Chaos Computer Club hackt Hamburger Wahlstift - CCC hacks electronic voting pens

aaron — Thu, 25 Oct 2007 22:24:15 +0200

Am 24. Februar 2008 soll in Hamburg mit dem neuen "Digitalen
Wahlstift" gewählt werden. Durch eine grundlegende Änderung des
Wahlrechts wird unter anderem ein Computer-Wahlverfahren eingeführt,
das nur oberflächlich wie die vertraute Wahl mit Zettel und Stift
aussieht. Der Chaos Computer Club (CCC) weist nun mit der
Demonstration eines Wahlstift-Trojaners auf die erheblichen
Manipulationsrisiken dieses Verfahrens hin.

Rein äußerlich soll der Wahlvorgang für die 1,2 Millionen Hamburger
Wähler in den Wahllokalen gleich bleiben. Jeder Wähler geht in die
Wahlkabine und kreuzt dort seine Stimmen auf dem Papier an. Dafür
bekommt er einen Digitalen Wahlstift ausgehändigt. Der elektronische
Stift zeichnet über ein für Menschen kaum sichtbares Muster auf dem
Stimmzettel auf, wo auf dem Papier der Wähler seine Kreuze macht. Der
Stift wird anschließend in eine Auslesestation gesteckt, um das
digitale Kreuz vom Stift über ein Kabel auf einen Laptop zu
übertragen. Im Laptop werden dann die Kreuze zu Stimmen umgerechnet.
Am Wahlende wird aus den gespeicherten Kreuzen ein Ergebnis
errechnet, welches dann über einen Drucker ausgegeben wird. Aus
Gründen der Ausfallsicherheit werden alle Stimmen zusätzlich auf
einem USB-Stick gespeichert.

Laut dem neuen Hamburger Wahlgesetz sollen dabei ausschließlich die
vom Wahlstift aufgezeichneten digitalen Kreuze als Ausdruck des
Wählerwillens gelten, das Papier dient nur als wählerberuhigende
Dekoration. Folgerichtig werden die Stimmen auf dem Papier auch nur
in 17 der ca. 1300 Wahllokale zur Überprüfung nachgezählt. Stimmen,
welche nicht mit dem Digitalen Wahlstift, sondern erkennbar mit einem
herkömmlichen Kugelschreiber oder Füller abgegeben werden, gelten als
ungültig und werden aussortiert. Bei einer Differenz zwischen der
Stichprobenzählung und den digital ermittelten Stimmen zählen deshalb
nicht, wie vom Wähler erwartet, die Stimmzettel, sondern die vom
Computer ermittelten Ergebnisse. Bei der Briefwahl werden die Stimmen
von zwei Wahlhelfern mit dem Digitalen Stift nachgemalt, um damit
ebenfalls ein computergestütztes Ergebnis zu ermitteln.

Mit dieser Konstruktion wird dem Wähler nur eine Papierwahl
vorgegaukelt, de facto findet aber eine Computerwahl mit allen
bekannten Risiken und ohne Nachprüfbarkeit für den Wähler statt. Der
Hamburger Wahlstift reiht sich so nahtlos an die umstrittenen NEDAP-
Wahlcomputer, die gerade in den Niederlanden wegen zahlreicher
Sicherheitsprobleme und mangelnder Nachprüfkeit des Zustandekommens
des Ergebnisses abgeschafft wurden. [1]

Um die technische Sicherheit des Digitalen Wahlstift Systems (DWS) zu
belegen, wurde ein Schutzprofil nach den sogenannten Common Criteria
erstellt, einem Standard der eigentlich zur Standardisierung von
Teilbereichen der IT-Sicherheit, nicht aber für Wahlsysteme
entwickelt wurde. Die Verwendbarkeit von Common Criteria für die
Beurteilung von Wahlsystemen gilt demzufolge unter Experten als
äußerst zweifelhaft. Aufgrund dieses Schutzprofils soll nun eine
Baumusterprüfung durch die Physikalisch-Technische Bundenanstalt
(PTB) stattfinden. Gegenstand der Prüfung soll dabei die
Auslesestation und der Wahlstift selbst, die Software auf dem Stift
sowie die Auswertungs- und Zählsoftware auf dem Laptop sein. Die
Prüfung umfasst jedoch nicht den Drucker, den Laptop, auf dem Windows
XP als Betriebssystem laufen wird, und die zentrale
Auswertungssoftware beim Statistikamt Nord. Die PTB hatte schon die
Wahlcomputer der Firma NEDAP für Deutschland als sicher eingestuft,
welche in den Niederlanden gerade aufgrund von Sicherheitsbedenken
komplett aus dem Verkehr gezogen wurden.

