Probehacken erfolgreich: Die Sicherheit der amerikanischen Wahlsysteme ist lausig

Dreißig Wahlcomputermodelle wurden auf der Hackerkonferenz DEF CON einem Test unterzogen – sie fielen durch. Die Organisatoren des „Voting Machine Hacking Village“ wollten aber nicht nur zeigen, wie Angriffswege praktisch aussehen, sondern auch eine politische Diskussion in Gang bringen.

Das Hotel Caesars Palace in Las Vegas, in dem die DEF CON stattfand. CC-BY-NC 2.0 Thomas Hawk

Auf der diesjährigen DEF CON hat sich wieder ein „Voting Machine Hacking Village“ zusammengefunden. Die Teilnehmer setzten sich mit den in den Vereinigten Staaten verbreiteten Wahlcomputern, deren Technik und Verwundbarkeiten auseinander. Ziel waren dabei Angriffe auf die Systeme, um beispielsweise Wahlergebnisse manipulieren und damit konkrete Schwächen aufzeigen zu können. Im Ergebnis hielt keiner der Wahlcomputer den Angriffen stand.

Die DEF CON ist eine jährliche Hackerkonferenz in Las Vegas. Im vergangenen Jahr schon hatten die Organisatoren insgesamt 25 verschiedene Wahlsysteme zur Verfügung gestellt, die nach drei Tagen allesamt von Konferenzteilnehmern gehackt worden waren. Sie manipulierten die Ergebnisse, verseuchten die Computer mit Schadsoftware oder sabotierten sie, so dass sie nicht mehr korrekt funktionierten.

Dass die anhaltenden Diskussionen um russische Manipulationsversuche bei vergangenen und kommenden Wahlen einen Einfluss darauf hatten, das Voting Village dieses Jahr wieder anzubieten, damit hielten die diesjährigen Organisatoren nicht hinter dem Berg. Man wolle die Öffentlichkeit einerseits über Schwachstellen informieren, andererseits aber auch rechtliche Regeln und ökonomische Zusammenhänge erklären.

Es sei naiv anzunehmen, dass man die Sicherheit der amerikanischen Wahlsysteme nicht auch in Russland unter die Lupe nehme. Das beträfe aber nicht nur die Geräte an sich, sondern auch die Infrastruktur der gesamten Wahlen. Hinzu komme, dass Hardware-Komponenten oft aus China oder anderen Staaten stammen, was ein weiteres Risiko für Angriffe darstellen könnte. So steht es dann auch im Bericht des Voting Villages (pdf):

A nation-state actor with resources, expertise and motive, like Russia, could exploit these supply chain security flaws to plant malware into the parts of every machine, and indeed could breach vast segments of U.S. election infrastructure remotely.

(Ein staatlicher Akteur mit Ressourcen, Expertise und Motivation, wie Russland, könnte die Sicherheitslücken der Lieferkette ausnutzen, um Schadsoftware in Komponenten jeder Maschine einzupflanzen, und dann tatsächlich aus der Ferne in große Bereiche der US-Wahlinfrastruktur einbrechen.)

Es drängt sich die Frage auf, warum das Problem der Wahlcomputer mitsamt den strukturellen Schwachstellen in den Vereinigten Staaten noch immer wie eine Marginalie behandelt wird. Politiker lamentieren lieber über Werbung bei Facebook, statt sich diesem drängenden Problem zu widmen. Dabei wäre es durchaus lösbar. Denn um die gröbsten Schwächen zu beheben, braucht es keine Magie. Es ist eher eine Frage des Geldes. Denn Geld müsste man in die Hand nehmen, um veraltete Wahlcomputer aus dem Verkehr zu ziehen, IT-Sicherheitsprüfungen zu finanzieren, Wahlbeteiligte zu schulen, mehr Tests durchzuführen oder die Wahlinfrastruktur zu erneuern.

Die Regierung des derzeitigen Präsidenten Donald Trump schiebt den Schwarzen Peter dem Vorgänger Barack Obama zu: Er sei für die Sicherheitslücken verantwortlich. Immerhin will die US-Regierung jetzt 250 Millionen Dollar für ein „emergency election security funding“ (Wahlsicherheitsnotfallprogramm) lockermachen. Die Organisatoren des Voting Villages halten das nicht für ausreichend, allenfalls für einen Anfang.

