LNP228 Interessierte Bürger

Guten Morgen Linus.

Guten Morgen Tim.

Linus, es ist Zeit, der Sommer war sehr groß. Wir müssen jetzt mal wieder ran. Ich habe mich gut erholt und was hast du so gemacht.

Ich habe mich auf die Bundestagswahl vorbereitet.

Lokbuchnetzpolitik Nummer zweihundertachtundzwanzig und wie sagt man so schön, wir sind wieder da.

Denke ja, ja, deine deine Stimme ist auch wieder da.

Nach einer, nach einer geringfügigen Genausprechpause, die ich ja äh leider einzuhalten hatte, aber das hat eigentlich auch ganz, ganz gut getan. So, jetzt ähm fühle ich mich eigentlich wieder ganz ganz gut. Bin wieder dabei sozusagen.

Freut mich. Wie geht's deiner Stimme.

Klingt normal, ne? Ist noch nicht so.

Dich so lange nicht gehört, ich.

Lass dich gar nicht mehr, ne? Tja, du musst halt die ganzen alten Folgen jetzt nochmal nachhören.

Aber es ist so, dass die ähm also die Stimme vom Tim muss geschont werden, aus diesem Grund haben wir heute zwei Gäste im Studio.

Ne?

So zur Unterstützung, Und wir Tim fruchtet auch hier gerade noch wild an seinem Setup rum, deswegen übernehme ich jetzt mal kurz die Vorstellung der Gäste. Und zwar haben wir einmal bei uns hier den Martin, Martin Schiersig.

Ja hallo, freut mich, dass ich heute bei euch sein darf.

Willst du dich mal grob kurz vorstellen.

Ja, gerne, also ich bin ähm aus Darmstadt, mache IT-Sicherheit so ein bisschen, aber eher nebenbei, einfach Interessierte Bürger, der sich die Wahlen angeschaut hat und jetzt heute bei Linus gelandet ist.

Und unser zweiter Gast, also dass ich glaube das mit dem interessierter Bürger, das ist echt ein geiles Konzept. Also im Vergleich, es gibt besorgte Bürger und interessierte, ja? Also wir sind auf jeden Fall interessierte Bürger, Und äh Torsten ist hier. Thorsten Schröder.

Hallo. Ja, schön, dass ich heute hier sein darf.

Du machst auch das mit der IT-Sicherheit, ne.

Ja, ich mache gerne Sachen kaputt.

Auf alles draufhauen, was bei drei nicht auf Bäumen ist.

So sieht das aus.

Seit langer Zeit äh im Chaos-Computerclub aktiv und ähm ich denke auch ähm immer mal wieder bei Veröffentlichungen des Chaos-Computerclubs mit dabei. Und über eine solche wollen wir heute reden.

Genau, heute ist nämlich ähm sozusagen kein normales Programm sondern wir machen heute, wie nennen wir das immer ein Spezial? Oder anders ausgedrückt, wir haben einen Fokus, einem äh bestimmten Thema und wie es schon am Klang, wollen wir uns mal so ein bisschen äh auf die Bundestagswahl äh vorbereiten, beziehungsweise du hast dich ja schon sehr intensiv auf die Bundestagswahl äh vorbereitet.

Na wir alle drei in den letzten Wochen und Monaten.

Und äh genau und das ist jetzt sozusagen auch alles äh gerade dabei ans Licht zu kommen und wir wollen der ganzen äh Debatte da ein wenig äh Grundlagen äh liefern. Ja warum geht's? Es geht um, Computer und Wahlen, das war ja hier schon sehr oft ein Thema und ist ja auch so ein klassisches CC Thema immer schon gewesen, wobei der Fokus halt zunächst einmal den ersten Jahren so auf den Wahlcomputern zum eigentlichen Abstimmen lag, so dass man sozusagen Rechner explizit benutzt um ähm Wahlergebnis, also die Wahl, Vorgänge zu erfassen, beziehungsweise die konkrete Stimmabgabe zu erfassen. Das ist ja nun schon äh insofern, weil äh Geschichte, als dass sehr gut dargelegt werden konnte, warum das eine verdammt schlechte Idee ist und das haben wir auch hier bei Lokbuch Netzpolitik schon mehrfach immer wieder noch ein weiteres Mal betont. Spätestens immer dann, wenn wieder irgendjemand aus der Eck kommt und der Meinung ist, das wäre doch eine ganz tolle Idee und die Zukunft und überhaupt und es kann auch nicht sein, dass und was halt für Argumente halt immer wieder kommen. Aber äh nicht wahr? Ihr wisst ja, alle mittlerweile das äh mit der Stimmabgabe und den Computern das eine verdammt schlechte Idee, schlicht und ergreifend, weil sich halt ein Computer nicht in die Karten schauen lässt.

Das habe ich übrigens am zweiten September vor wenigen Tagen noch in, Paderborn bei einer Ausstellungseröffnung im Heinz-Nicksdorf-Forum, noch einmal in einem kurzen Vortrag, ausgeführt, den habe ich auch aufgezeichnet und veröffentlicht und ihm nachher den schönen Titel gegeben denken, Digital Second. Link packe ich Link packe ich mal in die Shownote.

Ja genau, ja das muss halt dann auch äh immer wieder gesagt werden so, nicht also dieses ähm, Merkwürdige Verständnis, dass das alles, was irgendwie Zukunft bedeutet, automatisch zwangsläufig auch immer digital, äh oder digitalisiert sein muss, das äh ja lässt sich halt nicht so einfach austreiben Gut, dann ist halt eigentlich so die Frage, worüber reden wir denn dann noch, wollen wir mal den Fokus legen auf ein bisher weniger diskutierten und weniger beleuchteten Teil der Wahl, nämlich das, was eigentlich Nachschließung des Wahllokals passiert, also nicht die eigentliche Stimmabgabe, sondern die äh ja das Zusammenfassen, das Tabulieren, aber auch das Weiterleiten, melden von, Ergebnissen und das ist halt, wie wir hier auch schon vor einigen Folgen schon mal ausführlicher diskutiert haben, ja auch so etwas, wo Leute ganz gerne mal den PC booten Ähm wir hatten ja hier schon mal äh unter anderem die Software IFIVU äh Elect äh auch schon äh ein, zwei Mal glaube ich erwähnt Ja und das äh ist der Grund, warum sozusagen jetzt hier auch so viele äh Sicherheitsexperten zusammensitzen, Es geht also um was ist denn da der passende Oberbegriff eigentlich.

Ich glaube die äh Herstellerbezeichnung ist äh Organisation, Erfassung und Auswertung von Wahlen.

Durchführung und Auswertung. Ja.

Intransparenz.

Ähm also um um das Problemfeld vielleicht einmal grob zum Reißen, du du entscheidest dich eine Wahl zu machen, also Bundestagswahl, Man ist erstaunt, wie viele Wahllokale es dann in Deutschland gibt, ja? Ähm die Zahl, die mir da immer noch unbegreiflich ist, dass das bundesweit siebzigtausend sind, siebzigtausend irgendwelche Schulen, Kindergärten und so, die dann da von den Wahlhelfern gesprottet werden.

So viel? Also ich meine so etwas dichteren Gegenden, da hast du ja alle paar Straßen im Wahllokal, weil da einfach viele Leute wohnen, weil du kannst in so einem Wahllokal natürlich nur eine begrenzte Zahl von Leuten durchschleusen pro Tag und dementsprechend äh skaliert sich das. Also.

Ja, aber weißt du, diese Wahlen, die sind ähm die sind ja auch immer sonntags so früh, ne? Und ich bin ja eher nachtaktiv und deswegen mache ich das in der Regel per Briefwahl. Also ich ich habe mir so ein bisschen länger her, dass sie wir sind, Wahllokale angeschaut habe.

Doch die Demokratie gar nicht erleben.

Aber siebzigtausend, eine große Zahl mit mehreren Nullen, ja? Äh diese da sind werden ja überall diese Zellen dann abgegeben, dafür hat der Chaos-Computerclub ja mit längerem Engagement jetzt schon gesorgt, dass äh technische Wahlgeräte in der Regel nicht mehr zum Einsatz kommen, bei Computer heißen die natürlich korrekt. Ähm und jetzt muss irgendwie am Ende muss ja aus diesem aus diesem wirklich großen Stapelpapier der über die Bundesrepublik verteilt ist. Ähm ein Balken in der Tagesschau werden. Und wir reden im Prinzip im weitesten Sinne von von diesem Prozess, der ähm mit dem Kreuzchen anfängt, mit dem, Blatt Papier weitergeht und dann ähm in die digitale Sphäre früher oder später übertragen wird und dann einer Übertragung gut auswertung. Zugeführt wird, richtig, Martin.

Ja, richtig, also es sind mehrere Meldewege, wie sich das korrekt nennt, die dann von den Wahllokalen in die Gemeinden, an den Kreis, an das Land und an später dann letztendlich beim Bundeswahlleiter enden. Ja und diese Meldewege, die sind vielfältig und wir.

Das Wirre kommt daher, dass das einmal, ich glaube, der Bundeswahlleiter ich weiß gar nicht, was dessen Funktion ist, weil die Wahl wird angeordnet von Innenminister und Bundestagspräsident, habe ich jetzt irgendwie gesehen. Bundeswahlleiter weiß ich nicht, der sagte am Ende jo, ho, es wurde gewählt.

Bundesbundeswahlleiter muss ich natürlich vor der Wahl vor den Ziehungsgeräten oder ordnungsgemäßen Funktion der Ziehungsgeräte überzeugen lassen.

Ähm aber der quasi wie der Ablauf in den einzelnen Bundesländern, stattfindet, das ist durch die jeweiligen Landeswahlleiter geregelt. Das heißt, ähm das hat uns jetzt in den letzten Wochen und Monaten auch ein bisschen, Kopfschmerzen bereitet, weil das so ein Pudding war, der an die Wand genagelt werden musste und ähm es sich quasi von Bundesland zu Bundesland und dann auch nochmal im Einzelnen zwischen den ähm Gemeinden oder Kreisen unterscheiden kann, wenn ich das richtig erinnere.

Richtig, ich kann das exemplarisch mal für Hessen äh erläutern, wie so eine Meldung aussieht, Meldewe, wenn um achtzehn Uhr die Wahllokale schließen, Das kann man nachlesen in der Wahlordnung, Bundeswahlordnung, ähm, da beginnt zunächst die Auszählung im Wahllokal, da wird die Wahlliederschrift erstellt, alles mit leicht vom Papier, zumindest überwiegend, diese Wahl Überschriften ähm. Werden in den Wahllokalen erstellt. Ähm, bevor diese Wahlliederschriften dann weiter verschickt oder transportiert werden, geht eine Schnellmeldung raus. Diese Schnellmeldung wird meist telefonisch an die Gemeinde abgesetzt, Dort sitzt der Wahlleiter der Gemeinde und empfängt die Schnellmeldung. Schnellmeldungen, deshalb, weil das nicht die amtlichen Ergebnisse sind, sondern die vorläufigen, damit wir schnellstmöglich eine eine Art Wahlergebnis haben, bis dann paar Tage später das amtliche Wahlergebnis vorliegt. Also diese Schnellmeldungen gehen von den Wahllokalen auf die Gemeinde, von der Gemeinde dann an die Wahlkreise, werden aggregiert und gesammelt und dann an das Land, also den Landeswahlleiter, das statistische Landesamt in Hessen. Die geben diese Ergebnisse, die gesammelten Ergebnisse aller Wahlkreise in Hessen, immer noch die Schnellmeldung dann an dem Bundeswahlleiter weiter. Auf dem Weg von der Gemeinde an die, Wahlkreise und auch an das Land kommt Software zum Einsatz und das ist so der Fokus. Ähm was den wir heute haben, ähm schon lange, also diese Software wird schon seit über dreißig Jahren entwickelt, die wir hier analysiert haben. Es gibt da viele Produkte, das macht jedes Land so für sich und teilweise auch jede Gemeinde und jeder Wahlkreis so ein bisschen, Aber schon sehr lange geht das so, ja. Auf Bundesebene, wird dann wieder eine andere Software eingesetzt und die kennen wir alle, das ist dieses IV Elektrogramm. Das hat mir, da hatten wir ja schon gehört, davon.

Aber auf dieser unteren Ebene kommt was zur Einsatz zum Einsatz.

Also auf Landesebene kommt beispielsweise in Hessen das Programm PC Wahl der Vision zehn zum Einsatz. PC Wahl ist quasi das, was IVU Elect in den Niederlanden oder bei uns auf Bundesebene ist, einfach nur für die Länder. PC Wahl ermöglicht es, dem Wahlamtleiter der Gemeinde, die Schnellmeldung aus den Wahllokalen zu erfassen, zu sammeln, weiterzuleiten an die Wahlkreise und dann auch von dort an den Landeswahlleiter.

Der hat dann so ein, so ein Windows Eingabefenster vor sich und da sind dann seine sagen wir mal seine sieben, Seine sieben Wahllokale aufgelistet und dann rufen die an und sagen, hier ist der Jörn aus, Wahllokal, Grundschule am Weiher, ja? Und jetzt lese ich dir mal hier vor, ne? Wer gewonnen hat, Punktestand und der Tipp, dass dann der Tipp, dass dann eben ein in so eine Maske und wenn er seine Wahlkreise fertig hat, dann sagt er Meldung, Meldedatei erstellen und dann schickt er die an das äh schickt er die halt an die nächste Ebene weiter.

Richtig, das ist wie so eine Pyramide von unten nach oben und ähm auf der Länderebene wird diese Software eingesetzt, über die wir heute reden. Das geht dann auch weiter auf die höhere Ebene und es wird halt immer weiter zusammengefasst, In Hessen kommt dieses PC Wahlprogramm zum Einsatz, in anderen Bundesländern kommen andere Programme zum Einsatz. Teilweise gibt's ja auch sehr raffinierte Dinge wie in München. Da gibt's sogar eingebauten Chat zwischen dem Wahllokal und dem Wahlamt der Gemeinde. Also es gibt da sehr viele verschiedene Dinge.

WhatsApp.

So eine Art Social Network.

Äh richtig.

Für Wahlteilnehmende. Mhm.

Ähm. Wichtig ist hierbei noch ein Punkt, der wir glaube ich für die, für den Rest der Sendung noch eine eine wichtige Rolle spielt. Ähm je weiter das nach oben geht, umso mehr ähm muss die Software, im Prinzip die von dem statistischen Landesamt gemachten Vorgaben umsetzen, Also wenn du jetzt den PC Wahl sagst, ich äh exportiere das jetzt mal bitte für Hessen, dann macht er dir unter Umständen was anderes, als wenn du sagst, exportiere das jetzt mal bitte für was weiß ich, Rheinland-Pfalz oder so. Wir haben einen Unterschied von mir aus unterschiedliche Übertragungswege. Der eine sagt, nehmen was weiß ich Protokoll, ABC und der andere sagt, wir nehmen Protokoll FDP und ähm äh der eine sagt, wir ne, Protokoll, XYZ und der andere sagt immer, wir nehmen Protokoll XML oder so, ne? Also jetzt mal Beispiel, beispielhaft gesagt. Das bedeutet, dass wenn je weiter deine, wenn es jetzt da Probleme gäbe, Gott bewahre ähm dann würden die je weiter oben die sind, um mit umso größerer Wahrscheinlichkeit ähm alle Software betreffen und nicht nur eine.

