Wahl-Auswertungssoftware mit großen Sicherheitsproblemen!

Kurz vor der Wahl in den USA werden Sicherheitsprobleme einer Wahl-Auswertungssoftware in der Schweiz öffentlich. Mehrere Kantone benutzen veraltete und angreifbare Software und lassen durchblicken, dass IT-Sicherheit in den vergangenen Jahren kein großes Thema waren. IT-Sicherheitsexperten haben sich zusammen mit dem Schweizer Online-Magazin Republik die verwendete Software einmal näher angesehen.

Sicherheitsprobleme in Wahl-Auswertungssoftware

Das Online-Magazin Republik veröffentlichte Ende September einen Bericht, der die Forschungsergebnisse von zwei Forscherteams der ETH und Universität Zürich zeigen. Grund für diese Forschung waren die Debatten bezüglich der Sicherheitsbedenken bei dem E-Voting. Aufgrund dieser Bedenken wurde das E-Voting Verfahren in der Vergangenheit nicht durchgeführt. Da dieses Verfahren bereits einmal auf Eis gelegt wurde, sind die Forscher von einem klassischen Briefwahl-Verfahren ausgegangen.


Deep Dive ins Darknet – Suchmaschinen, Browser und Nutzen!

Jetzt kostenfrei anmelden und am 29.01.2021 von 10:00 – 10:30 Uhr teilnehmen.



Im Rahmen der Forschung sind viele verschiedene Sicherheitslücken aufgetaucht, diese sind durch klassische Fehlkonfigurationen in der Software vorhanden. Aber auch öffentliche Sicherheitsprüfungen wurden in vielen Kantonen nicht durchgeführt, sodass bspw. „Man in the middle“-Angriffe möglich sind.

Sicherheitsprobleme in Wahlsoftware ist nicht das erste Mal öffentlich geworden. Im Jahr 2017 konnten in der Wahl-Auswertungssoftware des Anbieters Vote IT in Deutschland viele Sicherheitslücken aufgedeckt werden.

Das zweite Forscherteam der Uni Zürich befasste sich mit einzelnen Softwaresystemen der verschiedenen Kantonen. Bei vielen dieser Systeme konnten gravierende Sicherheitsmängel festgestellt werden und das obwohl die Schnittstellen, an denen getestet werden können, nur in sehr geringer Anzahl vorhanden waren. Ein Angriff der in einem System möglich war lies es jedem Benutzer zu, der das Passwort kennt, sämtliche Einträge in der Datenbank zu manipulieren, kopieren oder zu löschen.

Forderungen der IT-Sicherheitsexperten

Ein Mitglied des Forscherteams ist der Penetration Tester Melchior Limbacher, diese sagte gegenüber dem Schweizer Fernsehen, dass das Forscherteam davon ausgeht, dass die verwendeten Systeme nie auf Sicherheit überprüft worden sind. Zwar habe die Republik noch keine Hinweise darauf erhalten, dass diese Sicherheitslücken ausgenutzt worden sind, dennoch ist es notwendig das verwendete Softwaresysteme den internationalen Sicherheitsstandards entsprechen.

Ein weiteres großes Problem ist, dass einige Teile der Softwaresysteme geschlossen sind. Das bedeutet, dass das Forscherteam bzw. kein anderer Verwender einsehen kann, was im Hintergrund tatsächlich passiert. Eine immer beliebter werdende Methode ist es Software öffentlich zu machen. Limbach sagte in dem TV Interview dazu: „Software öffentlich und überprüfbar zu machen wird heute als Königsweg in der IT-Sicherheit angesehen.




Über das Thema Open Source haben wir bereits häufiger gesprochen. Ein gutes Beispiel ist der HIBP Gründer Troy Hunt, der ebenfalls veröffentlicht hat, wie wichtig Open Source Software heutzutage ist. Der Chaos Computer Club aus der Schweiz fordert sowohl von der Regierung, als auch von den einzelnen Kantonen, dass diese ihre Sicherheitspflicht wahrnehmen und nur sichere Software zur Ergebnisermittlung verwenden sollen.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast