Keine Sicherheitsrichtlinien, wenig Transparenz US-Wahlen: Cyber-Angriff nur eine Frage der Zeit

Digital

Veraltete Hardware, uralte Betriebssysteme, schlechter Code: Fachleute warnen seit Jahren vor dem Einsatz von US-Wahlmaschinen.

Professor Andrew Appel, hier im Jahr 2006, warnt seit Jahren vor der Nutzung von elektronischen Wahlmaschinen.
Mehr Artikel
Mehr Artikel

Professor Andrew Appel, hier im Jahr 2006, warnt seit Jahren vor der Nutzung von elektronischen Wahlmaschinen. Foto: Dennis Hamilton (CC BY 2.0)

29. August 2016
0
0
8 min.
Drucken
Korrektur
Zwei Jugendliche und ein etwas älterer Mann sitzen in einem Büro an einem Tisch und tippen heftig auf ihren Tastaturen. Stundenlang ändert sich sonst nichts in dem privaten Video vom 01. Oktober 2010. Dann kommt der Satz, der jeden IT-Sicherheitsexperten den Atem anhalten lässt: «Mein Gott. Ich habe eine Shell», sagt einer. «Wir sind drin», bestätigt ein anderer.

Auf einer Tafel an der Wand hinter dem kleinen Schreibtisch aus Buchenholz stehen Punkte wie «Alte Wahl ersetzen», und «bereitmachen, die neue Abstimmung zu ersetzen».

Die Wahlmaschinen in Washington D.C., erfahren Sicherheitsverantwortliche wenig später, spielen Brass-Band-Songs, wenn eine Stimme abgegeben wird, die Namen der Kandidaten lauten auf einmal Bender und Hal.

Angriff auf das US-Wahlsystem ist wahrscheinliches Szenario

Zwei Sicherheitsleute stürmen den Serverraum. Dass sie dabei beobachtet werden, wissen sie nicht: durch die Sicherheitskameras verfolgen die Hacker jede Bewegung. Auf einem Bildschirm grüsst sie das Gesicht von Alex Haldermann.

Halderman, inzwischen Professor an der Universität von Michigan, von dem das Video stammt, unterdrückt heute noch das Grinsen, wenn er an diese Szene denkt. Hacker mit wirklich üblen Absichten würden sich kaum so auffällig verhalten.

Der Angriff auf die Wahlmaschinen im Disctrict Columbia war nur ein Test, den Halderman mit zwei Studenten durchgeführt hatte. Dass US-Wahlmaschinen Opfer eines Hackerangriffs werden, ist jedoch ein sehr wahrscheinliches Szenario, berichtet das Online-Magazin «Politico».

Gelernt hat Haldeman sein Handwerk bei einem, der es wissen muss: Andrew Appel, Professor an der renommierten Princeton University, der sich sich seit den 1990er-Jahren mit der Hard- und Software von US-Wahlmaschinen beschäftigt.

Ein Wahlautomat, der nur noch PacMan spielt

Zusammen mit seinem Kollegen Ed Felten, Wissenschafts- und Technologieexperte des Weissen Hauses, und seinen Studenten hackt der Princeton-Professor seit 2002 Wahlmaschinen. Appels Team hat etliche von ihnen mit selbstduplizierender Schadsoftware infiziert. Seine Studenten haben entdeckt, dass die Schlüssel für die Gerätegehäuse auf Ebay ersteigert werden können, und etliches mehr.

Einen Wahlautomaten reprogrammierte die «Princeton-Gruppe» so, dass er nur noch PacMan spielen konnte. Einen anderen liess sie eine fiktive Wahl zwischen Benedict Arnold und George Washington austragen, durch ein Programm, das in Sekundenschnelle andere Wahlmaschinen infizierte.

Der «Cyber-Akademiker» Appel warnt seit Jahren dringend vor unzähligen Sicherheitslücken der Wahlmaschinen, besonders vor denen von Touch-Screen-Modellen. Etliche von Appels ehemaligen Studenten halten mittlerweile Professuren an grossen US-Universitäten.

Ein Cyber-Angriff auf eine US-Wahl ist keine verrückte Hypothese

Nordkoreanische Hacker, die eine US-Wahl manipulieren, China, das gerne einen anderen Wahlausgang hätte, oder eine Hackergruppe, die einfach Spass am Chaos hat: das klingt heute nicht mehr nach dem Stoff eines irren ScFi-Romans.