Testen, angreifen, zerforschen

Versuche, die Sicherheit von Wahlcomputern zu testen, haben bei der DEF CON schon eine lange Tradition, erfahren aber mit jedem Jahr mehr Aufmerksamkeit und sind seit letztem Jahr in einem eigenen Voting Village konzentriert. Im Grunde ist das Konzept einfach: Man bietet den anwesenden Hackern mitgebrachte Hard- und Software verschiedener Typen von Wahlcomputern an und wartet, was sie damit anstellen. Sie konnten die dreißig verschiedenen Wahlsysteme testen, angreifen, durften dabei alle Funktionen ausprobieren oder die Hardware zerforschen.

wahlcomputer, matt blaze
Matt Blaze, Professor für Informatik an der University of Pennsylvania und Mit-Organisator des Voting Villages: „Für mich ist das aufregendste und wirklich wichtigste Ergebnis des Voting Villages, dass wir dazu beigetragen haben, den Kreis von unabhängigen Experten, die mit Wahltechnologien vertraut sind, von einigen Dutzend auf buchstäblich Tausende zu erhöhen.“

Ziel ist es dabei auch, eine Diskussion anzustoßen und Wege aufzuzeigen, wie man Probleme einhegen kann und wie Hacker daran mitwirken könnten. Explizit wurde auch den Organisatoren der Wahl angeboten, sich weiterzubilden und zu lernen, wie Angriffswege praktisch aussehen. Tatsächlich kamen über einhundert solcher Wahlbeteiligter, um sich zu informieren und zu diskutieren.

Eines der Highlights dieses Jahr dürfte das Umfunktionieren eines der Wahlcomputer in eine Jukebox gewesen sein, die Musik und kleine Animationen abspielt. Ähnlich wie beim Wahlcomputer-Hack in Europa, wo ein Schachspiel auf einem Wahlcomputer zum Laufen gebracht wurde, gehen auch die amerikanischen Hacker mit Freude am Ausprobieren ans Werk. Hilfe hatten sie aber auch von europäischen Gleichgesinnten wie Carsten Schürmann, Forscher aus Kopenhagen, dessen Hack CNET beschreibt. Er brauchte nur anderthalb Stunden, dann war eine Schwachstelle eines Wahlcomputers gefunden und ausgenutzt. Auf einem anderen der Wahlcomputer (WinVote) wurden zwischen Daten des Betriebssystems Windows XP überraschend über 1.700 Dateien entdeckt, darunter mp3-Audiodateien mit chinesischen Popsongs.

Die meisten der Modelle wurden aber schlicht manipuliert, um die Ergebnisse oder die Kandidatenzuordnung zu verfälschen. Zugriff auf den Quellcode der Wahlcomputer oder andere proprietäre Informationen hatten die Teilnehmer dabei nicht, sofern sie nicht legal öffentlich zugänglich waren. Die Organisatoren wiesen süffisant darauf hin, dass ein böswilliger Akteur sich solche Informationen allerdings beschaffen würde und damit ein leichteres Spiel gehabt hätte.

Auch Kinder und Jugendliche konnten mitmischen. Sie schafften es, eine extra für die Veranstaltung erstellte Kopie der Website für die Darstellung der Wahlergebnisse in Florida zu hacken und zu verändern. Ein elfjähriges Kind brauchte für die einfache SQL Injection nur zehn Minuten. Für Spott war gesorgt, die BBC nannte es ein „Kinderspiel“, die Ausgabe der Wahlergebnisse zu manipulieren. Nach Angaben der Organisatoren hatte man den Website-Hack deshalb von einer Gruppe von etwa fünfzig Kindern durchführen lassen, weil die Manipulation für erwachsene Hacker zu einfach gewesen wäre.

