahl, die bei der Bundestagswahl in einigen Teilen Deutschlands beim Zusammenzählen der Stimmen zum Einsatz kommen soll.

Die Software steht seit vorletztem Donnerstag öffentlich massiv in der Kritik, weil der Informatiker Martin Tschirsich und Hacker des CCC darin gravierende Sicherheitslücken entdeckt hatten. Der CCC hatte sich im Auftrag der "Zeit" mit dem Programm beschäftigt.

"Wir haben viel Bedenkliches gefunden", schrieb Thorsten Schröder, einer der beteiligten Computerexperten, am 7. September in einem Gastbeitrag für SPIEGEL ONLINE. "Es wurden grundlegende Sicherheitsregeln missachtet. Wir stießen auf schwache Passwörter, selbst ausgedachte Kryptografie und den Versuch, Sicherheit durch Geheimhaltung von Algorithmen herzustellen. Alles Themen, die man in der IT als Anfängerfehler bezeichnen könnte."

Nachhilfe per Software-Vorlage

Der Hersteller von PC-Wahl hatte versucht, die angesprochenen Probleme zu lösen, und mehrere Updates für sein Programm zur Verfügung gestellt. Nur: Laut dem CCC halfen auch insgesamt drei Behebungsversuche des Herstellers nicht, zumindest die angeblich größte Lücke der Software wirksam zu schließen.

Der CCC hat daher nun öffentlich eine "Open-Source-Spende" angekündigt. Der Club hat Beispiel-Code dafür veröffentlicht, wie sich das Einspielen manipulierter Updates bei PC-Wahl - und theoretisch auch bei anderen ähnlichen Programmen - verhindern lassen soll.

"In einem öffentlichen Software-Repository stellt der CCC eine funktionierende Möglichkeit zur digitalen Signatur von 'PC-Wahl'-Updates und Wahlergebnisdateien sowie zu deren automatischer Prüfung bereit", heißt es. Man könnte auch sagen: Der Club führt den PC-Wahl-Hersteller vor, indem er ihm vor den Augen der Öffentlichkeit erklärt, wie man das Programm längst hätte anpassen können.

Zusätzlich zu seinem Vorschlag für einen Schutzmechanismus hat der CCC einen aktualisierten technischen Bericht veröffentlicht, in dem auch neue Fehler dokumentiert wurden. "Neue Empfehlungen zur Behebung der Schwachstellen kommen darin allerdings nicht vor", heißt es dazu, "es bleiben die alten Empfehlungen, welche bisher nicht oder nur unzureichend umgesetzt wurden."

CCC-Sprecher Linus Neumann sagt, man habe festgestellt, "dass es dem Hersteller nicht nur am Willen, sondern an Kompetenz und inzwischen auch an der notwendigen Zeit fehlt, seine Probleme nachhaltig in den Griff zu bekommen". Daher spende man nun einen für PC-Wahl einfach zu übernehmenden Mechanismus für signierte Updates, "als Open-Source-Software, wie es sich für hochkritische Wahlsoftware gehören sollte".

Unklar, ob der Hersteller die Hilfe annimmt

Ob der Hersteller von PC-Wahl den Vorschlag des CCC praktisch auch annehmen wird, ist noch nicht abzusehen. SPIEGEL ONLINE hat eine entsprechende Nachfrage an die Firma geschickt.

Für das Vertrauen der Bürger in die Wahl jedenfalls wäre eine Zusammenarbeit von CCC und dem PC-Wahl wohl hilfreich. Sollten die Probleme bei PC-Wahl nämlich weiterbestehen, könnten unter Umständen die vorläufigen Wahlergebnisse durcheinander gebracht werden, es würde Verunsicherung gestreut. Die finalen amtlichen Endergebnisse der Bundestagswahl gelten hingegen als verlässlich.


Wir haben die Landeswahlleiter der 16 Bundesländer und den Bundeswahlleiter angefragt, an welchen Stellen dieser Wahlstimmen-Staffel welche Software zum Einsatz kommt. Alle Angefragten haben dem SPIEGEL ausführlich geantwortet und versucht, einen bestmöglichen Überblick zu geben.

