Wahlverwaltungssysteme, das sind nicht die Wahlterminals selbst, die die Wähler zur elektronischen Stimmabgabe nutzen. Mithilfe ihrer Software können die verwendeten Wahlterminals programmiert werden. Außerdem tabellieren sie alle Endergebnisse der verbundenen Wahlterminals. Sie sitzen vielmehr im Hintergrund in den Wahlbüros der jeweiligen Landkreise. Da erscheint es haarsträubend feststellen zu müssen, dass ein so wichtiges System herstellerseitig mit einer Remote Access Software ausgestattet wurde.

Anfang März dieses Jahres kam heraus, dass der US-Hersteller Election Systems and Software im Zeitraum 2000 bis 2006 Wahlverwaltungssysteme mit Fernzugriffssoftware bestückt und verkauft hatte. Senator Ron Wyden deckte den Fall auf. Election Systems und Software bestätigte auf seine Anfrage, dass eine kleine Anzahl von Kunden Wahlverwaltungssysteme mit der pcAnywhere Fernverbindungssoftware gekauft habe. Das wirft natürlich sofort Fragen bezüglich der Sicherheit dieser Systeme und der Integrität der damit verwalteten Wahlen auf. Im Februar erschien ein Artikel in der New York Times zu diesem Thema. Seinerzeit sagte ein Unternehmenssprecher

„Wir haben pcAnywhere niemals auf einem der verkauften Wahlverwaltungssysteme installiert. Keinem unserer Mitarbeiter ist so etwas bekannt“.

Weshalb der Hersteller im März gegenüber Senator Wyden dann das Gegenteil zugab, ist daher nicht ganz klar. Vielleicht hatte eine Anfrage seitens des Gesetzgebers eine andere Gewichtung. Hier geht es schließlich um Beweisdokumente und eidesstattliche Aussagen und eine Falschaussage kann schwerwiegende Konsequenzen mit sich bringen.

Die Wahlverwaltungssysteme, um die es geht, wurden in ganz Amerika verkauft. Man geht davon aus, dass mindestens 60 % aller 2006 abgegebenen amerikanischen Stimmzettel in genau diesen Wahlverwaltungssystemen tabelliert wurden. Weshalb das Unternehmen die Fernverwaltungssoftware nicht auf allen verkauften Systemen aufgespielt hatte, ist auch noch eine offene Frage. Election Systems und Software habe die Installation von pcAnywhere Dezember 2007 eingestellt, hieß es. Damals hatte die US-Wahlhilfekommission, zuständig für die föderale Prüfung und Zertifizierung von US-Wahlsystemen, neue Wahlsystemstandards herausgegeben. Danach durfte nur für die Stimmabgabe und die Tabellierung unerlässliche Software aufgespielt werden.

Denn zuvor, in 2006, stahlen Hacker den Quellcode für eben diese pcAnyhere-Software vom Hersteller Symantec. Das gab Symantec allerdings erst sechs Jahre später zu, nur weil ein Hacker einen Teil des Quellcodes online stellte. Demnach wurden Nutzer der Fernverwaltungssoftware erst 2012 gewarnt und gebeten, die Software zu deinstallieren. Natürlich brachte der Vorfall Sicherheitsforscher auf den Plan, pcAnywhere auf kritische Schwachstellen zu prüfen. Und sie wurden fündig. Angreifern war es möglich, sich ohne Passwort im System anzumelden. Andere Forscher scannten das Internet nach dieser Software mit dieser Schwachstelle und fanden sie auf 150.000 Computern. Wer weiß, ob die einzelnen Wahlbüros überhaupt hiervon in Kenntnis gesetzt wurden. Und wenn, wer dort überhaupt fähig war, die Software der Wahlverwaltungssysteme zu aktualisieren. Was nützte die Gesetzesänderung den im Vorzeitraum verkauften Systemen?

Solche Fernverwaltungssoftware ist generell eine praktische Sache und erleichtert Wartungsarbeiten oder Softwareaktualisierungen. Aber ob sie für Wahlverwaltungssysteme und Wahlterminals das richtige Tool ist, kann ohnehin stark angezweifelt werden. Solche Systeme sollten schon rein aus Sicherheitsgründen völlig vom Internet und allen damit verbunden anderen Systemen abgekoppelt sein. Alles andere wäre – und war in diesem Fall – ein riesiges Sicherheitsrisiko.

Und es bleibt der Geschmack haften, dass Hacker sich wohl durchaus mit dem gestohlenen Quellcode Zugang verschafft haben könnten. Zuletzt hatten russische Hacker sich in die Präsidentschaftswahlen 2016 eingemischt. Danach kam heraus, dass sie es gezielt auf amerikanische Firmen abgesehen hatten, die Wahlverwaltungssoftware herstellen. Das hätten durchaus auch die Wahlverwaltungssysteme von Election Systems and Software sein können. Douglas Jones, Professor für Informatik an der Universität von Iowa und langjähriger Experte für Wahlverwaltungssysteme, bestätigte, dass auch andere Hersteller in dieser Zeit Fernzugriffssoftware installiert hätten. Wartungspakete sind heute Teil der meisten Kaufverträge.

Die anberaumte Anhörung wird zeigen, was hier genau vorgegangen ist. Election Systems and Software wird sich verantworten und auch Stellung beziehen müssen. IT-Sicherheitsexperte John Pescatore zieht Vergleiche mit dem VW-Skandal. VW wurden rund fünf Milliarden US-Dollar Geldbußen aufgebrummt, nachdem festgestellt worden war, dass bei der Berechnung der Emissionen an Dieselmotoren gelogen und betrogen wurde. Für Pescatore sieht es bei der Wahlverwaltungssoftware ganz ähnlich aus. Seit zehn Jahren hätte der Hersteller seiner Meinung nach gelogen und behauptet, die Wahlsysteme wären nicht über das Internet zugänglich. Aber jede ernsthaft durchgeführte Sicherheitstechnische Untersuchung findet Internetzugänge.

Artikel von motherboard.vice.com, 17.07.2018: Top Voting Machine Vendor Admits It Installed Remote-Access Software on Systems Sold to States
Artikel von wyden.senate.gov, 06.03.2018: Anfrage des Senators Wyden an ES&S

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0