Kaum Reaktion auf ernste Sicherheitsprobleme

Das Spielerische hat allerdings einen ernsten Hintergrund: In den Vereinigten Staaten sind Wahlcomputer weitverbreitet, ein Großteil der Wahlen wird damit abgewickelt. Das ist auch ein Grund dafür, dass die Ergebnisse des Voting Villages wie schon im letzten Jahr politisch diskutiert wurden. Dass sich die Wahlsysteme als anfällig für Manipulationen erwiesen haben, ließ auch die zuständigen Behörden nicht kalt. Denn gerade im aktuell aufgeladenen politischen Klima und mit den bevorstehenden Midterm-Wahlen im November kann schon das Misstrauen in die digitalen Wahlsysteme fatal wirken. Die Ergebnisse der Hackertests mitsamt dem Spott über die Herstellerfirmen tragen sicher nicht zur Vertrauensbildung in Wahlcomputerergebnisse bei.

So äußerte sich die National Association of Secretaries of State (NASS, Innenminister der US-Bundesstaaten) zwar durchaus lobend über das Voting Village und die Versuche, auf Schwachstellen hinzuweisen. Allerdings dürfe man auch nicht vergessen, dass es sich um bloße Demonstrationen handele, die im tatsächlichen Leben wegen prozessualer Vorschriften nicht durchführbar seien. Man hätte bei der DEF CON eine „Pseudo-Umgebung“ erschaffen, zudem seien viele der Wahlcomputer-Modelle veraltet. Da hielten die Organisatoren des Voting Villages entschieden dagegen: Jedes einzelne den Hackern zur Verfügung gestellte Modell sei aktuell in Verwendung.

Die Mitteilung des NASS erinnert an die Rückzugsgefechte in einigen Staaten in Europa. Sie hatten nach Bekanntwerden ernster Sicherheitsprobleme bei Wahlsystemen zunächst auch auf angebliche sichere Umgebungen verwiesen, die solche Hacks verhindern würden. Die Situation in den Vereinigten Staaten ist aber deswegen komplexer, weil Wahlcomputer verschiedener Hersteller in den Bundesstaaten schon seit vielen Jahren im Einsatz sind. Die Anforderungen an die Anbieter und die Praxis der Zulassung und Nutzung sind nicht einheitlich geregelt. Transparenz im Umgang mit elektronischen Wahlsystemen wird daher nicht erst seit den neuesten Ergebnissen auf der DEF CON gefordert.

Dass einzelne Hersteller auf die gezeigten Hacks schnell reagieren und Sicherheitslücken schließen, ist unwahrscheinlich. Die Organisatoren des Voting Villages haben dennoch angekündigt, in den kommenden drei Jahren jeweils wieder bei der DEF CON ihr Probehacken anzubieten. Schließlich droht in drei Jahren die Wiederwahl von US-Präsident Donald Trump.

Allerdings kann man vielleicht auch die positive Seite an der US-Wahlcomputerkrise sehen: Wenn sich nichts ändert, entscheidet eben statt des Wählers der geneigte Hacker. Die Frage wird dann nur sein, ob und wenn ja, wofür ihn wer bezahlt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

    1. Ja, na gut, eher so zwei und ein bisschen.
      Zu meiner Verteidigung muss ich aber sagen, dass die Organisatoren ihre Fortsetzung des Villages auf den Zeitraum der nächsten drei Jahre bezogen haben, offenbar wollen sie auch nach der Wahl im November 2020 noch weitermachen. Vielleicht auch gerade danach. :}

  1. Handzettel sind genauso fälschbar wie ein PC hackbar ist. Bedrohen kann man den Kreuzchenschreiber sowie die Mauswählerin, darüber hinaus lässt sich der PC letzterer aber eben auch austricksen oder angreifen. Ebenso sah ich (als Beobachter) vor 5-6 Jahren einen Wahlhelfer bei der Stimmenauszählung, der sich offen in etwa so äußerte, sinngemäß: . Die Leiterin hat ihn zurechtgewiesen, die Manipulation nicht zugelassen, aber er durfte weiterzählen.

    Will sagen, manipuliert wird immer, auch offline.

    Mal ganz allgemein gefragt (ernsthaft):

    Sind Wahlcomputer und/oder Online Wahlen besser oder schlechter als Handzettelwahlen?

    Oder genauer: Welche Vorteile bringt eine digitale (online) Wahl, die die Gefahren des Datenmissbrauchs (z.B. Möglicherweise Deanonymisierung der Stimmen durch Zeitstempel im E-Wahlbüro, oder Wahlbotnetzwerke und Einflussnahme NICHT von vorort) aufwiegt?

