Estland: Gravierende Sicherheitsmängel bei Internetwahlen

323474324_7a0e00b089_zAnfang dieser Woche hat ein Team, bestehend aus international unabhängigen IT-SicherheitsexpertInnen, angefangen Ergebnisse zur Sicherheit von Estlands Internet-Voting-System zu veröffentlichen.

Unter estoniaevoting.org wird nach und nach alles veröffentlicht. Die erste Zusammenfassung liest sich schon mal eindeutig vernichtend:

What we found alarmed us. There were staggering gaps in procedural and operational security, and the architecture of the system leaves it open to cyberattacks from foreign powers, such as Russia. These attacks could alter votes or leave election outcomes in dispute. We have confirmed these attacks in our lab — they are real threats. We urgently recommend that Estonia discontinue use of the system.

Die Expertengruppe empfiehlt also dringend, aufgrund gravierender Sicherheitsmängel, die Internetwahlen zu stoppen.

In einem Artikel auf heise wird das so zusammengefasst:

Kritische Software würde über ungesicherte Internetverbindungen heruntergeladen, geheime Passworte und PINs unter der Aufsicht von Videokameras eingegeben und die Verteilung der Wahlsoftware an die Bürger auf ungesicherten Computern vorgenommen.
[…]
In einem Szenario sei es gelungen, mit Malware auf dem Computer des Wählers trotz der Absicherung durch elektronischen Personalausweis und Smartphone-Verifizierung unbemerkt Stimmen zu stehlen. Mit einem weiteren Szenario lasse sich zeigen, berichtet Halderman, dass auch Malware-Angriffe auf den Auszählserver möglich seien, die das offizielle Endergebnis in gewünschter Weise beeinflussen.

Der eben zitierte Alex Halderman, sollte der treuen Leserschaft hier ein Begriff sein. Halderman leitet u.a. den offenen Onlinekurs: Securing Digital Democracy an der University of Michigan.

Ausführlicher beschrieben ist die Situation zum Internetwahlsystem in Estland auf den Seiten von estoniaevoting.org.
Nach den Europawahlen diesen Monat – bei denen in Estland ebenfalls wieder übers Internet gewählt werden kann – soll auch entsprechender Programmcode veröffentlicht werden, der die Analyse der SicherheitsexpertInnen weiter untermauern soll.

(Foto: Voting Machine Bumpersticker, by Raymond Gilford, CC by-nd)

Veröffentlicht unter e-voting, international, internetwahlen | Verschlagwortet mit , , , , | 1 Kommentar

Octopus Voting

Im ukrainischen Parlament (Rada) gibt ein Abstimmungssystem, das Rada 3 KYIV. Ähnliche elektronische Systeme gibt es auch im usbekischen und tadschikischen Abgeordnetenhaus.

kiev rada 3 system

Auf diesem Foto ist es gut zu erkennen, direkt vor jedem Abgeordneten befinden sich die Abstimmungstasten.

Dass Abstimmungen in der ukrainischen Rada mit Hilfe dieses Systems gefälscht worden sind, beweisen Fotos und Berichte von Parlamentariern, deren Stimmkarten unberechtigt genutzt wurden. Das sogenannte Octopus Voting sieht dann so aus:

kiev octopus voting

Weil es so schön anzusehen ist, gleich noch ein paar mehr Beweisfotos:

octopus voting

octopus voting

ccc wahlcomputer-logo e-voting

Veröffentlicht unter e-voting, international | Verschlagwortet mit , | Kommentar hinterlassen

Geheimdienst-Affäre: Misstrauen bei E-Voting wächst

Der Schweizer Tagesanzeiger berichtet heute in einem Artikel über das zunehmende Misstrauen bei elektronischen Wahlen. Die Schweiz galt bislang als eines der europäischen Vorreiterländer in Sachen E-Voting.
Durch die Enthüllungen von Edward Snowden in den letzten Monaten, hat sich dieses Bild mittlerweile gewandelt. Es wird berichtet:

«Es gibt nichts Gefährlicheres in einer Demokratie, als wenn man das Vertrauen in Abstimmungen untergräbt», mahnt Christoph Blocher. Genau dies geschehe nun mit der vom Bundesrat geplanten Einführung des E-Votings. Die NSA-Affäre zeige, wie gefährlich das elektronische Übermitteln und Speichern von Daten sei, kritisiert der SVP-Vizepräsident in einem Interview mit der «Schweiz am Sonntag». Elektronische Abstimmungen könnten manipuliert und das Stimmgeheimnis könnte kaum gewährleistet werden.

Nicht nur der 73-jährige Rechtskonservative, der mit Computern seine liebe Mühe hat, hegt Bedenken. Auch der 41-jährige Balthasar Glättli, der auf Twitter und Facebook aktiv ist, mahnt zur Vorsicht. Der grüne Nationalrat hat vor einem Monat eine Motion eingereicht, die den Bundesrat zum Stopp der E-Voting-Versuche zwingen will – bis das elektronische Abstimmen sicher ist.
[weiterlesen]

Wie lange es dauern wird bis elektronisches Abstimmen sicher ist und dabei die Wahlrechtsgrundsätze eingehalten werden, ist fraglich.