Also PC Wahl haben wir uns unter anderem auch deswegen angeschaut, weil es laut Hersteller für dreiunddreißig Millionen Bundesbürger bei der Wahlauswertung zum Einsatz kommt. Also ist schon ein Produkt, was, über mehrere Flächenbundesländer eingesetzt wird, ähm in einigen Bundesländern exklusiv, beispielsweise in Hessen, aber eben auch in anderen Bundesländern, PC Wahl ist jetzt modular aufgebaut, das heißt jedes Bundesland hat da seine eigenen ich sag mal Schnittstellen in dieser Software. Ähm, letztendlich läuft dann aber alles über diese eine Software.

Jetzt sind wir nicht die ersten, die gesagt haben, wir wollen mal wissen, was da los ist. Diese Software beschäftigt eigentlich schon seit längerer Zeit Leute. Also es gibt einen Wahlhelfer mit dem Namen Ingo Höft, wenn ich mich nicht täusche, äh der schon seit, also das schon seit Jahren irgendwie da auch auf eigenen auf eigene Faust versucht hat sich Einsicht in dieses Programm zu erklagen, weil er gesagt hat was ist hier, was erlaube Wahl, ja? Ähm! Das hier so eine Software zum Einsatz kommt, die, deren Funktionalität irgendwie nicht dokumentiert ist, die unklar ist, ich will bitte sehen, ob die überhaupt richtig die Erge, ist weiter verwurstet, ne? Also man kann sich ja durchaus vorstellen, dass das ein ähm komplexes Problem ist aus diese, siebzigtausend oder potentiell insgesamt siebzigtausend Wahllokalen irgendwie am Ende ein Ergebnis zu machen und dann Mathematik ist ja auch schwer. Ähm, der hat gesagt, er würde sich das gerne anschauen, Das haben wir nicht gemacht. Ähm aber interessant ist, dass ihm hauptsächlich mit der Begründung der Sicherheit, der Einblick oder der der Zugang zu dieser Software verwährt wurde. Und das ist schon grundsätzlich immer etwas worauf man sich Sorgen machen sollte, weil wie vielleicht einige geneigte, Wissen, Security bei ob Scurity irgendwie keine so so geile Idee ist. Sorry, dafür mein Fehler. Ich wollte den lautlos Knopf drücken. Ähm.

Genau das Gegenteil gedrück.

Es wurde immer so gesagt, nein, nein, die Sicherheit der Wahl äh, irgendwie geht vor und deswegen äh halten wir jetzt selbst diese Software, die da stattfindet intransparent und man denkt sich irgendwie so, hm, Sicherheitssoftware sollte ja normalerweise oder sicherheitsrelevante Software sollte in der Regel nicht deshalb sicher sein, weil sie geheim ist, sondern deshalb, weil sie sicher ist, ja. Und wenn sie sicher ist, dann braucht sie auch nicht mehr geheim zu sein.

Ja sowieso, wenn jemand irgendwie da steht und meint so, ja hier gibt's nichts zu sehen, bitte weitergehen, dann weiß man ja eh schon, okay. Sollte man vielleicht mal hinter den Zaun guck.

Wohl.

Das möchte ich doch bitte selber entscheiden. Nun ja und äh.

Also der Ingo-Heft hat sozusagen immer versucht, Einblick zu bekommen offiziell mit.

Hat verloren, ja.

Und hat das auch versucht einzuklagen oder.

Der hat da ähm nach der das wurde kommen in der Kommunalwahl bei den Rheinland-Pfalz zweitausendneun flächendeckend eingesetzt und ähm der ist äh gescheitert vor Gericht. Ja, wurde also gesagt.

Was was wollte er denn da für einen Einblick genau haben? Source Code oder äh also.

Überhaupt mal irgendwas sehen, ne? Also wenn alles, wenn alles nach dem Rechten läuft, ähm kriegt er keine unberechtigte Person überhaupt so ein Bino, dieser Software in die Hand, Software ist auch also vier lizenziert und verkauft und ähm.

Ja und das schmeckt einfach nicht gut, wenn geheim an etwas dran steht, was eigentlich mit einer öffentlichen Wahl zu tun hat.

Und und hat der hat er sich dann damit zufrieden gegeben in der ersten Instanz oder ist er dann auch weiter hinterher.

Ähm also sein letzter Eintrag zu dem Thema ist ein paar Jahre her. Und ähm ich habe den Eindruck, dass er da wahrscheinlich sich dann irgendwann ähm anderen äh Themen zugewandt hat. Da bin ich aber leider nicht hundertprozentig äh Firmen, wie weißt du da noch mehr drüber, Martin.

Ja, ich hatte ihn äh kontaktiert, als ich auch über dieses Thema ähm gestolpert bin ähm und ähm er ist weiterhin sehr interessiert daran, ist aber eben an diesen ganzen Hürden gescheitert auf ähm, rechtlichen Weg oder auch auf ähm persönlichem Weg mit Vorsprachen bei den Ämtern. Hatte eben keine Einsicht bekommen, und ähm konnte dann diesen Weg auch nicht weiter gehen. Dann gab's einfach keine Möglichkeiten.

Und wie bist du jetzt überhaupt dieses Thema gekommen.

Ja, also allgemein interessiert mich vieles, wenn wenn berichtet wird, zum Beispiel über unsere Wahl ist die sicher, ähm, da habe ich mir schon Gedanken gemacht, was passiert denn eigentlich, wenn wir gewählt haben, diese Auswertung, das geht doch heute sicher digital, zumindest digital unterstützt und da, hatte ich dann ein bisschen Zeit und musste und habe mal im Internet recherchiert, was dann bei mir in Hessen da so passiert in Darmstadt. Und ähm bin dann auf ja merkwürdige Dinge gestoßen hier im Hintergrund passieren. In Hessen wird ja wie gesagt ähm PC Wahl eingesetzt und ähm, PC Wahl, wird eben nicht von den Gemeinden den Wahlämtern betreut, sondern das ist ja heutzutage alles ausgelagert an kommunale Rechenzentren, ähm IT-Dienstleister, die das machen, Also in Darmstadt selber wusste man gar nicht, wie diese Software so eingesetzt wird. Man hat mich dann verwiesen auf den IT-Dienstleister in Hessen.

E-Com einundzwanzig.

Richtig, E-Commerce zwanzig ähm hervorgegangen aus dem Gebietsrechenzentrum. Äh ich meine Kasse und noch einem anderen Zusammenschluss. Und ähm.

Also, weil es ist kein kein privates Unternehmen, sondern.

Nein, kommunal.

Körperschaft des öffentlichen Rechts, wie man so schön sagt.

Richtig. Und die haben auch eine schöne Webseite mit Informationen, wie denn diese Wahlen zu organisieren sind. Äh richtet sich vornehmlich an Wahlämter und ähm da sind alle Dateien veröffentlicht und Informationen, eigentlich, wie wir erfahren haben, gar nicht öffentlich sein sollen oder dem Gemeinbürger so nicht zur Verfügung gestellt werden. Auf Nachfrage, aber dort lag so einiges rum und ich habe mir das angesehen und äh erstaunliches entdeck, unter anderem ähm liegen dort ja, ich nenne es Konfigurationsdateien für diese Software, die den Übertragungsweg, der Wahlergebnisse am Wahlabend dann beschreiben und auch die Zugangsdaten dazu diese möglichen diese Ergebnisse dann auf einem zentralen Server abzulegen am Wahlabend.

Die Zugangsdaten.

Ja, Zugangsdaten. Also das ist.

Serverlagen, die rum.

Das ist.

Wo denn sonst.

Also als Martin mir das dann irgendwann äh berichtet hat, erhöhe ich mich natürlich auch so ein bisschen geärgert, dass äh wir haben ja als CC ähm einige, Wochen oder Monate vorher dieses Gesuch, diese Suchanzeige ähm gesagt so, dass wir äh gerne diese diese Software gespendet haben möchten und haben die ja sogar dann auch nochmal in russisch veröffentlicht, Aber, ja offenbar hätte es gereicht, da ein bisschen, wenn da ein interessierter Bürger ein bisschen googelt.

Ja, richtig, das war eine erweiterte Internetrecherche. Ja. Ja und in diesen Dateien, also diese Konfigurationsdatei für das Programm. Ähm ja, da steht halt eben drinne, Wie diese Ergebnisse dann den Weg von den Wahlämtern auf die Ebene des Kreises, des Wahlkreises äh finden und ähm man muss sich das wirklich, sehr einfach vorstellen, die werden auf einen FDP Server abgelegt. Also FDP mit dem Passwort hochgeladen. Da gab's dann noch eine Hürde, die man dann nehmen kann, Dieser Server steht in einem Internet von IT-Dienstleister der Ecom einundzwanzig und Internetnetze, das klingt dann immer schon hochsicher. Ähm da muss man sich aber überlegen, dass dieser IT-Dienstleister für ganz Hessen zuständig ist, und ähm allerlei private Firmen angeschlossen sind an das Netz, also eine unkontrollierte Menge an Personen. Konnte mir auch niemand genau sagen, wie viele Personen überhaupt auf diesem Netz drauf zugreifen können. Das hat keiner so im Überblick. Ja

Und ähm ja, wie das so ist mit solchen mit solchen Zugängen, die viele Leute haben, da wird ja dann auch gerne mal getestet, für so 'n Test kann man ja dann auch zum Beispiel so 'n Nutzertest nehmen, wenn man dann selber mal testet, dann testet man vielleicht, ob der Nutzer Test funktioniert und huch, manchmal funktioniert ja dann eben auch.

Ja, brauche ich auch noch einen Passwort.

Braucht ihr noch ein Passwort, da kann man dann auch testen, welches Passwort der Nutzertest, wo wir so haben könnte.

Nein, auf Produktionssystem.

Ähm.

Wer macht denn sowas?

Der Spaß geht aber natürlich noch weiter, ja? Ähm man würde jetzt äh nämlich eigentlich erwarten, wenn da mehrere unterschiedliche Instanzen ihre Ergebnisse auf so einen FDP-Server an, Ähm würde ich ja jetzt sagen, okay, dann kriegt halt jeder seinen eigenen Nutzernamen, sein eigenes Passwort und sein eigenes Verzeichnis, wo wo diese Dateien eingeladen werden, ne? Da müsste man sich natürlich überlegen wie man jedem jedem jeder einzelnen Instanz dieses diese Zugangsdaten auch zukommen lässt, ne? Das sind die Konfigurationsdateien, die Martin gerade schon, angesprochen hat.

Richtig und jetzt können wir mal einen kleinen Ausflug in die nähere und auch ferne Vergangenheit wagen. So gehen wir mal zehn Jahre zurück oder einfach die vorletzten Bundestagswahlen, und schauen uns die Konfigurationen an, die damals verwendet wurden, liegen an der selben Stelle, haben selben Zugangsdaten verwendet. Und dann können wir uns natürlich auch die Zugangsdaten oder die Konfiguration, die verschiedenen Gemeinden mal herunterladen oder ansehen, die man oder sind ja alle zugänglich gewesen, Und da fällt dann auf, dass überall dieselben Zugangsdaten verwendet werden. Es gibt also keine Trennung oder irgendwas.

Hat ja auch gut funktioniert letzte Mal, dann kann man das ja wieder nehmen.

Nichts passiert.

Das bedeutet, dass dann eben der der eine, das eine Wahllokal mühelos die Ergebnisse der anderen Wahllokale auslesen und verändern kann. Ne? Ein ein Passwort.

Richtig, das war quasi, das war quasi erstmal eine große Überraschung. Ähm dass das erstmal nicht so durchdacht erscheint. Also keine Trennung, einfache Zugangsdaten und dann auch noch dieses angeblich sichere Internetnetz. Das war.

Von was für einem Zugang reden wir jetzt eigentlich konkret? Also über das Internet worauf konnte konnte mit diesen Daten zugegriffen werden.

Also der das du konntest von außen darauf zugreifen, wenn du einmal den getestet hast, wie du in dieses VPN kommst, konntest du mit diesen FDP Zugangsdaten die auf der Webseite sowieso öffentlich lagen, diesen FDP-Server zugreifen, ne? Also hättest, hättest, dir quasi diese ganzen Wahldaten herunterladen können, hättest aber auch alle ändern können, ne? Das wäre jetzt so ohne überhaupt PC-Wahl verwenden zu müssen, hättest du also, sagen wir mal an einem Wahlabend jetzt gemütlich, einfach immer wenn jemand 'ne Datei hochlädt, der die anschauen können, sagen können, nee, nee, anderes Ergebnis hier.

Hochladen funktioniert über FDP.

Hochladen funktioniert über FDP.

Aber das und der einzige Schutz, der ja sozusagen den ganzen Zugangskennung herunterladbar im Internet sind, besteht eigentlich nur dadrin, dass es sich sozusagen um ein irgendeiner Form abgedreht ist, nicht eigentlich über das Internet erreichbare Netz handelt.

Ja, das ist erstaunlich. Also das war quasi so die einzige Zungesbarriere da. Und ich habe mir natürlich auch erst gesagt, nee, das kann ja eigentlich nicht sein. Da habe ich bestimmt irgendwas irgendwas übersehen. Und ähm habe dann mal beim Hersteller angerufen, Das ist die Vote IT GmbH und ähm habe dann mit dem Support von der Software PC Wahl ähm gesprochen, das ist der Herr Berninger, der Entwickler von der PCBA Software, und hat dann gesagt, ja, ist tatsächlich so. Ähm über die hier vom hessischen IT-Dienstleister verteilten Daten und daran entlegenen äh Zugangsdaten kann ich tatsächlich ähm, Verwirrung stiften, wörtliches Zitat.

Verwirrungsstiften würde in diesem Fall bedeuten die Wahl zu manipulieren, ne? Das würde uns ja alle verwirren.

Okay, also der Hersteller von der Tabulierungssoftware hat sozusagen bestätigt, dass man da Verwirrung stiften kann.

Richtig und er ist dann.

Tätig das und betrachtet das offenbar als das maximale Risiko ähm das hier mit seiner das bei der Anwendung seiner Software besteht, ne.

Macht's einfach, wer sollte denn sowas machen auch? Was macht.

Wer sollte das machen.

Was hätte man davon? Jetzt mal ganz ehrlich.

Ähm.

Ja, gibt's äh hast du, hast du noch irgendwelche Erkenntnisse darüber gesammelt, welcherlei Art dieses Netz, in dem diese Zugangsdaten genutzt werden können war, also wie groß das war oder.