    1. Der fundamentale Unterschied ist vor allem, dass Manipulationen bei elektronischen Wahlsystemen sehr viel schwerer zu entdecken und verhindern sind, sie sind in der Regel auch großflächiger machbar als bei Papierwahlen. Zudem sind die Wahl an sich und das Auszählen der Beobachtung entzogen, weil ein Wahlbeobachter nicht dabei zuschauen kann, wie ein digitales System zählt, wohingegen jedes Kind nachvollziehen kann, wie Papierzettel sortiert und gezählt werden. Das ist auch einer der Gründe, warum das Bundesverfassungsgericht in Deutschland die Wahlcomputer aus dem Verkehr gezogen hat. Im Urteil steht sinngemäß, dass eine Anforderung an elektronische Wahlen wäre, dass sie ohne technisches Vorwissen nachvollziehbar sein müssen.

      Manipuliert wurde bei Wahlen immer, faktisch seit Jahrhunderten. Der Unterschied ist, dass wir von vielen Manipulationen wissen und dass Leute dafür bestraft werden konnten.

      Wahlcomputer und vor allem Online-Wahlen sind schlechter als Handzettelwahlen, was Sicherheit, Kosten, Wahlbeobachtungsmöglichkeiten, Manipulationsabwehr, Benutzungsfreundlichkeit, Sabotagefestigkeit und Ausfallsicherheit betrifft. Ein nicht zu unterschätzender Vorteil des Papiers ist außerdem das Vertrauen, das Wähler, Wahlgewinner und vor allem Wahlverlierer in das Verfahren haben.

      1. Ich denke seit diesem Artikel und deiner ausführlichen (danke ^^) Antwort mal wieder über die Frage nach: Was ist besser?
        1) Nur einer kleineren, möglicherweise nicht representative Gruppe das Wählen zu überlassen (weil wir die Stimmen statistisch nicht gewichten wie in einer Umfrage),
        2) oder eine möglichst große Gruppe zu erreichen, auch wenn die Möglichkeiten einer möglicherweise größeren Manipulation gegeben sind.

        Ein flächendeckender, schwer nachweisbarer und mit hoher Wahrscheinlichkeit straffreier (Online-) Angriff auf die Systeme oder die Daten nach Stimmabgabe ist im Vergleich zu Handzetteln mit wenig Aufwand möglich, wobei andererseits auch eine Online-Heim-Wahl die flächendeckende physische Einflussnahme auf die nun außerdem viel besser erreichbare Wählerschaft erschwert, da jetzt jede Person einzeln unter Druck gesetzt werden müsste (z.B. vom Autokraten) – oder könnte (z.B. von der Familie).

        Oder überspitzt formuliert:
        Die Heimstimmabgabe lässt sich schlecht „kontollieren“ (im doppelten Sinne)

        1. Bin nicht sicher, dass ich korrekt verstehe, auf was Du hinauswillst. Ich glaube gar nicht, dass es diese zwei Alternativen sind, zwischen denen man sich entscheiden müsste. Das kommt daher, dass ich noch keine Beweise oder Statistiken gesehen habe, die zeigen würden, dass die Technik des Wählens mit der Wahlbeteiligung direkt zusammenhängt. Zwar zeigen einige Beispiele, dass bei Ersteinsatz elektronischer Mittel die Wahlbeteiligung steigt, nirgendwo jedoch langfristig. Finde ich auch einleuchtend, denn wäre das so, wäre ja die Technik des Wählens für die Wahlbeteiligung ausschlaggebend und nicht die vielen anderen Gründe, warum jemand abstimmt oder nicht.

          Wenn Du auf was anderes hinauswolltest, dann habe ich das falsch verstanden.

          Wahlberechtigt ist ja hier (mit sehr wenigen Ausnahmen) die gesamte Bevölkerung mit deutschem Pass, abzüglich Minderjähriger. Dass nur ein Teil wirklich abstimmt, allerdings in Deutschland ein vergleichsweise großer Teil, verzerrt die Repräsentativität zwar schon, aber ich würde das nun nicht eine kleine nicht-repräsentative Gruppe nennen.

