Eine in Deutschland zur Übermittlung der Wahlergebnisse eingesetzte Software hat laut einem Gutachten des CCC zahlreiche Sicherheitslücken, die eine Manipulation der Ergebnisübermittlung ermöglichen würde. Über dieses Gutachten hatte Zeit Online zunächst berichtet.

Auch in ihrer aktuellen Version 10 berücksichtigt die von der überwiegenden Mehrzahl der Kommunen genutzte Software PC-Wahl zahlreiche etablierte Sicherheitsverfahren nicht. Passwörter für FTP-Server beispielsweise wurden von mehreren Dienstleister veröffentlicht und waren teils in veröffentlichten Handbüchern enthalten.

Nach Darstellung des CCC gelang es zudem über das auf dem Server des Herstellers vorhandene Skript PHP-Obfuscator, beliebige Dateien von dem Server zu extrahieren, obwohl diese eigentlich nicht öffentlich einsehbar waren. Da bei der Installation keine wirksame Echtheitsprüfung der Software vorgesehen war, hätten manipulierte Versionen des Programms mit den Zugangsdaten zu den FTP-Servern verteilt werden können. Weiterhin sei es möglich gewesen, über andere PHP-Skripte beliebige Dateien "in den Webroot zu schreiben". Entsprechende Skripte werden aber inzwischen nicht mehr akzeptiert.

Die eingegebenen Stimmen in den lokalen Wahlbüros wurden zudem unverschlüsselt und ohne Integritätsprüfung der Daten übertragen.

Der Hersteller will mit einem Update die Daten in Zukunft vor dem Absenden per GPG signieren. Nach Angaben des CCC gab es bei der Implementierung der Funktion allerdings erneut Probleme, da die verwendeten Passwörter ausgelesen werden können.

Zwar werden in Deutschland keine Wahlcomputer verwendet, allerdings könnte die Anzahl abgegebener Stimmen bei der Übermittlung manipuliert werden. Insbesondere für die in einigen Bundesländern übermittelten Live-Resultate im Internet gilt dies. Aber eine manuelle Nachprüfung ist jederzeit möglich, da es Papierkopien der Stimmzettel gibt.

(ts, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE