Brisante Sicherheitslücken Chaos Computer Club will Wahlsoftware reparieren
News folgenDer Chaos Computer Club (CCC) bietet dem Hersteller der Wahlsoftware Hilfe an, um die größte Sicherheitslücke zu schließen. Mehrere Updates des Herstellers konnten nichts daran ändern, dass
Am 13. September hat der Hersteller der Wahlsoftware "Vote-iT" mit Maßnahmen nachgebessert, die vom Chaos Computer Club (CCC) bereits "nach wenigen Stunden für unzureichend befunden" worden seien. Auch nach der Nachbesserung gelang es Hackern des CCC, eigenen Programmcode in die Software zur Stimmenauswertung für das vorläufige Ergebnis einzuschleusen. "Hektisch und vergeblich mit teils absurden Mechanismen" lautet das Urteil des CCC zu den Nachbesserungen.
Nun stellt der Hacker-Verein "in einer Quellcode-Spende ein Verfahren zur Verfügung, welches ausreichend einfach im Rahmen des Ökosystems PC-Wahl zu implementieren (einzufügen)" sei, erklärter der CCC auf der Programmierplattform Gitbub.
Sicherheitslücken zwei Wochen vor der Wahl entdeckt
Die Schwachstellen waren von einem Informatiker aus Hessen und dem CCC entdeckt und analysiert worden. In dem Programm "PC-Wahl" läuft demnach die Übertragung der vorläufigen Wahlergebnisse aus den Gemeinden an den Wahlleiter ohne Verschlüsselung und wird nicht durch eine wirksame Authentifizierung gesichert. Mit der Software werden die vorläufigen Ergebnisse in mehreren Bundesländern übermittelt. Bei der Ermittlung des amtlichen Endergebnisses spielt die Software keine Rolle.
CCC will Manipulationen verhindern
Auf Github präsentierte der CCC nun eine Lösung, bei der unter anderem durch die Verwendung eines signierten Microsoft-Installers gewährleistet werde, dass das Update authentisch ist. Nach der Einspielung des Updates würden die Wahlergebnisdaten dann digital signiert, um eine Manipulation auszuschließen. Der Software-Hersteller hatte nach Darstellung des CCC versucht, die vorhandenen Sicherheitslücken mit einer fehlerhaften Implementierung einer Verschlüsselungssoftware zu schließen.
