Awareness

Wahl-Auswertungssoftware mit großen Sicherheitsproblemen!

Aktualisiert am

Kurz vor der Wahl in den USA werden Sicherheitsprobleme einer Wahl-Auswertungssoftware in der Schweiz öffentlich. Mehrere Kantone benutzen veraltete und angreifbare Software und lassen durchblicken, dass IT-Sicherheit in den vergangenen Jahren kein großes Thema waren. IT-Sicherheitsexperten haben sich zusammen mit dem Schweizer Online-Magazin Republik die verwendete Software einmal näher angesehen.

Sicherheitsprobleme in Wahl-Auswertungssoftware

Das Online-Magazin Republik veröffentlichte Ende September einen Bericht, der die Forschungsergebnisse von zwei Forscherteams der ETH und Universität Zürich zeigen. Grund für diese Forschung waren die Debatten bezüglich der Sicherheitsbedenken bei dem E-Voting. Aufgrund dieser Bedenken wurde das E-Voting Verfahren in der Vergangenheit nicht durchgeführt. Da dieses Verfahren bereits einmal auf Eis gelegt wurde, sind die Forscher von einem klassischen Briefwahl-Verfahren ausgegangen.

Im Rahmen der Forschung sind viele verschiedene Sicherheitslücken aufgetaucht, diese sind durch klassische Fehlkonfigurationen in der Software vorhanden. Aber auch öffentliche Sicherheitsprüfungen wurden in vielen Kantonen nicht durchgeführt, sodass bspw. “Man in the middle”-Angriffe möglich sind.

Sicherheitsprobleme in Wahlsoftware ist nicht das erste Mal öffentlich geworden. Im Jahr 2017 konnten in der Wahl-Auswertungssoftware des Anbieters Vote IT in Deutschland viele Sicherheitslücken aufgedeckt werden.

Das zweite Forscherteam der Uni Zürich befasste sich mit einzelnen Softwaresystemen der verschiedenen Kantonen. Bei vielen dieser Systeme konnten gravierende Sicherheitsmängel festgestellt werden und das obwohl die Schnittstellen, an denen getestet werden können, nur in sehr geringer Anzahl vorhanden waren. Ein Angriff der in einem System möglich war lies es jedem Benutzer zu, der das Passwort kennt, sämtliche Einträge in der Datenbank zu manipulieren, kopieren oder zu löschen.

Forderungen der IT-Sicherheitsexperten

Ein Mitglied des Forscherteams ist der Penetration Tester Melchior Limbacher, diese sagte gegenüber dem Schweizer Fernsehen, dass das Forscherteam davon ausgeht, dass die verwendeten Systeme nie auf Sicherheit überprüft worden sind. Zwar habe die Republik noch keine Hinweise darauf erhalten, dass diese Sicherheitslücken ausgenutzt worden sind, dennoch ist es notwendig das verwendete Softwaresysteme den internationalen Sicherheitsstandards entsprechen.

Ein weiteres großes Problem ist, dass einige Teile der Softwaresysteme geschlossen sind. Das bedeutet, dass das Forscherteam bzw. kein anderer Verwender einsehen kann, was im Hintergrund tatsächlich passiert. Eine immer beliebter werdende Methode ist es Software öffentlich zu machen. Limbach sagte in dem TV Interview dazu: “Software öffentlich und überprüfbar zu machen wird heute als Königsweg in der IT-Sicherheit angesehen.

Über das Thema Open Source haben wir bereits häufiger gesprochen. Ein gutes Beispiel ist der HIBP Gründer Troy Hunt, der ebenfalls veröffentlicht hat, wie wichtig Open Source Software heutzutage ist. Der Chaos Computer Club aus der Schweiz fordert sowohl von der Regierung, als auch von den einzelnen Kantonen, dass diese ihre Sicherheitspflicht wahrnehmen und nur sichere Software zur Ergebnisermittlung verwenden sollen.

Foto des Autors

Jan Hörnemann

Ich bin Jan Hörnemann, TeleTrust Information Security Professional (T.I.S.P.) und seit 2016 leidenschaftlich in der Welt der Informationssicherheit unterwegs. Mein Master of Science in Internet-Sicherheit hat mir ein fundiertes Verständnis für verschiedene Aspekte dieser Branche vermittelt, das ich in meiner laufenden Promotion kontinuierlich ausbaue. In der AWARE7 bin ich Chief Operating Officer und Prokurist, gleichzeitig koordiniere ich die Abteilungen "Informationssicherheit" und "Offensive Services" und sorge dafür, dass alle Projekte reibungslos ablaufen.