US-Wahlcomputer sind höchst unsicher

Forscher der Johns-Hopkins- und der Rice-Universität haben mehrere schwer wiegende Fehler in einer Version der Software für elektronische Wahlen entdeckt, die die Firma Diebold Election Systems entwickelt hat. Dieser Fehler soll es Wählern erlauben, beliebige viele Stimmen abzugeben. Die Wahl-Software kam in einer neueren Version bereits in den USA zum Einsatz. Dort lief sie auf so genannten Direct Recording Electronic-Systemen (DRE).

"Unsere Analyse zeigt, dass dieses Wahlsystem weit unter den minimalen Sicherheitsanforderungen liegt", schreiben die Forscher in ihrem Bericht (als PDF online verfügbar). Sie schließen daraus, dass "wir als Gesellschaft uns sehr genau mit den Risiken elektronischer Wahlen auseinandersetzen müssen, um die Demokratie nicht unnötigen Risiken auszusetzen".

Stein des Anstoßes ist die SmartCard, die jeder Wähler zugestellt bekommt, und die ihn am Wahl-Terminal authentifiziert. Die Software im Wahl-Terminal soll anhand der Informationen auf der SmartCard sicherstellen, dass der Wähler auch tatsächlich nur eine einzige Stimme abgibt. Die Forscher allerdings glauben, dass ein arglistiger Wähler mit Hilfe einer besonders präparierten SmartCard das Wahlterminal überlisten und beliebig viele Stimmen abgeben kann. So eine SmartCard sei so einfach herzustellen, dass "jeder 15-Jährige das in seiner Garage bewerkstelligen" könnte, meint der Sicherheitsexperte Avi Rubin vom Information Security Institute (ISI) der Johns-Hopkins-Universität.

Problematisch sei an der Wahl-Software vor allem, dass "Kryptographie, so sie denn überhaupt zum Einsatz kommt, fehlerhaft angewendet wird". An vielen Stellen, die dringend einer Verschlüsselung bedürften, hätten die Entwickler sogar gänzlich darauf verzichtet, heißt es in dem Bericht, so etwa bei den Authentifizierungsdaten, die vollkommen unverschlüsselt als acht Byte lange Zeichenkette auf der Karte gespeichert seien.

Ebenso unsicher sei der Mechanismus, der eine Karte nach der Stimmabgabe für ungültig erklärt, behaupten die Forscher weiter. Ein acht Bit großer Wert würde dazu von der Wahl-Software einfach von 0x01 (VOTER_CARD) auf 0x08 (CANCELED_CARD) geändert. Jeder, der simple Kopien der offiziellen SmartCard zur Wahl bei sich trage, könne diese sukzessive zur Abgabe mehrerer Stimmen verwenden. Oder einfacher: Der Wahlbetrüger programmiert sich eine SmartCard, die die Deaktivierung schlicht ignoriert.

Auch von programmiertechnischer Disziplin sei in den zehntausenden Code-Zeilen kaum etwas zu sehen gewesen. Und Versionskontrolle sei offensichtlich bei den Entwicklern ein Fremdwort gewesen. Jeder, der etwas böswillig am Code hätte ändern wollen, wäre unbemerkt geblieben, schließen die Forscher daraus. Außerdem sei der Code in der "unsicheren" Programmiersprache C++ verfasst worden -- C++-Programmier müssten sich in überdurchschnittlicher Disziplin üben, um nicht unwillentlich Sicherheitslöcher wie Buffer Overflows in den Code einzubauen, meinen die Forscher.

Aber nicht nur ein einzelner Wähler mit einer präparierten SmartCard könne das Wahlsystem betuppen, wie die Forscher meinen, auch sei es möglich, dass der Wähler etwa administrativen Zugriff auf das Wahlsystem erlange oder ein DRE herunterfahren könne. Wahlhelfer hätten sogar noch weiter reichende Betrugsmöglichkeiten: Sie könnten etwa das Geheimhaltungsprinzip der Wahl unterwandern, indem sie eine Stimme einem Wähler zuordnen. Ebenso sei es denkbar, dass Wahlhelfer Abstimmungungsergebnisse fälschen könnten, indem sie Stimmen hinzufügen, verändern oder löschen. Details zum Vorgehen verrät der Bericht.

Siehe dazu auch bei Telepolis: (ola)

• US-Wahlcomputer mit vielen Manipulationsmöglichkeiten
• Das Problem mit den elektronischen Wahlsystemen und der amerikanischen Demokratie
• Warum die Amerikaner sich bei den Wahlen verzählen