Einen bewiesenen Cyber-Angriff auf eine US-Wahl hat es bisher noch nie gegeben. Bis eine elektronische Wahl Ziel eines Hackerangriffes werde, prognostizieren Felten und Appel, sei es jedoch nur eine Frage der Zeit. Bisher interessierten Appels Studien nur Fachleute. Nach dem Cyberangriff auf die Demokratische Partei der USA, bei dem internere Emails öffentlich wurden, wird er nun endlich gehört.

Ein Cyber-Angriff «ist keine verrückte Hypothese mehr», bestätigt Dan Wallach, einer der Schüler von Felten und Appel und inzwischen Professor für Computerwissenschaften an der bekannten Rice-Universität in Texas. «Diese Maschinen funktionieren schon in einem nicht aggressiven Umfeld kaum».

Vom ersten Tag an machten die Touch-Screen-Modelle Probleme

«Ein iPhone ist wahrscheinlich sicherer als die meisten dieser Wahlmaschinen», sagt Ari Feldman, ein weiterer Schüler Appels und Professor an der Universität von Chicago. Die Standards der grossen IT-Konzerne wie Apple, Google, Facebook seien höher als die der US-Wahlmaschinen.

Das hat mehrere Gründe. Die Investitionspolitik nach den Chaos-Wahlen in 2000, bei denen in Florida etliche Stimmen nochmals ausgezählt werden mussten, beispielsweise. Mit dem «Help America Vote Act» wurden danach 4 Milliarden Dollar für den Ausbau der Wahlinfrastruktur vom Kongress gesprochen.

Investiert wurden sie in jene modernen Touch-Screen-Maschinen, vor denen Appel und viele andere nun warnen. Funktioniert hätten sie noch nie wirklich, schreibt «Politico». Vom ersten Tag an habe es Probleme mit den Touch-Screen-Geräten gegeben.

Sie fielen aus (in Florida), zählten bis zu einem Viertel der Stimmen bei den Vorwahlen nicht (in Albuquerque), vergassen jede hundertste Stimme (in Virginia) oder lieferten unerklärliche Wahlergebnisse (New Jersey). 2006 gingen in Florida 18'000 Wählerstimmen verloren – bei einer Wahl, die mit einer Mehrheit von 400 Stimmen entschieden wurde.

Keine Sicherheitsrichtlinien, wenig Transparenz

Ein anderes Problem liegt in der föderalen Struktur der USA. Der Angriff auf die Mailserver der Demokraten hat auch die Schwächen der US-Regulierung offen gelegt: Es gibt kein nationales Gremium, das Sicherheitsfragen rund um die US-Wahlen behandelt. Jeder Staat regelt das für sich. Verbindliche technische Standards gibt es nicht. Das Einhalten einer Standardisierungsrichtlinie des «National Institute of Standards and Technology» und der Wahlunterstützungskommission ist freiwillig. Dazu unterscheidet sich die Durchführung der Wahlen in jedem County.

Einen Zertifizierungsprozess gibt es zwar, dieser ist jedoch freiwillig und wurde bereits mehrmals wegen fehlender Transparenz kritisiert. Die Testlaboratorien werden von den Herstellern bezahlt. 2008 wurden von fünf akkreditierten Testlabors zwei aus Qualitätsgründen ausgeschlossen.

IT-Sicherheitsexperten, die versuchten, die Maschinen zu durchleuchten, stiessen auf ein weiteres Hindernis: die darauf verwendete Software wird von den Produktionsfirmen als intellektuelles Eigentum behandelt und ist geheim.

Mieses Coding, fehlendes Sicherheitsverständnis, uralte Systeme

2003 wurde versehentlich der Code einer Touch-Screen-Maschine des Typs «Diebold AccuVote TS» öffentlich. Experten waren entsetzt über Anzahl und Ausmass der Sicherheitslücken. Schlecht gecoded, mies verschlüsselt, gegen Manipulation durch Angestellte des Wahlbüros kaum geschützt – das waren nur einige der Urteile, die Fachleute abgaben.

«Einen Studenten, der einen solchen Code schreibt, würde ich durchrasseln lassen», so der Computerexperte Avi Rubin, Professor an der John Hopkins Universität, der diesen mit untersucht hat. Die Fehler seien nicht nur schlimm, sagt er, sondern «inakzeptabel». Der Hersteller Diebold reagierte mit einer Mitteilung, in der der Code als obsolet bezeichnet wurde.

Auch die Handhabung der Geräte lässt mehr als zu wünschen übrig, listet «Politico» auf. In Virginia werden sie bis 2020 verboten sein – der Erfolg eines Kampfes, den der Computerwissenschaftler Jeremy Epstein jahrelang führte. Begonnen hat er 2002, als Epstein sich im Wählerbüro über das schlechte Design der Touch-Screens des Modells «WINVote» beschweren wollte, was in einen dreizehnjährigen Kreuzzug gegen ihren Einsatz mündete.