Eine Manipulation der Wahl durch Innentäter, also etwa durch
Wahlhelfer, Administratoren der Behörde für Inneres oder Mitarbeiter
der Herstellerfirmen wird im Schutzprofil per Definition
ausgeschlossen. Der Sprecher des Chaos Computer Club, Dirk Engling
sagte dazu: "Die Ignoranz gegenüber der Innentäter-Gefahr entlarvt
das konzeptionell falsche Herangehen an computerisierte Wahlvorgänge.
Es erinnert an einen Flugzeugbauer, der bei der Konstruktion mal eben
die Erdanziehung vergisst und sich nachher wundert, dass das Flugzeug
nicht abheben kann." Die von Hersteller und Hamburger Senat
getroffene Annahme, dass es keine Innentäter geben wird, die eine
Wahlfälschung versuchen würden, disqualifiziert die
Sicherheitsannahmen für das System vollständig.

Eine Veröffentlichung der Software des Digitalen Wahlstiftsystems und
damit der zu Grunde liegenden Technik ist nicht vorgesehen, womit
eine öffentliche Prüfung durch unabhängige Sicherheitsexperten
unterbunden wird. Kritische Aussagen der Verfassungsexperten Dr.
Stephanie Schiedermair und Prof. Dr. Ulrich Karpen werden ignoriert.
Auch Warnungen von Sicherheitsexperten wie Prof. Dr. Klaus Brunnstein
und dem CCC wurden als theoretisch oder populistisch abgetan. "Die
Geheimniskrämerei erinnert fatal an das Vorgehen bei NEDAP-
Wahlcomputern, offenbar unterschätzen die Hamburger
Entscheidungsträger die Sicherheitsprobleme und haben aus dem
Desaster im Nachbarland Niederlande nichts gelernt", sagte CCC-
Sprecher Dirk Engling.

Obwohl der Chaos Computer Club vom Hamburger Wahlleiter kein
komplettes System für eine Analyse erhalten hat, konnten anhand der
verfügbaren Informationen und durch Untersuchung der Basistechnologie
des Wahlstifts, dem Anoto-Digitalstiftsystem, eine Reihe von
schwerwiegenden prinzipiellen Mängeln identifiziert werden. Dabei
wurde das grundlegende Problem computergestützter Wahlen - die
mangelnde Überprüfbarkeit durch den Wähler - überdeutlich.

Der CCC hat zur beispielhaften Illustration der vielfältigen
Angriffsmöglichkeiten gegen den Wahlstift für die Hamburger
Bürgerschaft einen trojanischen Wahlstift entwickelt, der äußerlich
nicht als solcher erkennbar ist. Solch ein Stift kann sowohl von
Wählern als auch von an der Wahlvorbereitung und -durchführung
beteiligten Personen unbemerkt ins Wahllokal mitgebracht und statt
dem echten Wahlstift in die Auslesestation gesteckt werden. Der
manipulierte Stift überträgt dann nicht nur digitale Stimmkreuze zum
Auswertungscomputer, sondern agiert als ein sogenanntes Trojanisches
Pferd zum Einschleusen von Schadsoftware. Sobald der Stift in die
Auslesestation gesteckt wird, aktiviert sich ein
Manipulationsprogramm, welches automatisch auf das Zielsystem
übertragen und dort ohne Zutun des Bedieners ausgeführt wird. Das
Programm kann nun problemlos Manipulationen auf dem Auswertungslaptop
vornehmen, indem es z. B. die Position der digital gespeicherten
Stimmkreuze verändert, das Endergebnis verfälscht, speichert und
ausgibt.

"Der trojanische Wahlstift ist nur einer von vielen verschiedenen
Angriffen gegen das Wahlstift-System. Es geht hier nicht um das eine
oder andere Sicherheitsloch, das noch irgendwie gestopft werden kann.
Das prinzipielle Problem ist, dass der Wähler bewusst in die Irre
geführt wird. Ihm wird eine Papierwahl vorgegaukelt, die in Wahrheit
eine unsichere und intransparente Computerwahl ist", sagte CCC-
Sprecher Dirk Engling.

Vor dem Hintergrund der prinzpiellen und sicherheitstechnischen
Probleme des Digitalen Wahlstifts, insbesondere der mangelnden
Überprüfbarkeit durch den Wähler, fordert der Chaos Computer Club den
Hamburger Gesetzgeber dazu auf, das Wahlstiftsystem aufzugeben.
Selbst mit massiver Nacharbeit an den heute sichtbaren
Sicherheitslücken ist das System prinzipbedingt nicht dazu geeignet,
die Anforderungen an Wahlen in Deutschland zu erfüllen.

[1] http://www.ccc.de/updates/2007/wahlcomputer-ausgemustert