Abgesehen von der immer weiter bröckelnden Front der E-Voting-Befürworter, gibt es natürlich auch weiterhin Leute, die kein Problem darin sehen Wahlen im Internet durchzuführen. Argumentiert wird wieder einmal mit der beliebten „technikfeindlichkeit“ der E-Voting-Gegner:

«Aber wir sollten nicht in die Steinzeit zurückkehren und die Projekte abbrechen», so [SP-Vizepräsidentin] Fehr.

Auch wenn die Enthüllungen von Edward Snowden bislang zu keinem massenhaften Aufstand bei dem Großteil Bevölkerung geführt haben, so setzt doch zumindest langsam an einigen Stellen ein Nachdenkprozess ein, unter welchen Umständen wir digitale Technologien nutzen wollen und wo diese Fehl am Platz sind.

Veröffentlicht unter e-voting, international, news | Verschlagwortet mit , , , , , | Kommentar hinterlassen

Zaghafte Diskussion

Wir berichten in größeren Abständen bereits seit 2009 über die E-Voting-Versuche in der Schweiz, wo seit über zehn Jahren allerlei Internetwahl-Pilotversuche und später tatsächliche Abstimmungen stattfanden. Die E-Voting-Kritiker sind dort bisher noch keine sehr laute Schar.

Die Neue Zürcher Zeitung hat nun immerhin einen lesenswerten Gastkommentar von Niklaus Ragaz, Honorarprofessor für Wirtschaftsinformatik in Bern, gebracht, in dem er auch auf das nach wie vor bestehende Problem hinweist, Manipulationen sicher zu erkennen:

Es ist nicht möglich, ein eventuell manipuliertes Resultat zuverlässig nachzuzählen. Selbst ein lückenloses Protokoll auf dem Server kann Stimmen, welche schon manipuliert auf dem Server ankamen (oder unterdrückt wurden), nicht als manipuliert erkennen. Insgesamt ist zwar viel Aufwand nötig, um E-Vote zu manipulieren, aber im Gegensatz zur Manipulation einer Briefwahl kann mit einer solchen Aktion eine grosse Anzahl Stimmen verändert und damit das Resultat sehr wirksam beeinflusst werden. [1]

Heute nun erschien in der NZZ eine Antwort auf den Gastbeitrag, geschrieben von Barbara Perriard aus der Bundeskanzlei, die zuständig ist für die „Vote électronique“ getauften Internetwahlen. Sie macht klar, was das Ziel der Bundeskanzlei ist, bleibt jedoch jede Form der Konkretisierung schuldig, wie die verschiedenen von Ragaz aufgeworfenen Probleme gelöst werden könnten. Vielmehr als Phrasen liefert sie nicht:

Es ist erklärtes Ziel des Bundesrats, Vote électronique als dritten komplementären Stimmkanal einzuführen, neben der Stimmabgabe an der Urne oder per Brief. Dies stellt die Verantwortlichen von Bund und Kantonen vor grosse Herausforderungen; sie setzen deshalb alles daran, höchste Sicherheitsanforderungen für elektronische Wahl- und Abstimmungssysteme umzusetzen, an neue Entwicklungen anzupassen und laufend zu kontrollieren. [2]

Was die „harten Kriterien“ und „neuen Sicherheitsanforderungen“ sein sollen, die tatsächlich Manipulationen verhindern und eine sinnvolle Wahlbeobachtung ermöglichen könnten, darüber verliert sie kein Wort. Letztlich stellt sie die Einführung von Internetwahlen ein weiteres Mal als alternativlos dar, als schlicht modern. Und offenbar sind die NSA- und sonstigen Geheimdienstskandale in der Schweizer Bundeskanzlei mitsamt den neuen Fragestellungen zur massenhaften Internetüberwachung auch noch nicht angekommen.

Aber vielleicht beginnt ja die Diskussion in der Schweiz doch noch.

[1] Siehe Gefährdung demokratischer Institutionen

[2] Siehe Politische Rechte im Digitalzeitalter

ccc wahlcomputer-logo e-voting

Veröffentlicht unter e-voting, internetwahlen | Verschlagwortet mit , , | 2 Kommentare

Schweizer E-Voting ist manipulierbar

Kurzes News-Update:
Wie netzpolitik.org berichtet, ist auch das schweizer E-Voting System nicht vor Angriffen sicher.

Das E-Voting System das in der Schweiz in Genf, Bern, Luzern und Basel-Stadt eingesetzt wird, wurde durch Sicherheitsexperten Sebastien Andrivet gehackt. Andrivet hatte auf der französischen Hacker Konferenz “Nuit du Hack“, die Ende letzten Monats in Paris stattfand, demonstriert wie man das E-Voting System manipulieren kann. Für den Angriff hat er einen Virus geschrieben, der es ermöglicht die Stimmabgabe zu verändern. Allerdings hat Andrivet die Attacke auf seinen eigenen Servern simuliert und sagt selbst, dass er nicht weiß, inwiefern dieser Angriffsvektor in der Realität reproduzierbar wäre – er sieht es eher als “Proof of Concept”.

