35C3: US-Präsidentschaftswahl 2020 - "die Angreifer werden wieder da sein"
Wahlen können einfacher gehackt werden, als die meisten Leute glauben, warnt der US-Informatiker Alex Halderman. 2020 dürften die Angreifer den Abzug drücken.
(Bild: 3dfoto / shutterstock.com)
Die USA müssen bei der Cybersicherheit ihres Wahlsystems dringend weiter aufrüsten. Dies forderte J. Alex Halderman, Informatikprofessor an der Universität Michigan, am Donnerstag auf dem 35. Chaos Communication Congress (35C3) in Leipzig. Derzeit würden in 18 US-Bundesstaaten noch in die Jahre gekommenen AccuVote-Wahlcomputer von Diebold eingesetzt, die besonders einfach zu hacken seien und keine Papierausdrucke anfertigten. In vielen anderen Staaten überprüften die Verantwortlichen die Wahlzettel unzureichend oder gar nicht.
Für die US-Präsidentschaftswahl 2016 und die Zwischenwahlen im November 2018 seien diverse Cyberangriffe belegt, führte Halderman aus. Die Palette reiche dabei über Versuche zur Wählermanipulation durch Trolle oder Bots in sozialen Medien, hinter denen die Geheimdienste vor allem russische Akteure ausgemacht hätten, über gezielte Leaks gegen die Demokraten, mit denen der vorgeschobene Begriff der Transparenz ins Gegenteil verkehrt worden sei, bis hin zu Attacken auf Wählerregister. Diese seien 2016 in bis zu 21 der 50 Bundesstaaten von böswilligen Hackern ins Visier genommen und teils erfolgreich geknackt worden. Mehrfach seien auch Angriffe auf elektronische Wahlsysteme und die zuständigen Behörden erfolgt.
Manipulierte Wählerregistrierungen und Auszählungsergebnisse
Auch wenn die "sporadischen Aussetzer von Wahlmaschinen" im November anscheinend "natürliche Ursachen" hätten und ganz altmodische Betrugsversuche durch gestohlene Stimmzettel zu verzeichnen gewesen seien, ist sich der Informatiker sicher, dass schon "ein paar Leute vor Ort" Ergebnisse ändern können. Staatliche Angreifer seien angesichts einer computerisierten Infrastruktur in der Lage , noch deutlich größere Schäden anzurichten.
Eine Kommission des Geheimdienstausschusses des Senats ist Halderman zufolge in diesem Sinne schon zu dem Ergebnis gekommen, dass "russische Akteure" 2016 imstande gewesen wären, "das System zur Wählerregistrierung zu verändern". Sie hätten nur "den Abzug noch nicht gedrückt" und warteten offenbar auf 2020, wenn Donald Trump um seine Wiederwahl kämpfen muss. Diese Bedrohungen hält der Experte für real: "Die Angreifer werden wieder da sein." Um sie abzuwehren, stünden nur noch 22 Monate zur Verfügung.
Kompromittierte Wahlmaschinen
Halderman wollte der Hackergemeinde auf dem Kongress eigentlich live vorführen, wie leicht die dürftigen IT-Sicherheitsverfahren einer AccuVote TS-X ausgehebelt werden können. FedEx wisse aber gerade nicht, wo sich die nach Deutschland geschickte Maschine befinde.
Der Computerwissenschaftler erläuterte daher in seinem Vortrag, dass ein Angreifer ohne große Mühen eine infizierte Speicherkarte mit einer überarbeiteten Form einer Stimmzettelvorlage in das Gerät einführen und dieses damit kompromittieren könne. Dabei helfe, dass Softwareupdates nicht authentifiziert sein müssten, es zu Speicherüberläufen komme und auch manipulierter Code ausgeführt werde. So lasse sich der Gewinner der Wahl an dem angegriffenen Gerät von vornherein bestimmen.
Ähnliche Schwächen hatten IT-Sicherheitsforscher jüngst unter anderem einer noch vielfach eingesetzten Wahlmaschine nachgewiesen, die Stimmzettel elektronisch einliest und Ergebnisse gesammelt weitergibt. Insgesamt seien die meisten Wahlcomputer schon vom Design her schlecht angelegt. Sie seien überkomplex durch Millionen Zeilen an Quellcode in einer abgeänderten Version von Microsoft Windows CE, berichtete Halderman. Letztlich böten schier alle in den USA genutzten Auszählungsmaschinen massive Angriffsflächen, sodass mit Malware die Ergebnisse immer manipuliert werden könnten.
Komplizierte Stimmzettel
Die Stimmzettel per Hand auszuzählen, kommt für den Informatiker nicht ernsthaft in Frage, da diese in den USA oft acht Seiten lang und mit zahlreichen Abstimmungen auf Ebene der Staaten oder Gemeinden angereichert würden. Es helfe daher nur, Papierausdrucke verbindlich zu machen und diese mit statistisch sauberen, das Betrugsrisiko zumindest minimierenden Methoden zu überprüfen. Dies empfehle inzwischen auch die National Academy of Sciences zusammen mit den nationalen Wahlverantwortlichen. Ein einschlägiger Gesetzentwurf sei im Senat bereits weit gekommen, werde aber derzeit von einem Widerspruch aus dem Weißen Haus blockiert.
Die Kosten, um alle "papierlosen" Wahlcomputer zu ersetzen, schätzt Halderman auf eine Summe zwischen 130 und 420 Millionen US-Dollar. Für die Audits veranschlagt er überschaubare 25 Millionen US-Dollar. Derzeit lägen die einzelnen Staaten trotz einer im März vom Kongress gewährten Finanzspritze in Höhe von 380 Millionen Euro im Bereich Cybersecurity noch weit auseinander. Führend sei Colorado, wo zuerst ein robustes Auditverfahren eingeführt worden sei. Georgia bleibe dagegen vorerst bei den umstrittenen AccuVote-Maschinen und habe nicht einmal das Online-Verfahren zur Wählerregistrierung abgesichert.
Kleine Manpulation, große Auswirkung
Als die Demokraten im jüngsten Wahlkampf auf eine massive Schwachstelle in diesem System aufmerksam gemacht hätten, habe ihnen der zuständige Staatssekretär Brian Kemp einen "versuchten Hackerangriff" unterstellt und eine einschlägige Untersuchung angeordnet, sagte der Akademiker. Der Republikaner sei dann in einem engen Rennen zum Gouverneur gewählt worden.
Generell sei Wahlbetrug in den USA am einfachsten, wenn es in nur wenigen entscheidenden Bundesstaaten sehr knapp zugehe. Bei der Kür Trumps zum Präsidenten seien letztlich 27.500 von 137 Millionen Stimmen (0,02 Prozent) ausschlaggebend gewesen. (jk)
