Schach dem E-Voting

Inhaltsverzeichnis

Die Herausforderung hatte der Geschäftsführer der in Groenlo ansässigen Firma Nedap selbst gestellt. Jan Groenendaal behauptete, dass Hacker bei dem Nedap-Gerät „absolut keine Chance“ hätten. Das Wahlgerät sei eine Spezialmaschine, „die ausschließlich für den Zweck einer Wahl und sonst nichts anderes“ hergestellt werde. „Dass man mit unserer Wahlmaschine auch Schach spielen kann“, tönte Groenendaal, „würde ich gern vorgeführt bekommen.“

Diesen Wunsch erfüllte ihm jetzt ein Gemeinschafts-Hack der Initiative „Wij vertrouwen stemcomputers niet“ und des Chaos Computer Clubs Berlin (CCC). Den Aktivisten gelang es, auf dem Wahlgerät Nedap ES3B - dem Typ, an dem 90 Prozent der Holländer bei der kommenden Parlamentswahl ihre Stimme abgeben werden - Tom Kerrigans Simple Chess Program TSCP zum Laufen zu bringen, indem sie es für den 68000-Prozessor des ES3B-Systems mit 16 kByte RAM und zwei 128-kByte-EPROMs als Programmspeicher adaptierten und kompilierten. Schwierigkeiten hätte es nur bereitet, spottet die Hackertruppe in ihrer Dokumentation „Nedap/Groenendaal ES3B Voting Computer - A Security Analysis“, die Schachfiguren auf dem stark geneigten Bedienpult mit den Kunststoff-Folientasten zu halten - das Herunterfallen verhinderten schließlich magnetische Figuren, denen Centmünzen unter den aufgeklebten Schachfeldern Widerhalt boten.

„Nedap PowerFraud“

Von interessierten Gemeindeverwaltungen hatte das achtköpfige Team zwei Wahlgeräte käuflich erwerben und ein weiteres leihen können. Der Gag mit dem Schachprogramm diente ihm nach eigenen Angaben lediglich als Aufwärmübung, um sich mit der Hardware vertraut zu machen. Zur Demonstration, dass man auch ohne Kenntnis des Quellcodes die Zählung der Wählerstimmen manipulieren kann, bauten die „Angreifer“ ein kleines Zusatzprogramm in die Steuerung ein: Jedes Mal, wenn ein Wähler die Stimmabgabetaste drückt, entscheidet es darüber, ob die Stimme für die Partei A regulär in das Stimmenspeichermodul geschrieben oder in einen Zwischenspeicher umgeleitet wird. Als Cache für „gestohlene“ Stimmen diente dabei freier Speicherplatz auf einem 8-kByte-EEPROM auf der Platine, der normalerweise Konfigurationsparameter wie die Geräte-ID enthält. Um den Angriff zu vertuschen, trifft das von den Hackern „Nedap PowerFraud“ getaufte Programm die Entscheidung nach dem Zufallsprinzip und nur für einen gewissen Prozentsatz der Stimmen für „A“. Am Ende der Wahl schreibt es die A abgezogenen Stimmen der Partei zu, die begünstigt werden soll.

Im holländischen Fernsehen führte die Gruppe vor laufender Kamera vor, wie sie das modifizierte Steuerungsprogramm des Wahlcomputers einfach durch den Austausch zweier gesockelter EPROMS auf der Platine installierte. Das Lösen einiger Gehäuseschrauben reichte aus, um an die Bausteine zu gelangen; der gesamte Eingriff dauerte nicht einmal fünf Minuten und ist anschließend weder für die Wähler noch für den Wahlvorstand erkennbar.

Virtuelle Sicherheit

Prinzipiell ließen sich solche Manipulationen durch sogenannte Paralleltests aufdecken. Dabei werden am Morgen des Wahltags stichprobenartig einzelne Maschinen aus den Wahllokalen herausgenommen, durch andere ersetzt und die herausgenommenen Maschinen einer Testwahl unterzogen; bei den manipulierten Geräten in der Stichprobe würde dann der gemessene Output nicht mit dem bekannten Input übereinstimmen. Dieses Prüfverfahren lässt sich allerdings unterlaufen, wenn die Manipulation erst nach dem Ziehen der Stichprobe wirksam wird. Die Nedap-Hacker haben denn auch schon eine verbesserte Version von „PowerFraud“ angekündigt: In ihr soll der Stimmentransfer erst durch das Betätigen einer bestimmten Tastenkombination durch einen Wähler aktiviert werden. Gegen ein derart manipuliertes System wären Paralleltests machtlos.

Nedap betont unterdessen, dass das System „hervorragend funktioniert“, und zieht sich auf den bestimmungsgemäßen Gebrauch der Maschine zurück. „Die Wahlmaschine erledigt genau das, was ihr aufgetragen wird“, heißt es in einer Stellungnahme zu dem Hack; Misstrauen sei allenfalls gegenüber Menschen angebracht, die das System manipulierten. Das „Red Team“ indes betrachtet den erfolgreichen Angriffsversuch als Teil einer unabhängigen Schwachstellenanalyse. In der kritisieren sie unter anderem die mechanischen „Spielzeug-Schlüssel“ zur Sicherung der Betriebsfunktionen, die man sich problemlos im Handel verschaffen kann und die zudem auf allen 8000 ES3B-Geräten in Holland (wie auch den rund 2100 in der Bundesrepublik) identisch sind.

Möglicherweise können die Wahlcomputer nicht einmal die zuverlässige Geheimhaltung der Stimmabgabe gewährleisten. Bei allen drei Geräten ließ sich noch in einigen Metern Abstand ein spezifisches Signal nachweisen, das nur dann auftrat, wenn bestimmte Zeichen auf dem Display geschrieben wurden. Der mit verhältnismäßig einfachen Mitteln durchgeführte Lauschangriff deutet darauf hin, dass bei der amtlichen Zertifizierung den Signaleigenschaften der Störstrahlung nicht genügend Aufmerksamkeit gewidmet wurde.

Schiefe Ebene

Die in Deutschland bei der vergangenen Bundestagswahl in 1831 Wahllokalen eingesetzten Maschinen des Typs Nedap ESD1 sind mit dem holländischen ES3B praktisch baugleich; sie unterscheiden sich vor allem durch die an das deutsche Wahlrecht angepasste Software. Unter Berufung auf den Report fordert der CCC daher vom Bundesinnenministerium den Widerruf der Bauartzulassung sowie ein vollständiges Verbot von Wahlcomputern für Bundes-, Landtags- und Kommunalwahlen in der Bundesrepublik. Zurzeit scheint der Trend allerdings eher in die andere Richtung zu gehen. In einigen Bundesländern ist das kommunale Wahlrecht schon so kompliziert geworden, dass scheinbar nur noch die computergestützte Stimmerfassung eine reibungslose Auszählung gewährleisten kann. (psz)