Veröffentlicht unter e-voting, international, news | Verschlagwortet mit , , , | Kommentar hinterlassen

Estland veröffentlicht Source Code für E-Voting System

Seit 2005 kann man in Estland auch über ein E-Voting System bei Wahlen abstimmen. Dieses System fand mittlerweile bei 5 Wahlen Einsatz. Diese Woche wurde der Source Code der Server Software auf github veröffentlicht und ist somit für alle einsehbar.

Ganz unumstritten war das System auch vor der Veröffentlichung des Source Codes nicht. So fand 2011 ein Student aus Estland eine potentielle Sicherheitslücke, die es ermöglichen soll, dass Stimmen für bestimmte Kandidaten nicht gezählt werden, ohne dass der Wähler davon etwas mit bekommt.

Der Entwickler der Software, Tarvi Martens, sieht das natürlich etwas anders:

The technology is secure, but political consensus needs to be reached

Computer Wissenschaftlerin Barbara Simons, die 2011 nach Tallinn eingeladen wurde, äußerte ihre Bedenken gegenüber E-Voting Systemen generell:

Speaking in general terms, not about Estonia’s system in particular, she said that the nature of e-voting makes it impossible to audit or recount the votes. She also warned of the possibility of software viruses or worms that could infect a computer, casting votes without the user’s knowledge.

Ob das veröffentlichen einer Softwarekomponente eines E-Voting Systems, dieses System sicher macht, darf also weiterhin stark bezweifelt werden.

[via Estonian Public Broadcasting]

Veröffentlicht unter e-voting, international | Verschlagwortet mit , , , , | 1 Kommentar

Optische Scanner

Als Alternative zu Wahlcomputern finden immer mehr optische Scanner-Systeme Anwendung. Dafür werden häufig die Wahlzettel so angepaßt, daß der Zählcomputer sie besser einlesen kann. Hier ist ein typisches Bild, wie Wahlzettel dann gestaltet werden.

Die Anbieter solcher optischen Scanner versprechen, daß die Vorteile des Papiers erhalten bleiben, aber die Zählung schneller erfolgen kann. Wenn Probleme auftauchen, können händische Nachzählungen schließlich stattfinden, denn das Papier ist ja vorhanden.

Solche Systeme werden bereits seit den 1960er Jahren entwickelt. In der Realität sieht es aber manchmal anders aus als in den Versprechungen der Werbebroschüren. Das zeigte sich beispielsweise in London, wo erst gar keine Stichprobenzählungen vorgesehen waren, um Softwarefehlern der Scanner oder Manipulationsversuchen auf die Schliche zu kommen.

Aktuell gibt es ein Beispiel aus New York City, auch dort wurden die Markierungen mit Stift auf Papier vorgenommen und danach gescannt. Die dortigen Scanner der Marke „Imagecast“ konnten einige Stimmabgaben aber nicht erkennen, wenn ein Wähler etwa statt der vorgeschriebenen Ellipse einen Kreis beim präferierten Kandidaten gezeichnet hat.

Das gab natürlich in einigen Wahlbezirken ordentlich Streit, in umstrittenen Fällen sogar mehr als siebzig Tage lang. Einem der Gewinner, dem Demokraten Cece Tkaczyk aus dem County Montgomery, blieben nur 18 Stimmen von über 100.000 als Vorsprung. Die Papierstimmen wurden bizarrerweise dennoch nicht nachgezählt.

Die „Daily News“ aus New York holten sich daraufhin mit Hilfe des Informationsfreiheitsgesetzes über 18.000 eingescannte Bilder dieses Countys und ließen sie prüfen. Das Ergebnis:

The study turned up seven ballots on which voters selected a candidate without being detected by scanner. Extend that error rate over the entire district and the total number of missed votes in a race decided by 18 ballots climbs to 51.
While it is highly probable that Tkaczyk would still prevail […], the results show that certifying a winner in a very narrowly divided primary could last far longer than the three weeks now scheduled between the primary and runoff.“ [1]

Neben bloßen Fehlern sind aber auch Anfälligkeiten für Manipulationen bekannt: Schon 2005 hat Harri Hursti (pdf) gezeigt, daß optische Systeme angreifbar sind.

Aber keine Angst, das wird sich in New York nicht wiederholen. New York City wird zu mechanischen Hebelmaschinen zurückkehren (kein Witz, siehe Quelle).

[1] Daily News America: Good machine politics, 25. Juni 2013.
ccc

ccc wahlcomputer-logo e-voting

Veröffentlicht unter e-voting, international | Verschlagwortet mit , | Kommentar hinterlassen