          Siehst Du irgendeinen Anhaltspunkt, dass diejenigen, die freiwillig nicht wählen gehen, das deswegen nicht tun, weil ihnen die Wahltechnik (sprich: Papier) nicht behagt?

          1. Ich versuche mir bei dem Thema darüber klarzuwerden, was die für mich wichtigsten Argumente sind. Insofern wollte ich noch auf nichts spezielles hinaus – außer Feedback, was für andere die persönlich wichtigen Argumente sind.

            F: Kann Heimwahl oder sonstige Technik die Wahlbeteiligung steigern?
            A: Ja, aber…

            Gruppe 1: Nunja, für (z.B. nicht mobile, behinderte, gestresste, oder einfach faule) Leute, denen der Aufwand dafür das Haus zu verlassen, kann es eine Hilfe sein – sofern es nicht ist wie bei der Briefwahl, denn da muss Mann und Frau ja auch das Haus verlassen und zur Post gehen. Hier ließen sich mehr Leute abholen.

            Gruppe 2: Dann die Situation, wenn sich Leute nicht trauen – sei es wegen rechter oder linker Präsenz am Wahlbüro (Situationen wie brennende Autos und Geschäfte in Hamburg G20 oder brennende Asylantenheime sind keine Wahllokalphänomene). Wobei das in Deutschland kein flächendeckendes Problem ist, am Wahlbüro wohlgemerkt. Das wäre eher ein generelles, vielleicht präventiv zu sehendes Argument.

            Gruppe 3: Dann hätten wir die politikverdrossene Gruppe. Leute die denken, ich kann nicht „negativ“ stimmen gegen eine Partei (z.B. weil man den GroKo Kurs nicht mag). Und eine zählende Protestwahlstimme ist nicht möglich, außer es werden die negativen Seiten einer Partei wie der AFD akzeptiert. Für eine Kleinstpartei wie die Piraten zu stimmen – sei es aus Protest oder überzeugung, würde so effektiv sein wie nicht zu wählen, wenn es um die Sitze geht. Bei dieser Gruppe gibt es wohl nicht viel zu gewinnen. Selbst wenn, dann kann der Grund des Verdrusses über Politik nicht unbedingt binnen 4 Jahren gelöst werden, und man fällt in alte Muster, was ja zu den von dir erwähnten Beobachtungen passen könnte.

            Also momentan vermute – da mir keine Zahlen vorliegen – ich, dass es nicht ausreichend, das Risiko aufwiegende, zusätzliche Wähler zu erreichen gibt, selbst wenn man die Wahl extrem vereinfacht, sprich 1-click, zuhause bleiben etc. Der Großteil dürfte sich in der dritten Gruppe wiederfinden.

            Zettelwahl erscheint mir ein akzeptabler Status Quo sein. In Zukunft, wenn Nachverfolgbarkeit (nicht Rückverfolgbarkeit zum Wähler) und Sicherheit gegeben wären, dann vielleicht nicht mehr…

          2. Die Ausgangsfrage mit „Ja, aber“ zu beantworten, finde ich für alle drei Gruppen doch eher mutig.

            Die Gruppe eins ist inkohärent, da die Motive (nicht mobil, behindert, gestresst oder einfach faul) wirklich sehr unterschiedlich sind. Wenn man wenigstens einem Teil dieser Menschen das Wählen erleichtern wollte, müsste man ein ausgesprochen zugängliches, benutzerfreundliches und leicht bedienbares sowie unbürokratisches Gesamtsystem anbieten. Bei der komplexen Technik dürfte das an Grenzen stoßen. Zudem haben wir ein Urteil aus Karlsruhe, dass eine Nachvollziehbarkeit der Abläufe der Wahl ohne technisches Vorwissen vorschreibt.

            Die Gruppe zwei ist, mit Verlaub, eine Chimäre. Es dürfte ein verschwindend geringer Anteil von Menschen sein, die aus Angst nicht zur Wahl gehen. Das liegt daran, wie Wahlen hier organisiert sind. Nicht nur, dass eine Beobachtung des Wahlaktes und damit direkte Beeinflussung effektiv verhindert wird, auch die Regelungen rund um die Wahl sollen genau solche Ängste schmälern und erfüllen dieses Ziel auch in hohem Maße. Politische Präsenz ist explizit nicht erlaubt am Wahltag. Mir wäre keine Forschung bekannt, die solche Ängste hier in Deutschland belegen würden.

