Update: Barcodes bei der Kommunalwahl in Bayern
Es gibt jetzt eine Antwort auf die Pressemitteilung des Chaos Computer Club, der vor der Nutzung von Barcode-Systeme bei der Kommunalwahl warnt. Die “Anstalt für kommunale Datenverarbeitung in Bayern” erklärt darin: “Barcodelesestifte machen Wahlauszählung sicher und überprüfbar“.
Wenn diese Sicherheitshinweise beachtet werden und der Barcodeleser zum Einsatz kommt, wird die Möglichkeit zur Manipulation nahezu die ganze Storyausgeschlossen.
Zum Thema Barcode-Sicherheit sei der Vortrag von FX auf dem 24C3 empfohlen: Toying with barcodes - Jemandem einen Strich auf die Rechnung machen.
Apropos Wahlhelfer: Diese werden ja immer händeringend gesucht und der Einsatz von Wahlcomputern wird oftmals damit begründet, dass man nicht genug Wahlhelfer findet. Wenn sich jedoch Wahlhelfer bewerben, die über die notwendige IT-Kompetenz verfügen, werden diese nicht genommen. Das ist dem Informatiker Christian Heßmann in Germering / Bayern passiert. Er wurde wieder ausgeladen, nachdem er an einer Schulung teilgenommen hatte und anschliessend seine Erfahrungen im Internet publizierte. Die Ausladung wurde damit begründet, dass er “verwaltungsinterna nach außen” getragen habe. In seinem Blog schildert Christian Heßmann nochmal die ganze Story.
Soviel zur Transparenz in Bayern.
[...] in Bayern - alles sicher? Wie ich gerade bei netzpolitik.org gelesen habe, hat sich der Hersteller der Wahlsoftware mit einer Pressemitteilung zu Wort gemeldet. [...]
Die bayerische Kommunalwahl und die IT…
In den letzten 24 Stunden ist aus einem leichten “Staub aufwirbeln” ein ziemlicher Wirbelsturm geworden, und schuld daran sind Artikel wie dieser und dieser.
Aber von Anfang an…
Halb durch die “Hacker zu Wahlhelfern Aktion des C…
[...] Bei heise online und Golem habe ich bisher keine Artikel gefunden, jedoch bei Netzpolitik und in der Süddeutschen, auch [...]
[...] [update] und noch mal (hier und hier) [...]
Auch in meiner Gemeinde werden die Barcodeleser benutzt. Ich war kuerzlich auf der entsprechenden Schulung. Vorneweg: ich war zuvor bereits Helfer bei mehreren Kommunalwahlen, kann also gut einschaetzen, wie aufwaendig das alte Verfahren ist. Fuer die auszaehlenden Wahlhelfer bringt das neue Verfahren IMHO keine Vorteile, lediglich die Schriftfuehrer und die Angestellten in den Rathaeusern tun sich wesentlich leichter, weil sie zur Ermittlung des Endergebnisses nur noch die USB-Sticks einstecken muessen.
Nun zu meinen Kritikpunkten am Verfahren selbst:
1. Auch bei uns werden z.T. private Rechner der Wahlvorsteher benutzt. Das war jedenfalls die Aussage auf der Infoveranstaltung. Unsere Gemeinde ist eine sehr grosse Flaechengemeinde, entsprechend viele kleine Wahllokale gibt es, dafuer kann die Gemeinde nicht ausreichend viele eigene Rechner bereithalten.
2. Die Zugangsdaten fuer die offiziellen Rechner sind so primitiv gewaehlt, dass sie einfachst zu erraten sind. Dabei ist aber Raten gar nicht noetig, denn Login und Passwort wurden bereits auf der oeffentlich zugaenglichen Veranstaltung verkuendet.
3. Die Daten werden nicht nur auf den USB-Sticks gesichert, sondern vorsichtshalber in einem Verzeichnis auf der Festplatte, das direkt im Nutzerverzeichnis (unter c:\Dokumente und Einstellungen\Nutzername\) angelegt wird, gespiegelt.
4. Die Daten sind in einfachen Textdateien abgelegt, die mit jedem Editor betrachtet und geaendert werden koennen. Dabei stehen die Daten fuer jeden Wahlzettel in einer Zeile, die mit der Wahlbezirksnummer beginnt, gefolgt von der Nummer des Wahlzettels. Anschliessend folgen relativ kurze Zahlenkolonnen und evtl. eingetragene Anmerkungen zur Ungueltigkeit des Wahlzettels im Klartext.
5. Auf der Infoveranstaltung waere es ein leichtes gewesen, das Programm und Musterwahlzettel mitgehen zu lassen. Ein gewiefter Hacker sollte die abgelegten Dateien relativ schnell geknackt haben. Zusammen mit den absolut ungenuegend abgesicherten Rechnern sind der Manipulation Tuer und Tor geoeffnet.
Mein Fazit: Das Verfahren in Bayern ist zwar nicht so krass wie Wahlcomputer, Manipulationen sind hier aber wohl noch einfacher moeglich.
[...] per Barcodes ist allerdings, wie der ChaosComputerClub dargelegt hat, äußerst problematisch und nicht fälschungssicher. Zwar behauptet die Anstalt für Kommunale Datenverarbeitung in Bayern das Gegenteil, dennoch [...]
[...] mit dieser technischen “Hilfe” statt. Dazu gab es bereits im Vorfeld Kritik und Diskussionen. Der CCC Regensburg hat einige Informationen dazu [...]
[...] Sonntag waren Kommunalwahlen in Bayern (wie wir schon wissen). Nicht nur die Wahlhelfer - sogar wählbare Kandidaten durften ihre eigenen Computer [...]