Wir sollten hier vielleicht primär noch kurz einen einen anderen Aspekt ähm beleuchten. Ähm, diese Passwörter standen in den Konfigurationsdateien nicht im Klartext, ja? Also du konntest nicht, ähm auf die äh konnte es nicht einfach diese Konvigrationsdatei herunterladen und da stand das Passwort im Klartext. Ähm, dass die diese Passwörter waren maskiert ähm um von dem Programm FTP Modul, ähm interpretiert werden zu können. Man sieht, dass ich hier sehr bemüht bin äh den Begriff Verschlüsselung zu vermeiden, weil, Thorsten Grinst diese verschlückt, das also das kann man nicht Verschlüsselung nennen, ne? Was da stattfindet. Also du hast, du hast du verfügst ja, über die Software zur kenntlich Machung dieser Passwörter. Wenn du diese Datei runterlädst, also das FDP Modul liest die Datei aus, weiß dann das Passwort und stellt ja dann eine unverschlüsselte Verbindung, zu diesem ähm FDP-Serverherr. Das heißt, du kannst auf auf vielfältige Weise äh dieses Passwortes habhaft werden, beispielsweise durch ähm mitsniffender Übertragung oder durch eine, kurze kritische Betrachtung des im Debager.

Ich denke, wir werden gleich auf die, die Schwachstellen gleich nochmal im Detail äh eingehen. Ich nur so zu meinem Verständnis ähm ich wollte mal so dieses Haus fertig bauen mit wie das eigentlich gedacht ist, wie das funktionieren soll. Also da ist sozusagen ein geschlossenes Netzwerk. Hast du Erkenntnisse da drüber, Martin, was für eine Art geschlossenes Netzwerk, das dann so ist und wer daran alles teilnimmt, also so dass so alle Behörden, anheben internen Zugang oder ist das wirklich nochmal so ein hochgradig gesichertes Ding, also, bei diesen Wahlkreisbüros.

Also dieses interne Netz, über das wir reden ist gar nicht mal speziell für die Durchführung der Bundestagswahl ähm errichtet worden, dass einfach das Kundennetzwerk von der E-Commerce und alle, die hier in Hessen oder nicht nur in Hessen bundesweit, hessischen IT-Dienstleister betreut werden, haben Zugang zu diesem Netz.

Und das ist so eine Art VPN, dass man sich einwähl.

Eine Art VPN können wir schon so essen, VPN, aber eben mit ähm einer sehr großen äh Gruppe an berechtigten.

Vorstellung, wie viele dann sozusagen da drin sind, wissen wir nicht.

Egal, es ist relativ unerheblich.

Wollte ich auch wissen, habe ich auch gefragt, äh können wir mir aber nicht sagen, dass mehrere ja, mehrere.

Mehrere. Ja, ja. Okay.

Also da hättest du jetzt quasi das erste Angriffsszenario gehabt. Ähm wie gesagt, mit Begrenzung auf Hessen, um ganz einfach mittels äh, abgehangener FDP-Technologie, äh, die diese Wahlergebnisdateien zu verändern. Ähm, dabei ist noch eine, also, da ist eine weitere Schwachstelle bei relevant, nämlich, dass diese ähm, Wahldateien, die da hochgeladen werden, nicht signiert sind, was es ebenfalls eben ermöglicht, dass eine Manipulation dieser Dateien, nicht auf technische Weise festgestellt werden kann. Also ähm, Thorsten Witz wird es mal erklären, äh wir haben das Kapitel ja zusammengeschrieben, zu äh Integrität, Authentizität und Verschlüsselung.

Ja, also man muss sich halt überlegen, was für Probleme will man lösen bei der Übermittlung von Wahldaten brauchen wir uns vielleicht eher weniger um die Vertraulichkeit der Daten zu kümmern, das heißt, Wir brauchen keine Verschlüsselung der Daten, die halt sicherstellt, dass da unbefugte keinen Einblick äh gewinnen können. Ähm. Was.

Schlüssel ist eher Unsinn. Also es ist nicht notwendig eigentlich.

Na ja, Unsinn ist es jetzt nicht, aber es ist halt ähm wenn ich das Problem der Integrität lösen möchte, dann habe ich am Problem vorbei entwickelt, wenn ich da einfach nur eine Verschlüsselung drumherum baue, Ähm bei Wahldaten möchte ich ja eigentlich sicherstellen, dass die Daten authentisch sind, wenn sie beim Gegenüber ankommen, beziehungsweise wenn ich sie empfange, möchte ich wissen, ob sie tatsächlich von der erwarteten Person stammen und ob sie unterwegs modifiziert wurden oder irgend an irgendeinem Punkt modifiziert werden wurden. Und dafür gibt es natürlich auch kryptographische Verfahren, um das sicherzustellen. Das sind dann eben, digitale Signaturen und Prüfsummen, die darüber gebildet werden könn, aber eben nicht die Verschlüsselung. Modernen Kommunikationssystem setzt man. Meistens auf 'ne Kombination aus Verschlüsselung und Signatur, einfach gleich mit einem Rutsch alle Probleme zu erschlagen, also eben nicht nur die die Authentizität und die Integrität der Daten zu gewährleisten, sondern auch die Vertraulichkeit, auch wenn's nicht unbedingt notwendig ist, Ja und äh in dem Fall äh hat sich das hier in vielen Fällen ja gezeigt, dass, oftmals die falschen Herangehensweisen gewählt wurden vom Hersteller, um die Daten eben vor Manipulation zu schützen.

Genau, Manipulation von Daten ähm spielt auch im, weiteren Verlauf des Uploads eine Rolle, also ähm die später dann an die statistischen Landesämter übertragenden Daten ähm, werden haben also ebenfalls keine Signatur und keinen Integritätsschutz oder sonstiges. Ähm, was also jeden Empfänger von Daten und eben auf der untersten Ebene haben wir eben potentiell siebzigtausend Datenquellen, Bei jedem Empfangs ähm Vorgang äh den Empfänger vor das Problem stellt, dass er kein. Beweis dafür hat, dass die Daten echt sind von dem Absenderstamm und nicht verändert wurden.

Wenn der Empfänger A von einer Person B, eine Datei, die mit dem Passwort Test verschlüsselt wurde, empfängt und eine Datei, von der Person C empfängt die auch mit dem Passwort Test verschlüsselt wurde, kann eben dieser Empfänger nicht wissen wo das eigentlich herkommt.

Und das ist ein fundamentales Problem für äh für diesen Wahlablauf hier, ja?

Also das ist eben vor allen Dingen, wenn man wenn man dann eben diesen Irrtum aufgesessen ist, dass wenn eine Datei verschlüsselt ist, dass man sie dann nicht manipulieren kann, ne? Wenn ich das Passwort kenne, die für die Verschlüsselung genutzt wurde, dann kann ich ja eine Datei herstellen, die anderen Inhalt hat, aber trotzdem korrekt verschlüsselt wurde.

Also man nimmt halt einfach die, die man haben möchte, verschlüsselt die und dann ist es sozusagen genauso in Teger.

Also das ist der, das ist der oder das ist das der fundamentale Grund, warum man überhaupt asymmetrische Verschlüsselungsverfahren nutz. Nutzen würde in diesem Fall, ja? Weil du eine Signatur anbringst.

Darüber kann ich halt sicherstellen, dass eben die Authentizität sicher so äh korrekt ist, genau.

Ja und ähm dieses Problem hat sich dann noch in weiterem ein bisschen weiter ausgebreitet. Nachdem ähm Martin ähm diese Probleme dem in Hessen gemeldet hat, Wunder laut Betreiber Maßnahmen ergriffen und.

Wem hast du dich denn gemeldet.

Ich hatte direkt mit dem Hersteller in was ich mit Herrn Berninger ein Telefongespräch und ihm das so berichtet und er hat dann äh Schritte eingeleitet, die ähm, Den IT-Dienstleister kontaktiert, und ähm dann lag das wieder der Ball anhand des IT-Dienstleisters in Hessen der E-Com da jetzt an den Stellschrauben zu drehen. Als erstes hat man natürlich diese öffentlichen, Zugangsdaten aus diesen Konvigrationsdateien entfernt, also man hat diese Dateien alle vom Netz zumindest versucht alle vom Netz zu nehmen. Das hat dann zwei Anläufe gebraucht. Dann wurde überlegt ähm ob das jetzt ausreicht. Wir haben ja schon gesagt, dass ähm die Daten ja, verschlüsselt waren. Dazu brauchte man ja in der Tat das Originalprogramm oder Teile der Originalsoftware, er muss entschlüsseln. Die wurden auch aus dem Netz genommen, aber auch nur zum Teil, Damit wurde es also schon mal auf Seiten des IT-Dienstleisters abgehakt. Wir haben das jetzt gelöst und dann wurde noch versprochen ähm wir schauen mal, dass wir diese FDP Sache sicherer machen, dass wir S FDP einsetzen und auch vielleicht kriegt dann jede Gemeinde ein eigenes Passwort.

Jede jede gemein.

Fortschritt nicht aufzuhalten.

Jede Gemeinde hier eigentlich.

Jeder, jeder nur ein Kreuz.

Das kostet.

Ähm na ja, dass jede Gemeinde ein eigenes Passwort und ihr eigenes Gefängnis auf dem FDP-Server kriegt, ähm würde ich sagen, ist jetzt so eine Mindestvoraussetzung. Äh die Verwendung von S FDP schützt also dann auch, dort verwendeten Passwörter das Problem, das Dritte immer noch in der Lage sein können, Dateien zu manipulieren, Ähm wird dadurch aber nicht gelöst. Und dieses Problem existiert eben ähm eher auf Seiten des Betreiber, also des Herstellers. Ähm, Wort-IT ähm als auf Seiten der der Ecom einundzwanzig. Also man könnte sagen, Ecom einundzwanzig hat jetzt alles gemacht, was in ihrer Macht stand.

Richtig, also Ecome einundzwanzig ist ja die Dienstleister, der das Produkt quasi vertreibt und die Infrastruktur dafür bereitstellt, Produkt selber muss ja in gewisser Art und Weise wird ja direkt vom Hersteller gepflegt. Zum Beispiel werden Updates verteilt, dann bundesweit an alle Anwender von dieser Software, und ähm auch die ähm möglichen Sicherheitsmerkmale dieser Software müssen ja vom Hersteller eingebaut sein, Ja, also nachdem das passiert ist und ich da Kontakt hatte, es war natürlich wie, als hätte man nur seinen Wespennest gestochen. Da denkt man sich, okay, was ist denn noch alles da äh, im Argen, wenn das schon so offensichtliche Mängel gibt. Ähm ja, dann, Problem ist, dass wir hier in sechzehn Bundesländern ähm sehr viele unterschiedliche Wege der Wahlauswertung haben. In Hessen beispielsweise gibt es dann noch eine zweite Übertragungsart. Das geht dann in das sogenannte Wahlweb in Hessen, Das wird auch aus Pizziwahl heraus werden da Ergebnisse direkt an das statistische Landesamt in Hessen übermittelt. Also es gibt zwei Übertragungswege, den einen, den wir eben beleuchtet hatten über diese FDP, andere direkt aus Peziva heraus, das ist eine Webanwendung, statistisch im Bundeslandesamt und ähm. Die scheint ja erstmal dann sicher, weil da geht es nichts über einen FDP Server und da gibt es dann allerdings auch wieder erstaunliche Dinge zu berichten.

Mach ruhig weiter, mach ruhig weiter.

Ja. Gut, ähm dann ähm, ist uns aufgefallen bei dann einer erweiterten Internetrecherche, die ist ein bisschen ausgedehnt wurde, dass ähm, dieser Server, der die Updates für PC Wahl bereitstellt. Hm, ja, das sind Eins und Eins Shadow Post. Also das ist ein ähm, öffentlich zugänglicher Webserver. Und den kann man sich natürlich ansehen, den haben wir uns auch angeschaut und ja der ist sehr, sehr ähm interessant für jeden, der mit einem speziellen Blick auf diesen Server.

Was meinst du mit du hast ihn dir angeschaut.

Ja aufgerufen die Webseite des Programms.

Geguckt. Wir haben geguckt, was das so anbiete.

Bisschen bisschen angeklopft sozusagen.

Richtig mal angeklopft, abgeklopft und ähm man kann von diesem Web äh die original Software beziehen, die ja eigentlich geheim gehalten werden soll oder auch muss, wie wir eben gesehen haben, weil sonst diese ganzen Prinzipien ähm, der ja sicher durch Geheimhaltung nicht mehr funktionieren. Und äh tatsächlich kann man von diesem Server die Originalsoftware herunterladen und dann habe ich die mal installiert, lokal, Und dann mal beobachtet, was macht die Software so? Mit was verbindet sich die Software, welche Möglichkeiten äh Datentransfer? Das Exports gibt's noch. Außer diesem FDP-Kanal, den wir schon gesehen hatten, und ähm, Das Interessanteste dabei ist die Update-Funktion. Diese Software hat eine automatische Update-Funktion und lädt sich ähm ja Update-Pakete von eben diesem Webserver herunter, über den auch, die Software vertrieben wird und ähm diese Update-Pakete haben ja dieselben Schwachstellen über die wir jetzt auch eben schon geredet haben, keine Signatur, ähm und auch keine nennenswerte kennenlernenswerten Schutz vor Manipulation.

Also vielleicht bleiben wir noch ganz kurz bei diesem Server, er hat was, äh, also dieser Server ist wirklich sehr kurios, ne? Ein ein kurioses, Element. Äh bei eins und eins gehostet auf so einer Büchse, wo fünftausendfünfhundertundsieben weitere Kunden von eins und eins ihre Dateien haben, was jetzt, kein Problem ist, aber das zeigt schon so, Weste, wenn du, Bereitstellen der Software, die irgendwie kritisch für die Wahlstimmen von dreiunddreißig Millionen Menschen ist, die noch nicht meinen eigenen Server gönnt, ja, sondern dich auf irgendwie, also ich meine, ich hab eigenes Verwerben in der Mehrzahl. Und die haben, der teilt sich dann mit fünfeinhalbtausend Gammlern irgend so ein eins und eins Server, ja.

Im Volk. Das Bürgerbürgernahe.

Fünfhundert potentiellen WLAN.

Also auf welche Art und Weise wird er geteilt? Wird er sozusagen nur die CPU geteilt oder liegt die Administration komplett dann wiederum beim Dienstleister. Also hat sozusagen den Dienstleister.

Das ist etwas, was mich da tatsächlich so ein bisschen verwirrt hat. Ähm also dieser Server-Wahlauswertung, die er hat schon so seine eigene IP-Adresse. Das ähm. Insgesamt liegen von einer derartigen wahrscheinlich CAD Food Konfiguration mehrere tausend auf einem auf einem auf einer Infrastruktur da. Also es ist jetzt es geht von den ganzen Schwachstellen, die dieses die dieser Server aufweist, keine unmittelbare Gefahr für die anderen fünftausend Nutzer aus. Das ist schon mal die gute Nachricht, Ähm.

