Mitte März hatten Alex Halderman und Vanessa Teague öffentlich über eine Schwachstelle in dem australischen Online-Wahlsystem iVote (sic) berichtet, das sie den zuständigen Stellen in Australien auch zur Kenntnis gegeben hatten. Die von der Firma Scytl angebotene Software wurde erstmalig für die australischen Wahlen 2015 eingesetzt. Für etwa eine Woche war das System bereits in Benutzung, als Haldermans und Teagues Analyse öffentlich wurde, weswegen in diesem Zeitraum mehrere zehntausend Stimmen manipulierbar gewesen wären. Es geht dabei konkret um 66.000 abgegebene Stimmen.
Halderman forscht mit wechselnden Teams seit mehr als fünf Jahren über Wahlcomputer und Online-Wahlsysteme und hatte verschiedene technische Unzulänglichkeiten und schwerwiegende Sicherheitsmängel aufgedeckt, etwa in Indien und Estland. Da Wahlen aber ein Markt sind, geht das Hase-und-Igel-Spiel zwischen Anbietern und Sicherheitsforschern sicher noch ein paar Jahre weiter.
Wie so oft, erfolgte die Reaktion der Verantwortlichen nach demselben Muster, das beim Hinweis auf Schwachstellen viel zu oft zu beobachten ist: Man prügelt auf diejenigen ein, die das System analysieren und die Sicherheitslücken aufdecken. Überhaupt brauche man sich vor Online-Wahlen nicht zu fürchten, das Ganze sei nur eine Art Anti-Online-Wahlen-Kampagne und die Bedenken seien „overblown“. Die zuständige Kommission (Electoral Commission) musste zwar einräumen, dass das Online-Wahlsystem manipulierbar gewesen sei, man hätte aber durch einen Patch nun die Sicherheit wiederhergestellt.
Die EFF kommentiert in ihrer kurzen Stellungnahme mit dem Titel „New South Wales Attacks Researchers Who Found Internet Voting Vulnerabilities“ treffend:
Sadly, NSW [New South Wales] officials seemed more interested in protecting their reputations than the integrity of elections. They sharply criticized Halderman and Teague, rather than commending them, for their discovery of the FREAK attack vulnerability.
Vielleicht sollte man doch langsam dazu übergehen, Schwachstellen nicht mehr zu melden, sondern für die Manipulation der Wahl auszunutzen. Aber das verstieße sicher nicht nur gegen die Hackerethik. :}
Ich finde nicht, dass das per se gegen die Hackerethik verstößt. Wenn man die Wahlen so manipuliert, dass es auffällt und im Nachhinein, oder währenddessen ist noch besser, auch noch (anonym) bekannt gibt, dass man die Wahlen manipuliert hat, finde ich das Verantwortungsvoller als das was jetzt gemacht wird. Also auf das Gesamtsystem bezogen. Die Forscher agieren imho ja jetzt schon Verantwortungsbewusst. Die können ja nicht mehr viel anders machen.
Ich empfehle die Lektüre von Eschbachs „Ein König für Deutschland“. :-)
Ich denke die Manipulation von Wahlen ist in vielen Ländern eine schwer bestrafte Handlung. Wie schaut es damit aus, wenn an der Ausführung der Wahlen Beteiligte mutwillig oder fahrlässig einer Manipulation Vorschub leisten? Oder eine Stufe weiter, wenn politisch Verantwortliche, entgegen besseren Wissens, der Manipulation Vorschub leisten?
Anders gesehen, werden Wahlen in größerem Maßstab als manipuliert anerkannt, gehe ich doch davon aus, dass sie wiederholt werden müssen, oder? In dem Fall sollte auch als gesichert gelten, dass aktuell verantwortlich regierende, als Verantwortliche für das Vorschubleisten zur Manipulation zu gelten haben, oder?
Es ist eher fraglich, ob tatsächlich jede Manipulation eines Wahlcomputers oder eines Online-Wahlsystems gemäß der deutschen Gesetzgebung strafbar wäre, etwa wenn es sich um einen ausländischen Hersteller handelt. Da § 107a StGB nicht im Katalog des § 5 StGB über Auslandstaten gegen inländische Rechtsgüter aufgeführt ist, könnte beispielsweise eine Veränderung an Hard- oder Software von zwar in Deutschland eingesetzten, aber etwa in den Niederlanden manipulierten Wahlcomputern straffrei bleiben. Nach § 7 StGB bliebe dieser Wahlmanipulierer ebenfalls straffrei, falls er kein deutscher Staatsangehöriger wäre.
„… man hätte aber durch einen Patch nun die Sicherheit wiederhergestellt.“
Absurd! – im kaum beachteten Holsteiner Disput zwischen Sepp Herberger und Otto Rehhagel bringt Herberger es auf den Punkt: Nach dem Patch sei – immer noch – vor dem Patch, und nicht etwa liege, wie Otto voreilig und zu Unrecht anmerke, die Wahrheit im Patch, sondern zwar unbestreitbar faktische Wahrheit (z.B. 1:0), diese aber nur „temporär und lediglich“, so Herberger, indem weitere Wahrheiten folgen würden, die mit der Wahrheit von gestern oder „eben noch“ (1:2), wenig gemein hätten, diese sogar ad absurdum zu führen scheinen. Er, Herberger, habe zum Beispiel geglaubt, nach dem ersten Patch sei openssl sicher, dabei habe er es doch eigentlich besser wissen müssen. Bevor er eine Wahlmaschine benutze, trete er von seinem Amt als Bundestrainer zurück.