US-Wahlcomputer können keine vertrauenswürdigen Wahlen garantieren

Forscher decken gravierende Sicherheitslücken und schwere Designmängel an den Wahlmaschinen in Kalifornien auf.

In Pocket speichern vorlesen Druckansicht 102 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Richard Sietmann

Ein versierter Einzeltäter braucht nur kurzzeitig den Zugang zu einem einzigen Wahlcomputer, um darauf einen Virus zu installieren, der sich auf dem Weg über das Wahlmanagementsystem auf alle daran angeschlossenen Stimmerfassungsgeräte eines Wahlkreises ausbreiten könnte. Zu dieser vernichtenden Feststellung kommt das sechsköpfige Team von der Princeton University, das im Auftrag des kalifornischen Inneministeriums den Quellcode des E-Voting-System von Diebold – bestehend aus dem Touchscreen-System AV-TSX, dem optische Scanner AV-OS und dem Wahlmanagementsystem GEMS – untersuchte.

"Das Diebold-System ist anfällig für Computerviren, die sich von Wahlmaschine zu Wahlmaschine und zwischen Wahlmaschinen und dem Wahlmanagementsystem ausbreiten", heißt es in dem am gestrigen Donnerstag veröffentlichten Gutachten, das die Wissenschaftler im Rahmen der von Kaliforniens Innenministerin Debra Brown initiierten umfassenden Sicherheitsüberprüfung der in dem Bundesstaat bisher eingesetzten und zertifizierten Wahlmaschinen erstellten; erste Ergebnisse aus der Überprüfung waren bereits Anfang der Woche bekannt geworden. "Ein großflächig angelegter Wahlbetrug in dem Diebold-System erfordert daher nicht unbedingt den direkten Zugriff auf eine große Anzahl von Wahlmaschinen".

Selbst mit dem Papier-Backup der abgegebenen Stimmen wäre entsprechend implantierte Malware in der Lage, den Ausgang knapper Wahlen kaum merklich zu beeinflussen oder den Wahlablauf durch gezielt herbeigeführte Crashs zu sabotieren. Das System sei nicht nach dem etablierten Stand der Sicherheitstechnik konstruiert und die Mängel wären weder durch Nachbesserungen noch durch organisatorische Sicherheitsvorkehrungen aufzufangen, warnen die Experten. Einzelne Updates brächten möglicherweise nur neue, unbekannte Schwachstellen mit sich. "Der sicherste Weg zur Reparatur des Diebold-Systems ist, es grundlegend so zu überarbeiten, dass es vom Entwurf her sicher wird."

Bei dem E-Voting-System von Hart Intercivic könnte ein einzelner, gezielt vorgehender Angreifer ebenfalls zahlreiche Wahlmaschinen mit Malware infizieren. Der kurze Zugriff auf eine der leicht zugänglichen Schnittstellen an den im Wahllokal vernetzten Geräten des Typs eScan, eSlate oder des Busmasters JBC reiche aus, die vorhandene Software zu überschreiben, fand das zweite Team um Dan Wallach von der texanischen Rice University heraus. Über den seriellen oder parallelen Port an der Rückseite des Busmasters beispielsweise ließe sich beliebiger Code einschleusen. "Der Angriff könnte von einem Wahlhelfer oder möglicherweise einem Wähler während des Wahlvorgangs ausgehen", erläuterte Wallach, der gegenwärtig in Deutschland weilt, am gestrigen Donnerstagabend auf einem Seminar von E-Voting-Experten im Informatikzentrum Schloss Dagstuhl bei Saarbrücken. Ist die Software erst einmal unauffällig ausgetauscht, gibt es keine wirksamen Routinen, sie zu entdecken und zu entfernen. "Die Wirkungen solch eines Angriffs sind praktisch von Dauer." Schlimmer noch: Ausgehend von einem einzigen der eSlate-Touchscreengeräte kann sich der Virus über die Software auf dem Wahlamtsserver SERVO auf sämtliche Geräte eines Wahlkreises ausbreiten, weil dieser Server wiederum zur Initialisierung der nächsten Wahl dient.

Auch das dritte Quellcode-Team, das auf das E-Voting-System des Herstellers Sequoia angesetzt war, fand zahlreiche Programmier-, Logik- und Architekturfehler in der untersuchten Software. "Dem Sequoia-System fehlen wirksame Sicherungen gegen das Einschleusen korrumpierter oder gefälschter Daten auf Wechselmedien, insbesondere bei den Geräten, die Wahlhelfern und Aushilfskräften mit begrenzten Rechten anvertraut werden", heißt es in dem am gestrigen Donnerstag freigegebenen Report. So könnte ein Wahlhelfer, der die Speichermedien vor der Auszählung in die Hand bekommt, darin abgelegte Wählerstimmen verändern. "In jedem Fall, den wir untersuchten, kann die Kryptografie leicht umgangen werden". Wie die beiden anderen Teams halten die Experten Nachbesserungen für sinnlos. "Wir haben versucht, Abwehrstrategien für die von uns aufgedeckten Angriffspunkte aufzuzeigen. Leider ist es uns nicht gelungen, praktikable Strategien zu finden, die das Ausnutzen einiger der Systemschwachstellen zuverlässig verhindern würden".

Kaliforniens Innenministerin Debra Brown will am heutigen Freitag bekannt geben, welche Konsequenzen sie aus den Ergebnissen der Sicherheitsüberprüfung ziehen wird. (Richard Sietmann) / (jk)