Die Frage ist, ob die anderen fünftausend Nutzer eine Gefahr für diesen Server darstellen können. Mhm. Also wäre es möglich, sozusagen innerhalb dieses Systems da auszubrechen.

Das wäre überhaupt erstmal die nächste Frage, weil wir waren erstmal damit beschäftigt davon aus dafür zu sorgen, dass der Server für sich selbst keine Gefahr darstellt, weil er ähm eine Reihe an ähm Schwachstellen aufwies, die es einem Angreifer erlauben, ähm dort Dateien zu extrahieren und auch Dateien hochzuladen. Was also das ist, Ja. Also du kommst langsam an den Punkt, ja, dass ähm, also das ist irgend so ein Server, der spricht da irgendwie harte TP und jetzt, dann lädt sich Software von da Updates und jetzt kannst du da Schwachstellen, wie du da Dateien hinschreiben kannst. Ähm, es gibt also jetzt irgendwie so langsam und im Wahlerlass steht drin, bevor hier die, bevor hier irgendeiner wählt, wird die Software geupdatet, ja Das heißt, dass hier echt ähm, geneigten Hörer wissen langsam wohin die Reise geht ähm aber Martin vielleicht willst du mal ganz kurz.

Ich will noch eine Anmerkung machen. Es wird von dem Lokal oder kommunalen IT-Dienstleistern eigentlich in allen Bundesländern damit geworben, dass sie in auf gesicherte Infrastruktur setzen, gesicherte Rechenzentren anbieten, Dann passiert eben sowas, dass der, goldene Schlüssel in alle Wahlstuben, also eben über diesen Update-Server für diese Wahlsoftware, äh dass der einfach komplett zu staub zu fällt, sobald Berlino einmal anschaut. Also das ist quasi der Haupteingang und den hat noch niemand sich angeschaut, Wenn man so eine Schwachstelle entdeckt, dann kann das n, dann hat da noch niemand drauf geschaut, niemand hat diesen Prozess manualisiert.

Also wir haben äh wir dokumentieren vielleicht noch kurz sagen, heute ist Mittwoch ähm der sechste September, äh, Thorsten, Martin und ich werden dann also morgen, am Donnerstag, wer noch diese Sendung erscheint, einen Bericht veröffentlicht haben und da werden jetzt allein auf diesem Server ähm vier, Schwachstellen dokumentiert, wovon drei es einem Angreifer ermöglichen, also beliebige Inhalte auf diesen Server zu laden.

Sharing is caring.

Also wenn ich das richtig verstehe ist eure Einschätzung, dass dieser Server so äh porös ist dass man sich äh dass man jetzt nicht viel Einfallskraft äh haben muss, um sich Szenarien auszudenken, wie man tatsächlich den Inhalt dieses Servers kompromittiert und damit dann potentiell die Software, die kurz vor der Wahl von allen Wahlkreisleitern nochmal heruntergeladen werden soll aus Sicherheitsgründen gegebenenfalls austauscht.

Durch 'ne sichere Version.

Eine sichere Version, ja? Und dann fahren auch alle diese Software.

Ja, aber also weil weil da damit das ja nicht passiert, ja? Also du hast ja ähm in einem solchen Zustand äh würdest du Von einer Signatur Gebrauch machen, ja? Du würdest deine Software, also signieren und dein Update so gestalten, dass er nur signierte Softwareupdates empfängt.

Wie man das heutzutage in jedem Betriebssystem hat.

Und da hat dann der Torsten ähm sich das mal so ein bisschen angeschaut, wie das denn da so passiert, denn was kam da zum Einsatz zur Sicherung der Updates.

Eine selbstgeklöppelte Verschlüsselung. Die man noch nicht zuvor gesehen hat.

Da muss sie ja sicher sein.

Ganz geheim, ja. Ähm genau. Jetzt muss ich mal überlegen, wir haben ja so ein paar, Verschlüsselungs äh Algorithmen gefunden. Ähm, die sind alle alles andere als zeitgemäß. Ähm selbst wenn sie, also ich muss ein bisschen ausholen, diese Software, die diese Updates auch installiert, ja, die hat, im Grunde genommen die die Möglichkeit ordentliche Krypto zu machen, denn da sind teilweise Open SSL Librarys reingelegt, all die ganzen Krypto primitiven und Krypto-Routinen, die man braucht, um datensicher und zeitgemäß zu verschlüsseln oder eine Integrität zu verifizieren oder Authentizität die sind eigentlich da, aber, ähm statt einfach irgendwie so zweihundert Zeilen AES äh Referenzimplementierung zu benutzen, hat der Entwickler sich gedach, Das mache ich besser, in zehn Zeilen Code mit einem eigenen Algorithmus, Ja, was soll ich sagen? Erstmal ist er, hat er am Thema vorbei implementiert, dann wir wollen die Daten nicht verschlüsseln, Wir wollen sie nämlich zuerst irgendwie davor schützen, manipuliert zu werden durch Unberechtigte. Äh die Thematik ist ja gar nicht angegangen, das heißt diese Verschlüsselung war. Ja, ich sag mal so von der Zugfahrt von Kiel nach Berlin, da war die Krypto dann kaputt und ein paar Stunden später hatte ich dann halt auch äh ein Programm gebaut, was diese Update-Pakete, entpacken oder auch neu bauen kann. Um ein sichereres Update auch äh zum Beispiel zur Verfügung stellen zu kö. Wenn die, wenn die, wenn diese Software sicher dann mit dem Server verbindet, um Updates zu laden, dann äh bekommt es ja dieses verschlüsselte Paket und nehmen wir mal an dieses Paket wäre, nicht verschlüsselt, dann würde dieser Update-Mechanismus ja viel schlagen, weil diese Software eben keine sinnvollen Daten dann da aus dem, aus dem Paket extrahieren kann. Deswegen ist das ganz praktisch, wenn man eben ein ein Werkzeug hat, wo man diese Pakete auspacken kann, patchen kann und wieder zusammenbauen kann, um sie dann äh irgendwie auf die, Computer zu bringen, die in diesen Wahlkreisen ihren Dienst zu verrichten.

Weil das, weil das weil diese Software so praktisch ist, haben wir die dann jetzt auch auf Gitter veröffentlich.

Ja, natürlich. Ja ähm.

Also um das mal kurz zusammenzufassen. Dieses Softwareupdate lädt eine Datei von besagten Server herunter, die ist jetzt Erdwurz verschlüsselt mit einem selbstgestrickten Algorithmus, so dass da sozusagen ein Passwort verwendet wird, aber es handelt sich hier auch nicht um so eine asymmetrische Verschlüsselung, sondern sozusagen so eine symmetrische so, ja.

Die war glaube ich sogar ohne Schlüssel, ne.

Ja, ja, das die haben da verschiedene Sachen ähm auf diese Passwörter, die in den Konfigurationsdateien stehen, kommen wir ja vielleicht auch noch zu sprechen. Äh in diesem Fall tatsächlich, war das ein Verschlüsselungsalgorithmus, der ja, symmetrisch ohne Kie, also einfach nur.

So wie Buchstaben, so Rot dreizehn, so so Buchstaben verschieben im Prinzip. So in die Richtung.

Also das basiert halt auf einem Counter, der halt in dieser Decription oder Encryption Routine einfach eben modifiziert wird und dann als Key in diese Verschlüsselung einfließt.

Ah, aber gab's denn irgendeinen Mechanismus anhand derer die Software hat feststellen können, dass vielleicht die Datei nicht richtig heruntergeladen wurde oder so.

Ähm.

Kann ja auch schon mal passieren.

Ich weiß jetzt nicht genau, ob die da auch.

Der Tat, es gibt da verschiedene, Das ist interessant. Dem Anbieter ist das anscheinend bewusst dieses Risiko. Es gibt ähm eine äh Prüfsumme, die veröffentlicht ist auf der Webseite, dieses Update beziehungsweise darin enthaltene Datei haben soll. Allerdings zu dem Zeitpunkt, dass wir uns angeschaut hatten, gab's noch keine ähm Beschreibung, wie denn diese Prüfung me verifiziert werden soll.

Ja, aber die Prüfsummen, die beziehen sich dann auf die einzelnen Executivals nicht wahr und nicht auf die Update-Pakete. Und das ist natürlich teilweise ein bisschen ähm.

Ja, deswegen ist ein Versuch, das Risiko war bekannt, aber getroffen bin ich.

Thorsten, wir haben uns noch gewundert, warum die zweimal gezippt sind, will der vielleicht gegen, also Zip-Archive erkennen, würdest du ja eine einen Bit Flip erkennen? Vielleicht ist es das der Grund, warum wir Nummer.

Nein, nein, das glaube ich nicht. Das ist einfach nur, ich weiß auch nicht.

Gibt's so einige Sachen, die sich uns also vieles hat sich uns nicht so ganz erschlossen, warum das gemacht wird.

Also aber, ne, dieser Verschlüsselungsalgorithmus für diese Update-Pakete ist auf jeden Fall definitiv so ein Fall von, Zeitbombe, weil ähm eben diesen ganzen Prinzipien äh ja die wurden halt ignoriert, dass man dass die Sicherheit des Systems eben nicht auf der Geheimhaltung eines Verschlüsselungsalgorithmus beruht, sondern im besten Fall auf der Geheimhaltung eines privaten Schlüssels und äh in diesem konkreten Fall haben wir nicht mal einen privaten Schlüssel, sondern einfach nur, paar X-Ohrs und ein paar Accounter, die inkrementiert werden und das war's.

Und all dieses Wissen, ne, liegt ja mit dem Update-Programm. Das hatten wir. In der, in der Hand des Nutzers, ja?

Das hat jeder, also ja, jeder, jeder, der diese Datei runterladen kann, kann sehr, sehr schnell herausfinden, wie diese Dateien fair oder entschlüsselt.

Soweit ich weiß, dient dieser Pseudoverschlüsselung auch nur dazu, ähm dem Lizenz äh gemäßen äh äh Verbreitung dieser Software halt äh Einhalt zu gebieten. Also, dass man nur, wenn man berechtigt ist, berechtigt ist, Software installieren kann und updaten kann. Das war glaube ich der der Sinn hinter dieser Verschlüsselung. Gar nicht mal Überlebung.

Überhaupt kein, kein, kein Schutz vor Manipulation, überhaupt gar nicht vorgesehen. Man kann ja so eine so eine so eine Pakete, die können ja an verschiedenen Punkten manipuliert werden, die können manipuliert werden, wenn sie auf diesen Webserver liegen, der vielleicht von fünftausend anderen Benutzern mitgenutzt wird und Schwachstellen aufweist, für die man nicht selber verantwortlich ist, diese Pakete können durch mähnende Mittelanggriffe modifiziert werden, also in dem Moment wo, jemand zum Beispiel mit seinem Wahlkreis äh Computer über irgendein offenes WLAN, ähm ja Opfer von nebenan wird ja diese Kommunikation abfängt und dann gezielt auch die Daten manipuliert. Oder was sich irgendein, Wahlkreisleiter, der sehen, der den Wahlcomputer mit nach Hause nimmt und bei sich im WLAN dann irgendwie updatet oder so, wo vielleicht die Nachbarn oder irgendwelche Script-Kiddies auch Zugriff aufs WLAN haben. Das sind halt so die Szenarien, wo diese, konkreten Mähnen, Mittelangriffe oder ebenso, wo man dann irgendwie die diese Domain umleiten kann. Das ist dann halt sehr realistische Szenarien, wo das passieren kann.

Tja und mit damit waren wir.

Ah wir haben noch einen anderen gefunden, also weil es halt gefunden, wir haben's natürlich nicht ausprobiert, aber es ist ja auch denkbar, gerade, weil ja jetzt, alle aufgesprungen sind und Panik schieben, dass jetzt hier was gemacht werden muss, kann man natürlich auch, E-Mails verschicken als Bundeswahlleiter und an alle Landeswahlleiter schreiben, hier pass mal auf im Anhang dieser E-Mail, dass halt ein Update-Paket ein Zip, Sorgt bitte dafür, dass es auf einem Wahlkreis Computern installiert wird.

Diese Funktion befindet sich in der Software.

Nö, aber das kann ich ja so machen, also Social Engineering ist ja irgendwie dann nochmal so ein Ding. Da kann der, da kann ja die Firma nichts dafür, die diese Software entwickelt hat, wobei.

Dachte jetzt, das wäre so eine Funktion eingebaut.

Tatsächlich, es gibt die äh Funktion des manuellen Softwareup.

Ja, da dann lädt man sich das halt von einem mit einem Webbrowser runter und installiert das halt manuell. Also die manuelle Installation ist vorgesehen, so dass man tatsächlich auch einfach mal sagen kann, so. Und in der Zeitung stand, dass das alles unsicher ist und wir jetzt dringend Updates einspielen müssen, das hat der Bundeswahlleiter gesagt und jetzt schickt der mir eine E-Mail, dann installiere ich das jetzt mal schnell.

Also wir haben zu diesem nur mal kurz al.

Plausibel dann, oder? Also.

Zwischenstand ähm drei Sicherheitslücken gehabt, muss man dazu sagen, es ermöglicht haben auf diesem Update-Server Dateien zu platzieren. Äh wir haben, bestehende Sicherheitslücken, die es uns ermöglichen, Softwarepakete zu bauen, die von dem Update-Paket, problemlos installiert werden, jetzt fehlt eigentlich noch die Möglichkeit, na ja, wie wollen wir denn die Wildsoftware manipulieren, Aber auch dafür gibt es natürlich eine eine Lösung. Also man muss dazu sagen die Einsatzbedingungen dieser Software sind ja ohnehin haarsträubend, ja? Also es wird zum Beispiel nicht empfohlen, dass, ähm an jeder einzelnen Stelle, wo jemand in diese Softwaredaten eingibt, auch eine Installation von PCWal, liegt, sondern es wird empfohlen im Sicherheitskonzept, ähm dass dieses Binary Picival über einen Fallserver im im Netz freigegeben wird, ja? Das heißt, alle führen diese Datei, von diesem Fallserver aus. Ähm, Und das hat dann diesen Programmierer auch vor große Herausforderungen gebracht, weil wenn mehrere Leute in dem gleichen Arbeitsverzeichnis gleichzeitig arbeiten, dann musst du natürlich aufpassen, dass die nicht gleiche Operationen machen, das heißt, der schreibt dann auch immer so auf die Festplatte. Welch das gerade, was weiß ich, Wahlkreis wohnt so bearbeitet wird, ja? Und dann kannst du mit einer zweiten Instanz, diesen Wahlkreis nicht mehr bearbeiten, ja? Weil, weil eben potenziell dieses Multi-User-System jetzt in das Fallsystem eines Falls übertragen werden muss.

