Hackercamp SHA2017: All Computers are broken

ACAB mag in anderen Kreisen etwas anderes bedeuten, doch für Hacker ist die Sache klar: All Computers are broken. Das wurde auf dem niederländischen Hackercamp SHA2017 deutlich.

In Pocket speichern vorlesen Druckansicht 199 Kommentare lesen
Schrott, Hacker, Kunstmensch, Roboter, Feuer, Sicherheit

(Bild: Gerd Altmann, Lizenz Pixabay / Creative Commons CC0 )

Lesezeit: 3 Min.
Von
  • Detlef Borchers

In zahlreichen Vorträgen auf dem Hackercamp SHA2017 im niederländischen Zeewolde waren unsichere Systeme und die mit ihnen lebenden Menschen das Thema, das Zuhörer wie Vortragende am meisten faszinierte. Ein besonders krasser Fall war die Organisation der Stimmenauszählung bei den niederländischen Wahlen. Hier fand der Sicherheitsexperte Sijmen Ruwhof allein anhand eines Instruktionsvideos auf Youtube erstaunliche Lücken. Seinen Vortrag gibt es natürlich auch online, nämlich auf media.ccc.de.

Bei Wahlen spielt Papier in Form der Wahllisten und der Stimmzettel eine wichtige Rolle. Wahlmaschinen, das zeigte unlängst die Hackerkonferenz Defcon, können durch die Bank weg teilweise in wenigen Minuten geknackt werden. Im Voting Village der Konferenz wurden alle fünf Geräte, die in den USA bei Wahlen genutzt werden, von den Hackern "gepwnd".

Doch wie sieht der Prozess der Stimmzettelzählung aus? Hier zeigten sich in dem Ablauf der Auszählung, wie ihn die niederländische Wahlleitung, der Kiesraad organisierte, erhebliche Sicherheitslücken. Ein Blick auf diesen Ablauf ist nicht zuletzt deshalb interessant, weil in den Niederlanden wie in Deutschland dieselbe Software IVU.elect benutzt wird, die zwar aus Open-Source-Komponenten entwickelt wurde, um die die Firma zuletzt aber ein ziemliches Geheimnis macht, weshalb nicht zu Unrecht von der Black-Box-Wahlsoftware gesprochen wird. So hat der Chaos Computer Club im Frühjahr 2017 einen öffentlichen Aufruf gestartet, ihm die Software zur Sicherheitsüberprüfung zu schicken.

Sijmen Ruwhof

(Bild: heise online / Detlef Borchers)

Was Sijmen Ruwhof auf der SHA an Sicherheitsproblemen zeigte, war indes weniger in der Software angelegt, sondern im komplett digitalisierten Prozess der Stimmzählung nach Auswertung der Stimmzettel, gepaart mit menschlicher Organisationsunfähigkeit. Außer dem Sicherheitshinweis, dass WLAN auf den die Stimmen addierenden Computern ausgeschaltet sein muss, gab es keinerlei Sicherheitschecks. Das Einsammeln der Stimmen in den Bezirken sollte möglichst vor Internet-Angriffen geschützt sein und erfolgte deshalb über beliebige USB-Sticks, wie sie in den Gemeinden verfügbar waren. Auf ihnen wurden die ausgezählten Stimmen sowohl als XML-Datei als auch als PDF zusammen mit den Hashwerten gespeichert, wobei SHA 1 genutzt wurde. Hier kam Gelächter auf, denn viele Teilnehmer von SHA (Still Hacking Anyway) trugen das offizielle SHA-T-Shirt, auf dessen Rückseite "SHA 1 For Decoration Only" steht.

Als Ruwhof seine Untersuchung der Sicherheitslücken veröffentlichte, bot Software-Lieferant IVU an, die Sicherheit mit der Nutzung von SHA 256 zu verbessern. Der für die Wahl zuständige Innenminister verstieg sich zu der Behauptung, Excel könne zur Stimmenauszählung genutzt werden. Die Wahlleitung bestellte umgehend bei der Sicherheitsfirma Fox-IT ein Gutachten, das negativ ausfiel. Allerdings habe sie in der Kürze der Zeit nicht alle Aspekte prüfen können, heißt es in der Stellungnahme: "Alle betroffenen Instanzen und Menschen sind gewarnt und werden hoffentlich die offengelegten Sicherheitslücken anpacken, ehe in Deutschland die Bundestagswahl stattfindet."

Ob dem Wahlergebnis in den Niederlanden getraut werden kann? Ruwhof hat da seine Zweifel. Ein Nachweis wird sich nicht führen lassen, da die Logfiles der Zusammenführung der Stimmergebnisse nach drei Monaten gelöscht wurden. Ruwhofs Fazit: Wahlen müssen auf allen Ebenen transparent bleiben. "Computer sind nicht sicher genug, um mit ihnen eine Wahl durchzuführen." Kurz: ACAB. (anw)