Die untere Deutschlandkarte fasst die wichtigsten Erkenntnisse für jedes Bundesland zusammen - klicken Sie auf die Bundesländer für mehr Informationen:



mbö



insgesamt 59 Beiträge
Alle Kommentare öffnen
Seite 1
Septic 19.09.2017
1. Ich hoffe, dass der Hersteller kooperiert
Wir leben in einer Zeit in der Russland und China massiv in Wahlen per Cyberattacken und Bots eingreifen und manipulierend arbeiten. Die Computersicherheit ist wichtig als sie jemals in der Geschichte war. Der Hersteller er Software sollte auf jeden Fall jede Art von Hilfe annehmen. Es geht hier im das Wohl von Deutschland und nicht um das Ego von gekränkten Sicherheitssoftwareprogrammierern.
Bueckstueck 19.09.2017
2. Andere Fragen:
Die Fragen sind zwar jetzt nicht so wichtig aber für künftige Wahlveranstaltungen schon. Wie kam es eigentlich dazu, dass dieses Stück Software von der zuständigen Behörde ausgewählt wurde? Gab es da eine Ausschreibung und der billigste Anbieter hat gewonnen? Wird kritische Software wie diese grundsätzlich nicht unabhängig geprüft bevor sie zum Einsatz kommt und warum nicht?
Pixopax 19.09.2017
3. Soll ein Witz sein?
Ein paar Tage vor der Wahl soll die offizielle Software durch ein Hack einer Hackergruppe ergänzt werden? Wer würde so etwas ernsthaft in Erwägung ziehen? Dazu kommt noch, dass es wohl kaum Leute an den entscheidenden Stellen gibt die das nutzen können, denn man muss erst einmal das Technikspeak der Hackerjungs verstehen: " Hierzu muss ein RSA-Schlüsselpaar generiert werden, wie es die Dokumentation des RSACryptoServiceProvider beschreibt. Auf Seiten der Update-Routine kann der Public Key hart-kodiert werden. Dies kommt einem Certificate-Pinning gleich. Nach dem Herunterladen des Update-Paket wird automatisch geprüft, ob die RSA-PSS Signatur des Pakets mit dem hart-kodierten öffentlichen Schlüssel verifiziert werden kann." Alles klar? Dann muss man noch mal eben den Code mit Visual Studio compilieren, ist ja ein Klacks...wenn man weiß was damit gemeint ist. Das ganze ist sicher nett gemeint, aber wohl kaum bis zur Wahl umsetzbar.
selbst_denkend 19.09.2017
4. Adäquate 'Hilfe' gibt es längst!
Liebe Spiegel-Redaktion, seit Jahren am Markt verfügbar und hinreichend getestet: Change Management Lösungen/ (File) Integrity Management Lösungen. Mit dem Einsatz einer solchen Lösung ist sofort nachvollziehbar wer, wann, was, wie geändert, hinzugefügt, oder gelöscht hat... und kann in den Ursprungs-/ Sollzustand zurückgesetzt werden. Solange (nicht nur) bei staatlichen Beschaffungen der Hauptfokus auf dem vermeintlich günstigsten Anbieter, oder auf möglichst 'hippen' Themen wie 'AI' liegt, ohne vorher die fundamentalen, teilweise arbeitsintensiven, aber eben wenig reizvollen, jedoch notwendigen (IT-) sicherheitstechnischen Grundlagen umgesetzt zu haben (s. 20 Critical Security Steps, SANS Institut) werden wir immer wieder mit solchen und ähnlichen sicherheitsrelevanten Vorkommnissen konfrontiert werden.
Zaunsfeld 19.09.2017
5.
Zitat von PixopaxEin paar Tage vor der Wahl soll die offizielle Software durch ein Hack einer Hackergruppe ergänzt werden? Wer würde so etwas ernsthaft in Erwägung ziehen? Dazu kommt noch, dass es wohl kaum Leute an den entscheidenden Stellen gibt die das nutzen können, denn man muss erst einmal das Technikspeak der Hackerjungs verstehen: " Hierzu muss ein RSA-Schlüsselpaar generiert werden, wie es die Dokumentation des RSACryptoServiceProvider beschreibt. Auf Seiten der Update-Routine kann der Public Key hart-kodiert werden. Dies kommt einem Certificate-Pinning gleich. Nach dem Herunterladen des Update-Paket wird automatisch geprüft, ob die RSA-PSS Signatur des Pakets mit dem hart-kodierten öffentlichen Schlüssel verifiziert werden kann." Alles klar? Dann muss man noch mal eben den Code mit Visual Studio compilieren, ist ja ein Klacks...wenn man weiß was damit gemeint ist. Das ganze ist sicher nett gemeint, aber wohl kaum bis zur Wahl umsetzbar.
1. Man sollte ja wohl annehmen, dass die Programmierer der Software als Programmierer irgendwas von Verschlüsselung, Update-Routinen usw. verstehen und demzufolge auch den "Technikspeak der Hackerjungs", wie Sie es nennen, verstehen, oder? 2. Und den Code mit "Visual Studion compilieren"? Soll ich mal ganz laut lachen? :-) :-) :-)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.