Das so neunziger Jahre Servertechnologie. Ja, so habe ich das damals schon gemacht, also.

Die Neunziger haben mehrfach angerufen, während wir uns das hier angucken. Wollten alles wieder.

Ihr wollt noch ihre wieder. Das Workout in der das Wort in der in der Hand. Nein, bleiben wir er, ähm jetzt hast du jetzt hast du dieses, Problem, da werden also jetzt wieder die Dateien geschrieben. Das heißt also jetzt auch wieder, du kann, Ähm allein schon hier wieder mit all deinen Nutzern quasi Dateien Wenn er jetzt mehrere Nutzer in einem Arbeitsverzeichnis arbeiten, hast du wieder das gleiche Problem, wie mit diesem FDP-Server, ne, dass du Wahlkreis A hat ein G oder Wahllokal A hat eingegeben, dann gehst du einfach hin und editierst die wieder. Ja, das ist ja alles im im freien Netz dass es in deren Sicherheitskonzept so empfohlen, aber ähm ähm lassen wir das. Ähm das Entscheidende ist, ähm, All diese Angriffe, wenn man jetzt in dieses Arbeitsverzeihniss von PC Wahl gehen würde, dann würde ja beim Upload an die nächste Stelle, ja oder beim Export der Dateien in einem bestimmten Format werden die ja nochmal angezeigt. Und ähm nun wäre ja äh.

Auf dem Bildschirm bevor sie versendet werden.

Es wäre das Argument natürlich gewesen, haha, äh ja, ihr könnt die Dateien verändern, aber, unsere Wahl, wir gucken ja auf jede Zahl das fällt ja sofort auf. Niemand denkt jemals darüber nach, was ihr und dann, was macht ihr denn dann, ne? Jetzt fällt euch am Wahlabend auf, dass die ganze ganze Mist nicht mehr stimmt und ihr und eure und und ihr sitzt da mit euren Zelten und wisst nicht, was ihr machen sollt.

Kann ich dir sagen, was was äh so Bediener machen, wenn sie da feststellen, dass eine Zahl falsch ist.

Hello IT.

Das schicken's einfach trotzdem. Also ich meine, das ist so die die Standardprozess, wenn es geht. Ja, dann dann machst du das einfach, weil ja im Zweifelsfall die Bediener ja auch davon ausgehen müssen, dass sie irgendwas nicht richtig verstanden haben.

Genau, da kommen wir auch das davon müssen die Bediener bei der Software sowieso ausge.

D, also dass sie selber sozusagen, also man diese Wahrnehmung, ich meine das jetzt gar nicht so als Witz oder so auch als Beobachtung von so äh Nutzern, komplexer Systeme, die dann in so einem kurzen Moment auf einmal so einen auffälligen, äh ja hier. Ich meine, die meisten Fehlermeldungen werden einfach weggeklickt und so sehr viel mehr als, eine Fehlermeldung ist das dann in dem Sinne auch nicht und wenn halt die Software nicht aktiv, anfängt die Rollen herunterzulassen und irgendwie Hillium in den Raum zu, grün, ja, dann dann wird da halt irgendwie auch nichts getan, sondern da wird er einfach drauf gesendet und weg ist es.

Die gehen ja auch sehr inflationär mit irgendwelchen Meldungsfenstern um, ja? So schon, wenn man sich anmeldet, wird man begrüßen, geht ein Fenster auf Hallo Herr Schmidt, es ist dreiundzwanzig Uhr zweiundvierzig und fünfunddreißig Sekunden, heute ist der fünfte neunte, sie sind irgendwie das letzte Mal haben sie sich dann und dann angemeldet und heute sei.

Wollen sie ein Update runterladen.

Heute ist ein schöner Tag.

Und wollen sie nicht ein Update.

Wollen sie nicht ein Update machen oder in der aktuellsten Version wird er sogar auch noch angeboten, dass man einen Selbsttest durchführen kann?

Dazu kommen wir gleich noch. Jetzt, also jetzt kommt der, jetzt knallsch nicht. Träume ich oder wach ich, Aber jetzt kam, also jetzt kam der letzte Teil der Übung. Also wenn du mit solchen ähm sage ich mal hm, in der in der Kommunikation und ähm und auch in den Reaktionen, äh die also in der, also wir haben. Mehrere Probleme wurden ja zeitnah dann auch äh dem Hersteller gemeldet, wir konnten hier in den letzten Wochen zusehen wie ähm jeden, irgendein Softwareupdate kam, ja? Ähm. Wenn du mit solchen Leuten zu tun hast, ja? Und dann auch siehst, wie was sie dann da implementieren, dann ist es besser, wenn du ein anderes Szenario baust, wo keine Warnmeldungen mehr kommen. Und weil das dann würde halt, also dieses Argument kannst du einfach nicht auf dir sitzen lassen das ist 'ne erwartbare Falle, dass so irgendwie sortiert ist, ist alles, sage ich mal so noch nicht ganz ausgereift. Trotz dreißig Jahren Entwicklungszeit. Ähm, da müsst ihr nochmal ran. Und dann wird gesagt, ja aber da kommt ja hier ein Fenster, ne? Und deswegen muss da also jetzt ein Angriff her, der der kein Fenster hat.

Es sind immer die besten Reaktionen von Entwicklern, wenn man als Sicherheit, Forscher da ankommt und sagt ihr habt da ein Problem, dann heißt es oft ja aber umso häufiger man ja aber hört, desto wahrscheinlicher ist, dass es halt alles noch viel kaputter wird, wenn die das dann anschließend verschlimmbessern.

Und du willst vor allem halt auch echt nicht ja aber sagen und so einen Typen wie den Torsten, damit ärgern, ja? Weil dann guckt der nach. Und das haben äh Martin und Thorsten dann noch weiter gemacht und haben also eine, eine Möglichkeit der Manipulation gefunden. Ähm vielleicht wollt ihr das mal ganz kurz zeigen, was was da ist oder erklären, was da das Ergebnis ist.

Der Martin kann der gleich mal irgendwie.

Ich mache mal den Anfang und ähm gib dann ab. Ähm, dieses Jahr aber da braucht man halt jemanden, der dieses Aber einwirft, weil wir sind alle Wahlunerfahren, also keiner von uns hat die Position ist Wahlamtleiters besetzt deswegen sind wir da zu einem gegangen in Hessen und ähm, haben dann mal präsentiert. So, nach und nach, was denn alles möglich ist mit dieser Software und gefragt, wäre ihnen das aufgefallen, oder? Wie hätten sie das verhindert? Oder hieß es da immer, ja. Ja aber. Ja. Und ähm wenn man nach der Bundeswahlordnung geht, ist eigentlich recht klar, wo man da überall manipulieren könnte. Aber in der langjährigen Praxis eines Wahlamts ähm weiteres gibt es natürlich noch ein paar Tricks, die dann auch in diesem aber erwähnt werden, zum Beispiel, dass Schnellmeldungen erstmal niedergeschrieben werden und dann erst eingetippt werden, dann kann man nachher nochmal mit der Vorlage vergleichen, ähnliches. Und dann hatten wir die Idee, okay? Ja, was ist denn, wenn wir denn alles richtig anzeigen? Du gibst die Daten ein und, alles ist Friedefreude, Eierkuchen und dann exportierst du das halt auf die nächsthöhere Ebene, Die Meldung wird dann weitergegeben an die Kreisebene Landesebene. Und genau da sitzt dann die Manipulation an, da wird dann sozusagen unter der Hand ein Zahlendreher eingebaut, Ergebnisse mal von der CDU und der SPD vertauscht, exportieren lassen, gefragt, ja was machen sie denn jetzt? Und dann ja, so übertrage ich das jetzt auf die Landesebene, und dann werden die Ergebnisse automatisch noch zwei Minuten im Internet freigegeben. Der Webseite des statistischen Landesamts präsentiert und der Weltöffentlichkeit zur Verfügung gestellt, und unbemerkt äh war in dieser Detail Zahlenträger eingebaut.

Wie hast du jetzt diese Dreher äh.

Das ist genau das Szenario, über das wir vorhin geredet hatten, dass wir diese Updates angreifen. Also.

Also so bringen wir das Update an, äh der entscheidende Punkt ist erstmal, wie ist das Binare verändert worden, dass es die ganze Zeit die richtigen Ergebnisse anzeigt und erst beim Export die Dateien änder.

Das ist ja kein großes Problem, weil dieses PC war äh sehr modular aufgebaut ist und jedes Bundesland hat seine eigene Exportschnittstelle. Man muss eigentlich nur diese Exportschnittstellen bearbeiten. Die Datenhaltung in dem Programm, die interessiert nicht, solange wir ähm an der Ausleitung der Daten manipulieren, Und genau das haben wir gemacht und ähm dass wir er auch nicht auf da gab's kein Aber.

Nee, da da war nix, aber. Und damit hattest du jetzt also einen vollständigen, damit war der Angriff jetzt wirklich komplett, Server übernehmen, Updates ausspielen, da an zentraler Stelle, ja? Also die, das wäre jetzt also dann Überall wo PC Wahl eingesetzt wird, hättest du dieses Softwareupdate ausrollen können und dann eben mit einer Manipulation, die auf deiner Ebene des Bearbeiten, den zu keinem Zeitpunkt jemals irgendeinen Hinweis gibt, dass etwas nicht stimmt und final einfach andere Ergebnisse hochlädt. Damit war der Drops dann gelutsch.

Das können wir dann Quellen TKM nennen, Quellen, Telekommunikationsmanipulation und äh damit hätten wir quasi genau den Kanal, der dann rausgeht, manipuliert, ohne dass der Sender davon mitbekommt.

Dann waren wir fertig. Haben wir gedach.

Und da.

Haben wir gedacht. Jetzt hast du es natürlich mit noch so weiteren ja aber zu tun, weil äh wir ähm, schon relativ früh in diesem, in diesem Projekt ja auch mit äh mit der Presse zu tun hatten, und ähm was die Presse ja dann so in solchen Situationen macht, die können ja nicht einfach glauben, dass wir äh sowas äh, kaputt machen, sondern die stellen dann natürlich Fragen. Sagen, stimmt ist das? Ihre Softwareupdates nicht signiert sind. So und dann kannst du dir ungefähr vorstellen, wieder in wo sitzt diese Wood IT.

In Hessen.

Ja? Also wie dann da irgendwie äh schnell mit den Füßen geschart wird. Und am nächsten Morgen hast du dann halt so ein Softwareupdate auf PC Wahl DE liegen.

MD fünf.

Da standen dann so so schöne Sachen drin wie ähm ja, jetzt jetzt äh Integritätssicherung mit MD fünf.

Zweitausendsiebzehn haben sie MD fünf eingebaut.

Ja, also MD fünf, vielleicht ganz kurz ist also.

Erklären warum das so schlechte Idee ist.

Also der MD fünf ist ein ähm ein äh Prüfsummenalgorithmus, der äh zur Integrität, zur Integritätsprüfung von übermittelten Informationen, egal welcher Genese.

Ja oder für alle möglichen kryptographischen Protokolle wurde das genutzt.

Stimmt also zur Absicherung von Zertifikaten oder so. Also prüfsumen Algorithmus. Der allerdings, äh, der dir einerseits sagen kann oder der dem mit, mit seiner abzüglich seiner ähm mit einhundert Prozent Minus seiner Kollisionswahrscheinlichkeit sagen kann, dass es sich um die Datei handelt.

Möglicherweise um die Datei an.

Möglicherweise um die Datei oder eine ihrer Endkollisionen handelt, die du haben möchte.

Datei oder eine andere.

Und das Ding ist seit zweitausendeins kaputt oder so.

Du hast lange kaputt, das BSI hat ja in hat ja so einen IT-Grundschutz, Buch, da gibt es ein Kapitel, das wird mit sich der Kryptografie und da wird sehr explizit davon abgeraten, MD fünf zu benutzen in kryptographischen Verfahren und da wird auch davon abgeraten selbstgeklöppelte Kryptografie zu benutzen, aber.

Seit zweitausend, seit zweitausendfünf ist das kaputt. Ja, also seit seit zwölf Jahren kaputt und so eine, so eine Cashfunktion hast du im Prinzip, also die ist dann kaputt, wenn es einem Angreifer gelingt, eine im mit überschaubarem Aufwand, eine Datei, einer gleichen ähm Prüfsumme zu generieren, ja? Also du hast eine vorgegebene Prüfsumme, in dem Fall, die das dieses PC Wahl-Updates und ähm, Du äh bist deine Aufgabe, besteht jetzt darin eine alternative Datei zu bauen, die die gleiche Prüfsumme hat, ja? Als.

Katze auch die Prüfsumme modifiziert wird ja auch runtergeladen vom vom gleichen, sag mal.

Genau. Genau, das also das diese Schwachstelle kann denen nämlich völlig egal sein.

Weil das Verfahren einer Prüfsumme völlig ungeeignet ist.

Weil weil das Verfahren einer Prüfung ungeeignet ist, weil jeder diese Prüfsumme errechnen kann, ja? Und jetzt müsste es also quasi der Angreifer in diesem Fall ist also nun nicht nur gezwungen, eine Datei, ein ein Softwareupdate zu manipulieren, sondern er müsste abschließend dann auch noch, Die MD fünf Summe seines Softwareupdates errechnen, was mit eine, Befehl im Ferminal geht und diese neben seinen Softwareupdate in die gleiche Zip-Datei legen.

Aber jetzt mal unter uns.

Quatsch unter uns, wir sind hier nicht unter.

Ich verrate ein Geheimnis, wenn ich schon in der Lage bin, die Software zu modifizieren, um Wahldaten zu verändern, dann patche ich vielleicht einfach die Routine raus, die irgendwas mit MD fünf checkt.

Also du könntest sie rauspatschen, aber es ist, also es stellt vor allem, es ist einfach überhaupt keine wirksame Hürde, weil der Angreifer ist ja unten. Also wenn der Angreifer in der Lage ist, dir eine die Datei zu manipulieren, dann ist er genauso gut in der Lage, die dazugehörig im gleichen Zip-Archiv liegende ähm MD fünf Summe zu manipulieren. Also eine absolut, wie unwirksame, unsinnige Maßnahme, ähm deren Motivation sich uns auch wirklich nicht.

Ja die die Motivation kann ich mir schon vorstellen, das ist halt so lustig äh lustig umgesetzt worden.

Also stets bemüht.

Bevor wir jetzt vielleicht zu sehr bashen, muss man dazu sagen, dieses Programm wird von einem einzigen Entwickler entworfen und ähm das ist natürlich ein viel zu großes Gebiet. Das ganze Kommunalrecht Wahlrecht, Programmierung dann über dreißig Jahre Pflege, Software, Pflege, Support, das kann eine Person ja gar nicht allein leisten. Also sollten wir den Fehler hier vielleicht eher in den Prozessen sehen und in dieser Galanzprozesskette, Oder überhaupt der Tatsache, dass eine Person für dreiunddreißig Millionen Bürger verantwortlich ist, um die Wahrheit Sicherheit zu garantieren.