«Wenn diese Maschinen nicht gehackt wurden, dann nur, weil es keiner versucht hat»

Die Maschinen hatten WiFi Zugang, arbeiteten mit uralten Windows-Versionen und waren teilweise seit Jahren nicht gewartet worden, stelle Epstein fest. «Wenn diese Maschinen oder die Wahlen, bei denen sie eingesetzt wurden, nicht gehackt wurden, dann nur deshalb, weil es keiner versucht hat», sagt er.

Nicht einmal die Hardware hält einem Angriff stand. Andrew Appel hat das eindrucksvoll bewiesen: Statt sich auf Schleichwegen in eine Maschine einzuloggen, bestellte er einfach eine online. Für 82 Dollar wurde das 113 Kilogramm schwere Gerät in seinem Büro abgeladen.

In ein paar Sekunden hatte ein Student das Geräteschloss geknackt. Wenige Minuten später waren auch die ROM-Chips ausgetauscht. Normalerweise sind diese auf der Platine verlötet, hier waren sie es nicht. Mit den neuen Chips und einer darauf installierten passenden Firmware liesse sich nun jede Maschine beliebig manipulieren – auch ohne Zugang von aussen.

Larry Norden, der Autor einer Studie über die Sicherheit der Wahl-Systeme, die im September 2015 veröffentlicht wurde, verweist auf ein YouTube-Video, in dem festgehalten ist, wie Wähler eine Stelle auf dem Touch-Screen berühren, aber ein völlig anderer Kandidat ausgewählt wird. Das sei nicht das Werk eines feindlichen Hackers, sondern ein Zeichen dafür, dass sich der Kleber hinter dem Schirm löse, sagt er.

Ein einziger veralteter Rechner genügt

Die Begeisterung für digitale Wahlsysteme hat in den USA seit 2007 merklich abgenommen. Dennoch sind hunderte davon im Einsatz. Wie viele es genau sind, weiss niemand. In 13 Staaten sind papierlose Verfahren im Einsatz, in fünf Staaten wird komplett papierlos gewählt. Aus IT-Sicht ist die abnehmende Zahl der angreifbaren Maschinen keine Entwarnung. Ein veralteter Rechner genügt, um ein ganzes Netzwerk zu infizieren.

Und die Princeton-Gruppe warnt vor weiteren Sicherheitsrisiken. So könnten Hacker die Ergebnisse der US-Vorwahlen manipulieren, in die Software eingreifen, noch bevor sie fertig entwickelt ist, oder die Software beim Versand an die lokalen Wahlbüros abfangen. Welches Chaos eine Veränderung der Datenbanken zu Folge haben könnte, in denen die Wähler registriert sind, liess sich bei den Vorwahlen in New York vor kurzem erahnen (Infosperber berichtete).

Ohne physische Belege geht es derzeit (noch) nicht

Also zurück zum Papier? Vorschläge aus der Cyberwelt, die Wahlen komplett digital zu machen, die Resultate mit verschlüsselten Wählernamen dann öffentlich auszustellen und sie so vor Manipulation zu schützen, sind eher Zukunftsmusik. Etwas realistischer ist die Idee, den Wählerinnen und Wählern nach der Wahl zumindest eine gedruckte Quittung mitzugeben.

Derzeit ist «OpScan» die bestmögliche Option. 2012 wählten bereits 56 Prozent der US-Wähler mit einer Wahlkarte, die in einem optischen Scanner eingelesen wird. Wesentlich besser als die papierlose Wahl, sagt Appel, auch wenn die kumulierten Daten zur Stimmabgabe trotzdem digital vorgehalten werden, was sie wieder angreifbar macht. Zumindest gebe es mit den Wahlkarten physische Belege der Stimmabgabe, führt er an. Diese könnten in Form von Stichproben oder im Ganzen ausgezählt werden.

Was wäre wenn?

Eine eher hypothetische Annahme. Sollte sich ein Verdacht erhärten, dass die US-Präsidentschaftswahlen manipuliert werden, würde das politisch wie organisatorisch für ein enormes Chaos sorgen. Einen Plan für diesen Fall gibt es nicht.

Red. /Infosperber

Diesen Beitrag hat Daniela Gschweng aufgrund eines Berichts der Zeitung «Politico» erstellt. Grosse Medien in der Schweiz haben bisher nicht darüber berichtet.