Jährlich kommen einige Tausend Sicherheitsforscher und White Hat Hacker aus aller Welt auf der Defcon Cybersecurity Conference zusammen. Im August dieses Jahres fand sie wieder in Las Vegas statt. Es gab dort wieder viele sogenannte Villages, die alle einen bestimmten Themenkreis behandeln: IoT Village, Biohacking Village, Crypo & Privacy Village, Wireless Village und viele mehr. Wie schon im Vorjahr, gab es auch wieder das Voting Village, das US-amerikanische Wahlmaschinen im Fokus hat. In der Voting Village konnten Hacker daher wieder die Cybersicherheit verschiedener Wahlmaschinen testen. Ein Monat später wurde nun ihr Abschlussbericht veröffentlicht. Und die Ergebnisse sind leider nicht sehr vertrauenserweckend.

Eine Sicherheitslücke wurde entdeckt in einem Hochgeschwindigkeitstabelliersystem für Wahlen zum Auszählen von Stimmen in den Landkreisen von 23 US-Staaten. Angreifer wäre es damit möglich, das System der Wahlmaschinen über ein Netzwerk zu kapern und die Anzahl der Stimmen zu manipulieren. Die recht weit verbreitet genutzte Wahlmaschine ES & S M650 kann zur Normal- und Briefwahl Stimmzählung eingesetzt werden. Das Gerät der Firma Election Systems & Software ist im Prinzip ein vernetzter Hochgeschwindigkeitsscanner, der in einem Bezirksgeschäftsstellen-Netzwerk steht und dort betrieben wird. Es läuft mit dem Echtzeitbetriebssystem QNX 4.2, das bis zur Version 7.0 von BlackBerry entwickelt und vermarktet wurde. Die Wahlmaschine verwendet Iomega Zip-Laufwerke, um Wahldaten von und zu einem windowsbasierten Managementsystem zu verschieben. Sie speichert außerdem Ergebnisse auf einem SanDisk Flash-Speichergerät mit 128 Megabyte ab, das direkt auf der Systemplatine montiert ist. Die Ergebnisse der Tabellierung werden als gedruckte Berichte auf einem angeschlossenen Pin-Feed-Drucker ausgegeben. Soweit die Funktionsweise.

Der Bericht der sechs Sicherheitsexperten deckt nun einige brisante Schwachstellen auf, die in vier Hauptbereiche unterteilt werden konnten, gestaffelt von „ernsthaft bis unbestreitbar“ bedenklich, die alle entsprechend dringend angegangen werden müssten. Die Experten fanden es sehr kritisch, dass es überhaupt keine Form einer Lieferkettensicherheit für Wahlmaschinen gibt. Solche Maschinen können tatsächlich nicht auf vorsätzliche Manipulation oder Vertrauenswürdigkeit überprüft werden. Und das schließt auch kompromittierte Komponenten, wie Chips, ein. Unvorstellbar schlimm wären die Szenarien, wenn diese Wahlmaschinen ferngesteuert manipuliert werden könnten.

Der Hersteller stuft dieses Szenario übrigens als unmöglich durchführbar ein. DEF CON Sicherheitsexperten hatte jedoch Tests durchgeführt und sogenannte Remote-Hacking-Schwachstellen entdeckt, die tatsächlich keinen physischen Zugriff auf die Wahlgeräte erfordern. Ein weiterer Hack kam einem Fehler in einer elektronischen Karte zur Aktivierung von Wahlterminals auf die Spur. Der Fehler ließ es zu, dass die Karte kabellos mit einem mobilen Gerät programmiert werden konnte. Damit konnten theoretisch mehrfache Stimmen abgeben werden.

Was die Sicherheitsforscher am meisten frustriert ist, dass selbst gemeldete Schwachstellen und Fehler vom Hersteller einfach nicht behoben werden. Sie verwiesen auf eine Sicherheitslücke in der Wahlmaschine, die man dem Hersteller vor mehr als 10 Jahren gemeldet hatte. Diese war nie behoben worden. Und alle Wahlmaschinen kamen für die Wahlen in 2016 zum Einsatz. Der Hersteller berichtete, dass diese Modelle schon seit 2008 nicht mehr hergestellt werden. Der Unternehmenssprecher Christopher Wlaschin wiegelte die Sicherheitsgefahren jedoch ab:

„Die Sicherheitsmechanismen des M650 sind stark genug, um das Hacken in eine reale Umgebung extrem zu erschweren. Daher ist MS50 sicher genug, um bei einer Wahl eingesetzt zu werden.“

Wlaschin sagte außerdem:

„Wir meinen, und unsere Kunden glauben, dass das ausreicht und wir sehen keinen Wert darin, unsere Ausrüstung oder unsere Software an anonyme Hacker zu senden, deren Absichten uns unbekannt sind.“

Eine wirklich erstaunliche Einstellung angesichts der erschreckenden Tatsache, dass der Ausgang von US-Wahlen die Weltpolitik stark beeinflussen kann.

Artikel von arstechnica.com, 28.09.2018: Defcon Voting Village report: Bug in one system could “flip Electoral College”
Artikel von cyberscoop.com, 27.09.2018: DEF CON report finds decade-old flaw in widely used ballot-counting machine
Artikel von thehill.com, 27.09.2018: Widely used election machines are vulnerable to cyberattack: report

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0