Es ist glaube ich auch aus ähm, Ähm also wir haben von dem ein Bundeswahlleiter glaube ich die Information bekommen, ähm dass seit ich glaube Ende Juli, das Bundesamt für Sicherheit in der Informationstechnik, auch in dieser Sache aktiv ist, ja? Das heißt ähm, sagt das Problem ist ein bisschen mannigfaltiger, weil es eigentlich sich um eine Ländersache handelt, aber das BSI, scheint hier wohl nach Aussage des Bundeswahlleiters, behilflich zu sein und ähm wir können uns eigentlich nur vorstellen, hier äh der Rat des BSI nicht richtig, verstanden oder umgesetzt wurde. Ähm, entsprechend haben wir dann auch gestern tagsüber, also am fünften September dann nochmal bitter gezittert. Äh als es ein weiteres Update von PC Wahl gab, zu denen zu dem in den Release Notes einfach nur der ich würde fast sagen kryptische Kommentar, digitale Signatur gemacht wurde und wir haben halt dann ey, also wir saßen jetzt in einer Sekunde, haben sie gedacht, vor alles wäre jetzt wirklich ärgerlich. Ähm wenn, Wenn dir das jetzt richtig gemacht hätten, aber.

Sie haben so richtig falsch gemacht. Also zumindest haben sie sich bemüht. Sie signieren jetzt diese Bild mit einem äh Code Sining Zertifikat. Das war's, dann geben sie eine Anleitung, wie man da rechts klicken muss und auf Proporties klicken muss und auf Details, um dann zu gucken, ob das immer noch valide signiert ist. Das heißt, ob es äh, modifiziert wurde.

Was sie aber nicht machen, ist diese Zertifikatsprüfung bei der ähm beim Softwareupdate zu machen.

Die müssen den Installa signieren. Das ist der einzige Weg, den sie haben, um dort sicherzustehen, dass die Updates aus einer verifizierten Quelle kommen und nicht von mir.

Und soweit ich das verstanden habe, ist man jetzt zwar von MD fünf weg, aber immer noch nicht so ganz sicher dabei.

Ne, sie haben jetzt also, Es gibt auf jeden Fall ähm dann dazu von uns dann veröffentlicht ähm Videos, die äh zeigen wie, wer sein Softwareupdate angebracht wird, trotz richtiger, digitaler Signatur, weil eben das Softwareupdate nicht geprüft ist und wir so weiterhin in der Lage sind, eine bösartige Manipulation auch, eine gutartige Manipulation. Vielleicht ähm anzubringen. Anderes aber denke ich auch ebenso fundamentales Problem, was wir angesprochen haben, betrifft ja die ähm Authentizität der übertragenden Dateien, ja? Also auch da ähm werden, bis jetzt hoffentlich fast jeder verstanden haben, wäre es jetzt eine Prüfsumme nicht geeignet, die Urheberschaft einer Datei zu beweisen. Und auch da wurde aber auf uns gehört und das äh fand ich tatsächlich ganz witzig, weil äh ich weiß nicht seit wie viel Jahren oder Jahrzehnten der Chaos-Computerclub immer sagt, nutzt PGP.

Ja tatsächlich haben sie da was getan, um sicherzustellen, dass die Daten ähm verifiziert werden können auf Empfängerseite. Das heißt, sie haben da irgendwie noch eilig äh PGP Support reingehackt, Das heißt, sie setzen voraus, dass man sich äh GPG for Win installiert hat, und einen PGP Schlüssel hat und dann kann man beim Verschicken der Daten sagen, ich möchte das als AES verschlüsseltes Zipfeil verschicken, ich möchte, dass äh PGP verschlüsselt und signiert verschlüsseln äh verschicken oder im Klartext, verschicken, dann steht da noch in Klammer nicht empfohlen, ist ja schon mal positiv. Nun stellt stellen sich halt zwei Fragen. Die eine ist eine ganz organisatorische Frage, wie schaffen die das jetzt? Ich weiß ja nicht, wie viele Computer es da gibt, die dann an diesem System angestoßen sind, aber wie, sagen eigentlich die organisatorischen Prozesse, wie kommen diese ganzen, geheimen Schlüssel auf die Wald-PC Wahlcomputer oder wie kommen die ganzen öffentlichen Schlüssel, notwendig sind äh auf den zentralen Server, sodass der überhaupt erst in der Lage ist, zu verifizieren, ob die Datenvalide sind. Das ist ja die Grundvoraussetzung, dass der öffentliche Schlüssel. Des Senders beim Empfänger auch bekannt ist und dort auf einem vertrauenswürdigen Wege hingelangt ist. Äh über diese Prozesse wird halt nicht aufgeklärt, zumindest nicht öffentlich und das wäre mal ganz interessant, zu erfahren, wie das da eigentlich so gedacht ist. Dann liegt das halt nahe, dass sie eventuell einfach äh bei der Provisionierung einzelner Rechner, einzelner Systeme mit, Figuration vielleicht auch noch den Secret Key mit hinschicken, ein Secret Key, das ist dann eben der geheime Teil, bei so einer Verschlüsselungsmethode und der sollte auch irgendwie geschützt werden. Die sind ja dann oft mit einer geschützt, Diese Pastras muss man dann wissen, wenn man Dateien signieren möchte, diese Pastrass gibt man bei PGP, wenn man das bei E-Mail, Transfer, nutzt halt ein, wenn man dann eine E-Mail verschickt wird man danach gefragt und dann ist gut, So, in dem Fall wird man da einmal nachgefragt von der PCVI Software, die sagt halt so, ja, gib mal deine PGP ID ein, damit ich weiß, mit welchem Schlüsse ich signieren soll, Dann gib mal deine Pastrace ein, die ich brauche, um auf diesen geheimen Schlüssel zuzugreifen und dann gibt die Empfänger ID ein, an die die Dateien auch noch verschlüsselt werden sollen. Diese diese Konfigurationsdateien werden dann also Daten werden auch gespeichert in einer Ini, die auch auf der Festplatte liegt und.

Wird da.

Paar wird da gespeichert, ohne dass der User überhaupt darüber in Kenntnis gesetzt wird und äh ja, die Passfrace ist nicht im Klartext in der Inniedatei, aber, da können wir nachher noch was sagen. Das wird dann noch besser, weil wir haben sie dann jetzt diesen PGP Support in ihr, Studio Echse reingehämmert. Man, das externe Programm benutzen, dann rufen sie, machen sie da halt einen neuen Prozess auf, machen irgendwie, Start Process und rufen PGP mit den ganzen Kommandozeilen Optionen auf. Man hätte auch PGPME benutzen können, einfach eine Library, die man damit dazulegt und dann gleich die ganze PGP-Funktionalität in nebenbin Resoul direkt als äh über eine AP nutzen könnte, aber sie haben sich dafür entschieden, lieber das GPG Punkt Exe auf der Festplatte zu callen, mit den Parametern, Minus Minus Patch Minus Minus Pastrace. Dann kommt die Pastrace, dann kommen irgendwie noch Resipent, also Empfänger und dann die Daten, die verschlüsselt und signiert werden sollen und so weiter.

Sprich die Passflace wird sozusagen unverschlüsselt im Betriebssystem herumgereicht, um von einem Prozess zum anderen zu gelangen.

Das ist erstmal nicht problematisch die liegt ja eh immer irgendwo im Speicher, wenn man PGP gerade benutz, äh ist nicht weiter verwerflich, aber wenn man sich auch mal die PGP Manpage, also die Dokumentation von PGP anguckt, bei der, bei der, bei der Verwendung des Parameters Pastrace. Das ist nicht empfohlen, das darfst du nicht machen, weil nämlich diese Passfrace dann in der Prozessliste des Computers auftaucht und wenn da ein Multiuser System installiert ist, dann haben andere Benutzer über die Prozessliste einfach deine Pastfrace gesehen.

This is of very quest schnibble securit.

Very christ. Don't you, Offenbar konnte man das ja zweitausendsiebzehn nicht erwäuten, aber das ist eigentlich auch alles eher nebensächlich, weil, es ist jetzt nicht so, dass die Pastrace von dem Programm irgendwie im Speicher gehalten wird und dann kurz irgendwie einen Prozess gestartet wird und das danach alles wieder weg ist. Sie starten nämlich nicht PGP selbst, sondern sie schreiben diese ganze Kommandozeile mit jedem Aufruf einmal in eine Batchdatei. Diese Bettstadtei liegt auf der Festplatte und dann starten sie die Bettstattei. Das heißt, sie schreiben die Paarsrace mit der ganzen Kommandozeile in eine Datei auf dem Computer unverschlüsselt.

Starten dann den besten Tag. Oh man.

Starten dann die Bachelorteile. Da, ich habe echt schon viel gesehen in meinem Leben, aber das ist schon sehr kreativ, um es mal so auszu.

Es gibt dir dann noch ein drittes, weil nochmal eben verschlüsselt in einer Datei, also somit bieten sich jetzt allein durch diesen einen Shakes, ja, nochmal drei weitere, Erneute Sicherheitslücken, das ist jetzt hier, ne? Also ich meine, ich finde das ja auch schön, dass die bemüht sind, da ihre Software zu verbessern. Aber es ist halt jetzt einfach nur ähm in unserem Bericht äh irgendwie anderthalb Seiten mehr und wir müssen das ja auch alles schreiben.

Das ist echt, das ist nicht fair.

Dazu noch eine Anmerkung vielleicht ist es ja nicht so, dass auf Seiten von PC Wahl allein äh dieses Signaturverfahren eingeführt werden muss, Empfängerseite vorhanden sein. Und da gibt es jetzt in jedem Bundesland ein anderes, in Hessen ist das sogenannte Wahlweb, dass diese Daten dann einliest. Diese Systeme können nicht mal eben so auf die Kürze geändert werden, alle noch drei Wochen vor der Bundestagswahl. Das heißt, man muss sich auch überlegen, wenn wir jetzt hektisch flicken an diesem Programm herumschrauben, machen wir die ganze Wahrfläche nicht nur unsicher, indem wir jetzt überall mit heißer Nadel herumarbeiten, an der, Software, auch auf Länderebene.

Des Weiteren ist hierzu ähm zu sagen, also die überhaupt das Programm oder die, die, Schule des PGP. Ähm zeichnet sich ja dadurch aus, dass sie nicht von einer zentralen Instanz ausgeht, nicht von einer zentralen Vertrauensinstanz, ja? Wenn wir irgendwie so gesagt hat, okay, wir wehren uns, gegen den Staat, ja? Und ähm was du eigentlich in diesem Zusammenhang machen würdest, um das, Ganze auch skalierbar zu machen. Äh wäre eine ganz klassische äh Public Key Infrastruktur, wo eine zentrale Stelle, sagen wir, das Bundesamt versichert in der Informationstechnik, wenn die Freunde aus Bonn eh schon gerade da vorbeilaufen, Ähm sagt, wir machen jetzt hier ähm eine CA, eine Surtificat Afority. Wir geben euch allen Kies. Wir signieren die und dann kann der Bundeswahlleiter oder wo auch immer ihr diesen Mist hinschickt. Mit einem Zertifikat, oder mit einem öffentlichen Zertifikat, die äh, die Autorisierung und Authentisierung von allen, all diesen Dateien überprüfen, ja? Du hättest also einskalierendes System, was jetzt sage ich mal bei mir schwiert immer diese Zahl siebzigtausend rum, die natürlich hier jetzt äh zu hoch wäre, aber von mehreren tausend Ergebnisquellen sprechen wir auf jeden Fall noch. Ähm hättest du also könntest du alle mit einem mit dem gleichen, ähm CA-Zertifikat prüfen, äh, während Sie sich jetzt das Problem erschaffen, dass Sie, einzeln eine eine schier endlose Anzahl von PGP-Schlüsseln verwalten müssen und wer jemals so ein PGP, Fingerprintvergleich gemacht hat, ähm, der weiß, was das, was das für ein Overhead bedeutet, ja? Und dieses System beim besten Willen skaliert einfach nicht. Und wenn du schon ähm Signaturschlüsse verwendest, dann musst du die ebensicher aufbewahren und ich habe heute, noch ein bisschen recherchiert, das erste Mal in Deutschland die Grundlage für eine qualifizierte elektronische Signatur gegeben wurde, das ist ich hab's nicht glauben können zweitausendeins, also seit seit zweitausendeins haben wir, Ideen für qualifizierte, elektronische Signaturen. Ähm, wir haben auf den Seiten des BSI ähm, Ressourcen dazu, wie diese Ideen immer weiterentwickelt wurden, wo also zur Aufbewahrung von Smart Cards, Zur Aufbewahrung der Geheimschlüsse auf Smartcuts geraten wird und allein das würde alle Probleme oder fast alle Probleme hier lösen, wenn man einfach sagen würde, wir nehmen private Schlüsse auf Smartcards, nutzen 'ne BundescA, um diese, um diese Smart, um die diese Kies zu zu verifizieren. Thema erledigt, ja? Dann hättest du das noch genommen für die Softwareupdates und dann kannst du den Rest kaputtlassen.

Man könnte ja meinen, dass so eine demokratische Wahl das durchaus wert wäre, mal in so ein System zu investieren und ein entsprechendes Konzept auszuarbeiten, aber es scheint hier nicht der Fall zu sein. Und ich glaube, die größte Schwäche hier in diesem Produkt ist halt wirklich, dass es ähm, eigentlich keine vernünftige Architektur gibt dieses gesamten Systems, also kein vernünftiges Konzept, kein Sicherheitskonzept und irgendwie ja Entwickler, die sich möglicherweise eben auch vor davor sperren, ähm, zu sagen, ich kenne mich mit einem Thema nicht aus, ich muss mir da eben noch äh Hilfe holen, die sie äh jemand, jemanden konsultiert, also der, der damit besser, Bescheid weiß, dass es einfach die Stärke eines jeden Entwicklers irgendwo auch zu sagen die Dinge werden zu komplex, man fokussiert sich oder man hat sein spezielles Fachgebiet Und bei den meisten Leuten, dass das Fachgebiet eben nicht die Kryptografie und solange wir noch keine vernünftigen Krypto-Librarys haben, die es, eben unterbinden, dass Fehler bei der, dass Fehler bei der Programmierung entstehen, weil die Entwickler keine Ahnung haben, Ja, da muss man eben auch in den sauberen Apfel beißen und das einfach mal akzeptieren, dass man eben sich damit nicht auskenn.

Also ich will ja niemand äh äh zu nahe treten und für manches äh äh kann man auch sicherlich irgendwie Verständnis entwickeln, aber wie du schon sagst, nicht, also, Wir reden jetzt hier nicht von irgendwas, wir reden jetzt hier nicht von der Wahl äh Tabulation, von unserem äh Kegelverein oder so, Wir reden hier von der Bundestagswahl, wir reden hier von der Infrastruktur, die.