            Allerdings ist es durchaus vorstellbar, dass außerhalb von Wahllokalen Angst aufkommen kann und man sich nicht mehr traut, sich frei zu entscheiden. Steht mein böser AfD-Onkel neben mir am Rechner, wenn ich meine Stimme klicke, kann meine freie Wahl schnell vorbei sein. Für Gruppe zwei wäre also nichts gewonnen, im Gegenteil.

            Die Gruppe drei der Politikverdrossenen sieht noch schlechter aus. Keines der angesprochenen Motive wäre durch Technik zu lösen.

            Die Wahlbeteiligung zu erhöhen, ist ein Ziel sozusagen mit Verfassungsrang, weswegen die Briefwahl überhaupt ermöglicht wurde, obwohl sie andere Wahlgrundsätze, die ebenfalls Verfassungsrang haben, einschränkt (vor allem die Geheimheit der Wahl). Man macht also eine Abwägung bei den Wahlgrundsätzen. Angesichts der oben im ersten Kommentar beschriebenen Nachteile (Sicherheit, Vertrauensverlust, keine Wahlbeobachtungsmöglichkeiten, Manipulationsanfälligkeit, Benutzungsprobleme, Sabotageprobleme, Ausfallsicherheit, Kosten) kann ich nicht erkennen, dass eine solche Abwägung überhaupt sinnvoll sein soll.

            Welches Problem willst Du eigentlich lösen? Wahlbeteiligung zu erhöhen, ist natürlich sehr wünschenswert, aber wohl kaum technisch zu lösen.

          3. Ich habe die Formulierung deiner Frage im vorherigen Post nochmal gelesen und gemerkt, dass ich die Frage falsch in Erinnerung hatte, als ich die Antwort schrieb. Ich hatte – fälschlicher Weise – in Erinnerung oder schlichtweg aufgrund eigener Motive erwartet, dass die Frage meinte: „Bekommt man mehr Leute an die Urne?“

            Die Wahltechnik im Sinne von „Papier oder Knopf drücken“ – NEIN, da sehe ich keinen Zuwachs.
            Die Wahltechnik im Sinne von „Man muss das Haus verlassen“ – JA, da sehe ich einen Zuwachs (bewerte ihn aber gleichzeitig als zu gering)

            Ich wollte das Problem/die Frage für mich lösen:
            Stehe ich (unbeeinfluss durch Situationen wie Die Linke und AfD) pro oder contra zum Versuch, das Wahlsystem zu Verändern, wenn Veränderung bedeutet, dass es ohne Papier stattfindet. Gute, im Sinne von nicht böse Motive, vorrausgesetzt!

            Da ich momentan in Kanada arbeite, kann ich nicht so einfach mit Kollegen über Details deutscher Wahlsysteme reden. Und daher nahm ich die Möglichkeit wahr, mit dir, Constanze, zu schreiben, weil du eine anscheinend fundierte Meinung zu diesem Thema hast. Und für deine Arbeit, u.a. mit mir zu schreiben, bin ich sehr dankbar.

            Wenn du mir sagst, wieviel Zeit du in diese Diskussion investiert hast, dann kann ich das ja per auf Durchschnittslohn basierter Spende morgen vergüten ;)

  2. „Es drängt sich die Frage auf, warum das Problem der Wahlcomputer mitsamt den strukturellen Schwachstellen in den Vereinigten Staaten noch immer wie eine Marginalie behandelt wird.“

    Relativ einfach: fuer die US-Politiker wie ihre Geldgeber ist das eine Marginalie, verglichen mit der Wahlkampffinanzierung und PR-Arbeit. Und es ist eher von Vorteil, Zweifel saehen und Dreck werfen zu koennen, wie die juengere Abstimmungsgeschichte ja zeigt. Zumal in den wenigsten US-Bundesstaaten substantielle Aenderungen im Wahrergebnis erwartet werden, das hat man mittels Gerrymandering und anderen Wahlvorschriften moeglichst sichergestellt.

    Wahlen in den USA sind viel Show mit erstaunlich wenig Relevanz, und das ist kein Zufall.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.