Und.

Genau, also von Wahlen in der Bundesrepublik Deutschland, so die finden regelmäßig statt. Man weiß, dass die immer wieder sind. Man weiß auch, dass im Prinzip die Anforderungen dafür in Hinblick auf äh Informationssicherheit et cetera äh, permanent steigen werden, permanent auch äh immer wieder der Status quo in Frage gestellt wird und und dass man hier überhaupt auf eine Architektur setzt, wo dann, so ein kleiner, vielleicht noch nicht mal mittelständischer äh Betrieb zum Zug kommt, ja? Wie du schon sagst, Martin mit so der eine Progamierer, ne? Ich meine, Ich finde die die Firma ist da schon jetzt auch in der Verantwortung und zwar nicht man kann sich ja nicht raus ja wir haben ja nur einen Poamira, ich meine wenn wenn das das Problem ist, warum warum habt ihr da nicht mehrere Programmierer, aber die Verantwortung für dieses Systemarchitektur et cetera und für die Prozesse und das ist da vielleicht was es wenn der Typ irgendwie vom Bus läuft ne? Also das muss dieses Unternehmen dann im Prinzip ja auch äh leisten und einpreisen et cetera. Und natürlich wird's dann irgendwann auch teuer, und vielleicht sozusagen für die von ihnen ausgehandelten Preise und Verfahren, die sie so, äh nicht mehr händelbar, aber genau das ist der Punkt, es gehört da halt einfach gar nicht hin, vielleicht will mir sozusagen die die Sicherheitslücken und den Tischbäbbel jetzt sozusagen schon haben, haben wir das jetzt sozusagen soweit äh eingegreift. Würde ich eigentlich ganz gerne mal so ein bisschen zu so einer Bewertung kommen. Was jetzt konkret hier das Risiko auch ist.

Ich würde an der Stelle nur einmal ganz kurz auf unseren äh Bericht verweisen und auf das Gitterprepo äh in dem, ähm ja die meisten, der hier beschriebenen äh Angriffe nochmal ausführlich dokumentiert sind und vor allem auch die Krypto-Routinen, die Patching Möglichkeiten und einmal die komplette Toolchan für die äh gerade beschriebenen, Angriffe veröffentlicht wurden. Ähm! Für die, für die interessierten Hörer und Leser.

Genau, aber jetzt vielleicht für die, die auch ein bisschen Schwierigkeiten hatten, jetzt mit diesen ganzen Details äh klarzukommen, würde mich jetzt schon nochmal so eine eine Bewertung auch äh äh also womit haben wir es denn jetzt endlich wirklich zu tun? Ich meine, dass diese Software an der Stelle, wo sie jetzt aktiv wird, vielseitig angreifbar ist, Ich denke, das ist klar geworden, ja? Und das ist sozusagen auch eine sehr hilflose äh Verteidigungslinie da gefahren wird. Frage ist nur, inwiefern beeinflusst das jetzt halt das Prinzipwahl, konkret, weil wir reden ja hier im Prinzip von einer Software, die primär für diese schnell Meldung benutzt wird, ja? Das heißt, wir reden jetzt hier von der, schnellen Durchleitung und Zusammenfassung von Wahlergebnissen äh zur Veröffentlichung von in Medien und der äh schnellen Versorgung der Bürger, weil die ja unbedingt noch vorm Schlafengehen wissen müssen, wie es ausgegangen ist, aber ein paar Tage später wird ja das Ganze nochmal auch auf 'n anderen Weg zusammengerechnet oder Martin.

Wir sind ja mit unserer Reise durch die Welt der Wahlen vom Ausgangspunkt der Schnellmeldung ausgegangen, das heißt, am Wahlabend Schnellmeldung. Das geht digital und das können wir manipulieren, haben wir jetzt gezeigt oder nicht wir können's auch ausbessern, aber zumindest angreifen. Und ähm, stellt sich die Frage, gut, was kann man damit erreichen? Ist es überhaupt interessant? Gibt es überhaupt jemanden Interesse hat daran, äh sich da auszuprobieren und das hängt ja davon ab, was kann ich damit machen? Und ich meine, es war auch ein Zitat vom Bundeswahlleiter, dass er gesagt hat, es geht nicht darum, dass ein bestimmter Kandidat hier gewinnt oder verliert, sondern es geht darum, dass, in die demokratischen Prozesse zu zerstören, in dem die Wahl gestört wird, wenn die Schnellmeldung, erstmal ein paar Tage im Raum stehen, bis dann die Wahlausschüsse zusammentreten in den Wahlkreisen und das endgültige Ergebnis feststellen. Wenn die ähm, komplett abweichend, von dem was nachher festgestellt wird, oder zumindest erhöht Zweifel Aufkommen und danach herauskommt, ja tatsächlich wurde alles manipuliert durch die Bank weg, dann hat man natürlich eine große Schicht, der Wähler schon ähm ich sage mal verloren, das Vertrauen ist dann verspielt, glaubt dann dem Update zwei null der Wahlergebnisse, also.

Also hier wird, hier wird mit einem äh also wir reden ja hier nichts über nichts anderes als das, was ich in den heiligen Akt der Demokratie nenne, ja. Und wenn jetzt äh dieses ja gut nach zwei Tagen haben wir es gemerkt, dass die AfD doch nicht achtzehn Prozent hat, sondern nur vier. Ähm sorry, wir haben uns vertan. Ähm dann also ich meine, diese.

Die Verschwörungstheoretiker schon auf den Barrikaden.

Dieser Vertrauensverlust, den wirst du in Jahrzehnten nicht mehr los. Und deswegen halte ich das für, schockierend unverantwortlich, das sind überhaupt an irgendeiner Stelle ja, an diesem Digital und Kryptografiestandort Deutschland auch nur in die Nähe dieses Risikos gerät, ja? Ähm während wir in der Öffentlichkeit ähm spätestens seit irgendwie, Mitte zweitausendsechzehn äh den ganzen Tag nichts anderes mehr hören als dass der Russe die Wahl hackt, ja? Und also es ist wirklich ein ein großes Thema, ne? Die Presseanfragen zu diesem Thema am laufenden Band wird nur über das Thema gesprochen, dass irgendjemand die Wahl angreifen könnte, ja? Und niemand. Der Verantwortlichen kommt auf die Idee ähm, überhaupt mal irgendwie diese Prozesse zu prüfen, ja? Ähm also für mich ist es tatsächlich schockierend und der ähm der der Vertrauensverlust, der der da einfach nur schon stattfindet, wenn, jemand ein, wenn wenn einfach nur ein Angriffsversuch berichtet werden kann, ja? Das ist doch schon ein absolutes Desaster.

Nur mal die Nachfrage Martin, weil du dir die Prozesse dahinter nochmal genauer angeschaut hast. Hältst du es denn für, dass diese Schnellmeldungen irgendeiner Form auch tatsächlich als die Meldung irgendwie durchkommen können.

Die werden umgehend veröffentlicht.

Die werden zwei Minuten nach ähm vorlegen aller Meldungen aus der Gemeinde automatisch im Internet veröffentlicht, zumindest in Hessen. Aber.

Klar, aber ich meine die Überprüfung dessen findet auf jeden Fall statt. Nein. Oder nur.

Also wir müssen uns ja daran danach richten, was die Bundeswahlordnung vorschreibt und was auch so die Praxis bei den Wahlamtleitern ist, in den Gemeinden, die wir jetzt einsehen konnten, Und da ist die Entdeckungswahrscheinlichkeit gering, es sei denn man übertreibt es natürlich irgendwo. Äh solange man plausibel äh manipuliert, hat man da viel Spielraum, bis es da die Erdherkunftswahrscheinlichkeit des geringen, das ändert sich natürlich, wenn es zur Feststellung des endgültigen Ergebnis kommt, aber auch da möchte ich grad mal ganz kurz zitieren, das endgültige Ergebnis der Wahl, Wahlkreis vom Wahlwerk Hessen wird nach vorliegen sämtliche Ergebnisse und eventuelle Korrekturen automatisch erzeugt, Also auch da ist man inzwischen soweit, dass auf der Ebene der Wahlkreise auch endgültige Ergebnisse automatisch ausgedruckt werden vom Programm und da muss man nur noch unterschreiben, das heißt Niederschri.

Warte mal von demselben Programm.

Das ist ein anderes Programm, das werden wir die Daten aus PC Wahl gefüttert wird. Also die Daten fließen einmal.

Wenn die Daten in PC Wahl geändert sind, dann sind sie auch Dargeänder.

Also wenn wir sie falsch einspeisen in diese Auswertungspyramide ja. Ähm das heißt, man vertraut hier dieser Software oder diesem allgemeinen, zu sehr und es von einer Stütze einer Unterstützung quasi zum Träger geworden, Wahlniederschriften, von denen wir uns immer vorstellen, da wird dann manuell addiert und unterschrieben zwischen so einem Gebildet. Die werden fertig ausgedruckt und dann nur noch unterschrieben, dieser diese manuelle Kontrolle ist nicht mehr vorgeschrieben. Natürlich kann jetzt irgendwo ein Wahlandleiter sagen, ja er wird daheim nochmal alles mit Taschenrechner nachrechnen, ist auch möglich, Entdeckungswahrscheinlichkeit ist ja immer irgendwo über null, aber das muss von vornherein ausgeschlossen sein.

Ja. Und ähm was man sich glaube ich auch klar machen sollte, es gibt ja im Prinzip gerade bei der Bundestagswahl zwei, Angriffs äh Vektoren. Entweder man geht sozusagen auf das Gesamtergebnis und auf die Zweitstimmen, die ja in gewisser Hinsicht am interessantesten sind, weil man damit eine ganze Partei ja potentiell über irgendwelche Schwellen bringen könnte oder unter irgendwelche Schwellen bringen könnte, Konstellationen, Koalitionskonstellationen entsprechend äh stärker beeinflussen kann, aber, gibt ja auch die Erststimme und die Erststimme ist 'ne reine Mehrheitswahl und da reicht es eben, eine einfache äh Mehrheit in einem Wahlkreis, also auch in einem regional sehr eingeschränkten Bereich äh herzustellen.

Richtig, insbesondere in den bevölkerungsreichen Zentren und Städten, wo auch äh diese vielleicht persönliche Kontrolle der einzelnen Wahlhelfer, Wahlamtleiter eher wegfällt und euch Anonymität ersetzt wird, gerade da ist eine Manipulation besonders lohnenswert. Was die Zweitstimme anblangt.

Mhm. Also es ist nicht nur so theoretisch. Nein, gar nicht. Es ist schon sehr praktisch.

Wenn ich das von einem einem mehrerer Wahlhelfer, mit denen ich mich unterhalten habe, äh richtig verstanden habe, schreibt sich aber dann so jeder so sein, Auszündungsergebnis nochmal hin, wenn dann das amtliche Ergebnis veröffentlicht wird, wird ja alles tabelliert und dann geht der ist der Wahlhelfer angehalten das zu kontrollieren und wenn das ein gewissenhafter Mensch ist, tut er das auch und äh könnte unter Umständen, dann also melden und sagen, das was hier jetzt als amtliches Enderöbnis veröffentlicht ist, entspricht nicht dem, was ich beobachtet habe. Insofern ist es, könnte man immer noch hoffen, dass es ähm Sicherungsmethoden gibt, die dafür sorgen können, dass eine Manipulation auffällt, Es stellt sich natürlich nur die Frage ähm ob man sich auf Methoden, verlassen möchte, die eine Manipulation bemerken könnten oder ob man technisch ein Produkt im Jahr zweitausendsie, einsetzen möchte äh dass diese Manipulation verhindert oder zumindest nicht also.

Eigentlich weitestgehend ausschließt, das ist schon möglich.

Nicht so trivial macht wie äh wie wir das hier sehen. Ähm ich würde vielleicht noch kurz auf zwei weitere Fragen eingehen, sich natürlich jetzt stellen. Ähm, jetzt wurde also IVU-Elekt geprüft und jetzt wurde PC Wahl geprüft von uns, und es gibt noch ein weit verbreitetes Produkt am Markt, das ist der Vote Manager. Das sind die, das wären dann die drei. Großen Marktanteilshaber in Deutschland. Neben eben noch kleineren Produkten. Ähm nun wurde das Produkt PC Wahl, Anfang zweitausendsechzehn, von dem Unternehmen Wort IT gekauft, das vorher unter dem Namen Regio IT den Vote Manager veröffentlicht hat. Also da hat quasi das Unternehmen Regio IT den Konkurrenten, PC Wahl gekauft, die haben sich zusammengeschlossen zu einem neuen Unternehmen namens Vod IT, welches das Programm, fort, Manager nun herausbringt. Und es ist quasi abzusehen ähm auch am Alter des Hauptentwicklers des Programms PC Wahl, dass die Strategie des Unternehmens Voad IT nun ist, In Zukunft die Software Vodmanager an die ehemaligen PC Wahlkunden zu verkaufen, Und ähm ärgerlicherweise, wie das immer so schön ist und ich zitiere an der Stelle mal äh Rob Gong Reib und Alex äh Hallaman. Äh das einzige sichere System ist immer das, was bisher nicht geprüft wurde, Die äh wenn wir jetzt darauf wenn wir dann uns vor Augen führen, dass dieses Unternehmen. Regio-IT offenbar dieses Produkt. PC Wahl ohne Prüfung zu einem doch sehr nennenswerten ähm Betrag gekauft hat, der sieben schöne Zahlen hat, dann lässt das natürlich zumindest die Hoffnung, schwinden, dass jetzt unbedingt das Produkt Vodmanager ähm all diese Probleme beheben würde. Um das mal ganz vorsichtig und äh diplomatisch ähm hier auszudrücken.

Also Zweifel sind da auf jeden Fall angebracht oder müssen müssen ja auch angebracht sein, weil ich denke, alles andere als eine im Source Code veröffentlichte Lösungen, wo äh staatlicherseits auch nachvollziehbare und gegebenenfalls sogar auch überprüfbare ähm Methoden zur Installation und Betrieb des ganzen Systems vorgebracht werden. Äh alles andere ist irgendwie unakzeptabel.

Es ist also das war ja auch unser Ausgangspunkt, das war ja, es ist ohnehin unakzeptabel, dass diese Software nicht öffentlich ist Da sitzen da irgendwelche Leute und entwickeln so eine komische Software und und für lassen noch irgendwelche Gerichtsverfahren da irgendwie stattfinden in denen die um die Geheimhaltung dieser Software gekämpft wird und unsere Gerichte und Richter werden mit so einem Unsinn belästig, Also da kann man doch wirklich hm sagen, wir machen eine oder zwei von mir, sag ich mal. Eine wäre super. Ähm Open Source Software, dass dass äh die.

Bund finanziert, ja, es gibt, es gibt einen Pfand für, ne, diesen Prototyp Pfand beispielsweise, wenn sich jemand findet, der sagt, ja, der Pfand wurde auch gerade aufgestockt, das sind jetzt irgendwie bei fünfundvierzigtausend Euro kann man da irgendwie maximal bekommen für so ein Projekt äh, Warum warum sollte man das nicht schaffen da mal in der ersten Runde das Prototyp fand eine, eine Software zu entwickeln, die diese ganzen demokratischen Wahlen hier transparent unterstützt und ähm, eben auch überprüfbar ist, überprüfbar und äh. Zeitgemäß entwickelt, also und und wenn und wenn sich halt in vier Jahren herausstellt, dass irgendwie AIS kaputt geht. Sehen das Leute regelmäßig und sagen so patch das doch doch mal raus. Hier ist ein Pul-Requisänder das doch mal.

Also für fünfundvierzigtausend Euro kriegt man auf jeden Fall was hin, was irgendwie über unverschlüsseltes FDP deutlich hinausgehen sollte. Ja, also.

Schwierig, schwierig, ne? Und dann könnt ihr hier, dann könnte Arne Schönbogen, dann geht der Arne Schönburg noch zu seinen Kumpels in der Industrie und sagt, ey komm, mach mal ein paar Signaturkarten locker, ne? Und dann zack.

Ganz viele Möglichkeiten, diese ganzen Keys auch zu sichern, das das.

Das sind alles gelöste Probleme. Wir.

Alles nichts mehr, allep, alle diese Probleme sind gelöst und man muss sie halt einfach nur nutzen, aber.

Da gibt's diesen schönen Vergleich, der immer herangezogen wird, dieses E-Voting. Wir können ja auch Online-Banking machen. Äh also können wir auch garantiert Wahlen quasi online abhalten. Das müssen wir nur machen. Also Online-Banking ist deutlich sicherer als das, was ich bisher überhaupt eingesetzt wird.

Also es gibt, was ist eigentlich weniger sicher.

Ja, ich finde mal ganz ketzerisch reingehen, also was spricht denn eigentlich dagegen, dass man so tatsächlich auch beim Papier bleibt sozusagen? Also warum soll man nicht sozusagen das das von allen Wahlbeobachtern äh unterschriebene Originaldokument, gesicherten Transport zum Wahlkreisbüro bringen, dort alles nochmal überprüfen von Hand doppelt zusammenrechnen, dann von diesen Wahlkreisbüros in den Landkreiseben et cetera. Ich meine, da muss man ja keine Postkutschen einsetzen, das ist ja, ja, also ich meine, ist ja ein gelöstes Problem, äh sozusagen so ein paar Zettelpapier, äh halbwegs sicher durch die Gegend zu bringen. Und dann dauert es vielleicht eine Weile, aber dann ist das sozusagen sicher, so.

Das äh würde ich da würde ich vorsichtig gegenargumentieren. Ähm denn ein wirklich auf Papier stattfindenden Prozess der Erfassung und Auswertung, der wäre am Ende auch sehr stark fehlerbehaftet und auch für einen Bürger schwerer, nachvollziehbar und kontrollierbar, als beispielsweise die, Erfassung mittels einer Open Source Software und der anschließenden Publikation sämtlicher Pfeils, ja? Also du hättest ja, wenn man das jetzt.

Ja, die Daten müssten natürlich äh auch schnell zur Verfügung gestellt werden, ja.

Aber wenn man jetzt sagen, wenn man so so wie ich mir das gerade vorstelle, ich will ihr könnt ja noch äh ihr habt vielleicht noch mehr Ideen. Ich stelle mir gerade echt vor, du hast dann irgendwann, wird werden diese gesamten von mir aus XML oder was auch immer Dateien, der eins jedes einzelnen Wahllokals mit der Signatur des des Wahlleiters dort Himself, online gestellt, daneben liegt das das Bundesgitterrepo, der Software, die zur Auswertung genutzt wurde und du kannst mit äh Make-Bundeswahl zwanzig siebzehn ähm dir das Ergebnis ähm, vollständig zu Hause kompilieren, ausrechnen lassen, wie wir es angucken, ja? Dann heißt, hat jeder Bürger ähm, Die Möglichkeit die einzelnen Rechenoperationen, die da stattfinden, was weiß ich zu kontrollieren äh und zu reproduzieren, ja? Wenn du dann einen Fehler in dem Code findest, dann kannst du sagen, hier. Falsch, ne? Und da hättest du also eine eine Transparenz des kompletten Berechnungsweges ähm.

Es gibt nichts, was man hier geheim halten müsste in so einem Prozess, gibt es nicht.

Wieso nicht? Doch die, die einzelne Wählerstimmen.

Ja gesagt, das ist richtig. Aber das ist, das ist ja der Fall durch die Papierwahl. Also.

Ja gut, aber wenn man das Ergebnis hat, könnte man sie ja im Wahllokal schon direkt sozusagen signieren, weiterreichen und das immer weiter nach oben treiben, oder?

Ja, ich weiß halt nicht, wie das in der Praxis ist, wenn das dann auch noch unter Zeitdruck stattfinden muss. Also. Die Leute sind die Leute sind ungeduldig.

Ja, das ist aber kein Aro.

Leute warten sie. Die Leute.

Ja, warum haben sie denn ihre Demokratie zerstört? Ja, die Leute waren total un.

Die Leute warten seit vier Jahren auf die Wiederwahl von Angela Merkel. Kannst du doch jetzt nicht auf den Fall.

Das ist das ist aber überraschend.

Na ja, also ich meine dieses Argument finde ich, zieht einfach mal gar nicht, ja, weil äh ob denn nun das Endergebnis oder das vorläufige Endergebnis Um zweiundzwanzig Uhr oder am nächsten Morgen um sechs Uhr ist, Industrie nicht dran zugrunde, ja? Da bewegen sich da ändert sich die Kontinental drift nicht. Das ist einfach irrelevant, kostet das iPhone auch nicht mehr. Also man muss diese Zeit muss man sich einfach mal nehmen und wenn die Zeit heißt Leute werden eine halbe Stunde länger in einem Wahllokal einge, und kriegen dafür nochmal irgendwie fünfzehn Euro extra. Dann sag ich nur das ist es mir wert gewesen.

Grade bei der Bundestagswahl. Die Bundestagswahl ist wirklich die am einfachsten auswertendste Wahl, Kommunalwahl, Landeswahl. Da haben wir dieses Panagieren komulieren, dass es so komplex geworden inzwischen, dass da ohne Software eigentlich nicht mehr viel geht. Aber gerade bei der Bundestagswahl.

Auch ein Problem bisher.

Bei der Bundestagswahl haben wir das Problem nicht, die ist wirklich so simpel. Richtig.

Pipifox. Lass uns das machen. Wir wissen auch, wir kennen auch, wir haben auch bessere Ergebnisse.

Sehr viel gehörig.

Ja, ja, da haben wir, da haben wir äh lange dran gearbeitet.

Also ich würde mich würde auf jeden Fall sagen Software sollte da schon zum Einsatz kommen, aber dann eben von der vernünftigen Qualität.

Zeitgemäß.

Hier nicht der Fall.

So haben wir den zum Abschluss noch irgendwelche Serben uns zu verteilen, ist noch irgendjemand gedankt werden, muss noch irgendwas erwähnt auf etwas hingewiesen werden.

Würde gerne mal darauf hinweisen, dass man auf jeden Fall wählen gehen soll, auch wenn wir jetzt hier gerade so ein Bild an die Wand geworfen haben, was jetzt nicht so rosig aussieht, was irgendwie so den Vertrauen in diese elektronischen äh Wahlen angeht, aber ich glaube, dass.

Noch keine konkreten Ergebnisse, dass auch andere Leute, die das Wissen haben und es bereits schon praktisch umsetzen.

Na ja, das kann man ja jetzt praktisch umsetzen. Also wir haben ja durch unsere Aktion jetzt vor allen Dingen auch dazu beigetragen, dass die Leute sensibilisiert sind und eben durch äh was ich erlasse und besondere Sorgfalt, Manipulation weitestgehend ausgeschlossen werden können, weil da halt immer noch der Mensch, erkennt, okay, ich muss das jetzt noch kontrollieren und kann mich nicht blind auf diese Maschine verlassen und ich glaube, das haben wir mit dieser Aktion halt ganz gut nach vorne gebracht, dass wir zumindest irgendwie, davon ausgehen können, dass man beruhigt zur Wahl gehen kann, trotz Computer.

Aber du weißt ja wie gesteigertes Sicherheitsrisiko existiert, dann stellt die Bundesregierung eine bewaffneten Polizisten neben dem.

Das ist das ist und und die Pistole ist AES.

Verrechnet sich nicht genau.

Also ähm zu diesen zu diesen Veröffentlichungszeitpunkt wenige Tage vor der Wahl ist natürlich, nicht mehr davon auszugehen, dass von einem Einsatz der Software vollständig abgesehen wird. Ähm! Das wäre schon würd ich sagen 'ne kerbe gewesen die ich ganz gerne in der Tastatur gehabt hätte, aber ähm so, denke ich, dass durch die, was wir jetzt in der Kommunikation mit den verschiedenen Stellen so mitbekommen haben, die sich der Ernsthaftigkeit des Problems durchaus bewusst sind, wie gesagt durch neue Wahlerlässe, ähm! Allerlei, und und Softwareupdates jetzt ähm hier zumindest sehr erhöhte Aufmerksamkeit besteht, ähm sodass ich denke, dass wir hier, hoffentlich einen Beitrag leisten konnten, dass ähm tatsächlich sollten hier Angriffsversuche stattfinden äh diese ähm, entdeckt werden und äh abgewehrt werden können. Und für die nächste Bundestagswahl äh würde ich mir dann, Wahrscheinlich ein anderes Ergebnis der Wahl wünschen und hoffentlich meine hoffentlich mal einfach mal eine hübsche Software ja? Ähm, denn ein Aspekt, den ich, also der mich an diesem Projekt am meisten in den Wahnsinn getrieben hat, ja? Muss ich auch nochmal sagen, ist die das grafische User Interface von dieser Software? Also das war.

Du hast auch nicht, dass Disses Hemdly lesen müssen, Delfi, Delfin.

Ich glaube tatsächlich man wird ja jetzt unsere Angriffe ähm, wahrscheinlich während dieser Podcast-Veröffentlicht wird, werden Menschen schon unsere Demonstrationen hier al, ähm sage ich mal akademisch und praktisch oder ähm obsolet äh versuchen zu diskreditieren.

Weil es gab ja schon Updates und das Problem existiert ja gar nicht.

Ja, also ich ich traue mich gar nicht auf die Update-Seite zu schauen, weil ich weiß, dass die uns heute Abend nochmal in Rheinwürmen, es sieht zu sehr danach aus, dass wir heute einfach mal noch in Ruhe pennen können, bevor wir morgen releasen und die werden schon, werden noch irgendwas machen, ne? Weil die können gerade auch nicht ruhig schlafen, insofern, wissen wir, dass das hier das da kommt noch was, oder? Und.

Noch anrufen und sagen so, oh, jetzt hat er's uns aber gezeigt.

Aber das Problem ist ja auch nicht der Ist-Zustand, sondern der das Problem ist, dieser Prozess, der sich hier sozusagen.

Das Problem ist tatsächlich, ich halte, ich würde zynisch sagen, das Risiko eines Bedienfehlers, was du ja auch gerade schon angesprochen hast, da wird irgendeine Checkbox weggeklickt, ja. Ähm ist wahrscheinlich größer als das Risiko des, die Tools, die wir jetzt hier veröffentlichen, ähm, in der in der freien Wildbahn von tatsächlich bösartigen Angreifern zum Einsatz kommen.

Jetzt bei dieser Wahl. Aber so grundsätzlich kann man das alles gar nicht mehr ausschließen. So und ich meine auch dieses, auch als wir diese Debatte um die Wahlcomputer hatten, ist ja auch immer genauso argumentiert worden, Ja, das ist ja alles nur so theoretisch und sowas passiert ja nicht und wer würde denn überhaupt und die Rechner kommt ja auch keiner ran und das ist ja ein ganz sicheres Netzwerk. Also wenn du diese Argumente anhörst und das hat sozusagen mit dieser Realität zwanzig sechzehn, zwanzig siebzehn anschaust, dann, da schüttet man dann halt nur noch den Kopf. Und so werden wir eben den Kopf auch äh in einer zukünftigen Realität schütteln, wenn jetzt halt wieder mit mit solchen Argumenten ankommen angekommen wird. Also jede zerbrechliche Infrastruktur, die potenziell 'ne Menge Machtgewinn und damit 'ne Menge Geldgewinn verspricht. Das ist das, was hinter einer Wahl einfach steht die ist in der Lage genug kriminelle Energie zu entfalten und das ist halt leider auch so im digitalen Bereich steckt eine ganze Menge, Energie drin oder da da werden einfach die besten Leute zusammen gecastet mit viel Geld ausgestattet und die verbringen ihre Zeit mit nix anderem, das sehen wir halt auf dieser ganzen Betrugsebene, das sehen wir hier nicht wahr, eine der ganzen Krypto äh Währungsverhältnis haben wir ja nun auch in den USA schon äh mitbekommen auf Wahlebene und das wird potentiell einfach nur schlimmer werden.

Dann in, im Verhältnis dieses dieser Attraktivität kann man dann setzen, dass hier ähm wir drei quasi neben hauptberuflicher, tagtäglicher Arbeit, ähm, das als Nebenprojekt über weiß nicht, ein, zwei Monate, ähm ähm zum Feierabend und dann primär jetzt in den letzten zwei Wochen zusammen gek.

Auf einer Arschbacke hast du's abgesessen.

Geht. Also es ging ein bisschen auf den Schlaf, es ging ein bisschen auf den Schlaf schon, Aber ähm wenn man sich das jetzt mal äh vorstellt, wir wir werden jetzt werten, irgendwelches Geld dafür bekommen und hätten das nicht nur als interessierte Bürger in der Freizeit gemacht, dann kann man sich ungefähr vorstellen, wohin das von hier noch hätte gehen könn.

Ja und vor allem wenn ihr sozusagen anderes Interesse gehabt hättet und nicht nicht das der Aufklärung, sondern dass eben der aktiven Kompromisierung. Er wäre ja durchaus äh was denkbar gewesen.

Wurde diskutiert.

Aber ihr weißt, ihr seid ja so nette Jung.

Wir haben das mit dem ZG besprochen.

Martin, hast du noch Anmerkungen.

Ja, vielleicht eins noch. Ich wir waren ja unglaublich bemüht, diese Information in die Welt hinaus zu tragen. Ich war in Darmstadt auf dem Wahlabend, habe gesagt, hey, eure Software hat ein Problem. Ich würde da gerne mal mit jemandem drüber reden. Ähm, Software kennen wir uns nicht aus. Was für eine Software? Ja, das macht die IT bin ich zur IT gegangen in Darmstadt. Also vom äh Rathaus da irgendwo ähm gefragt, erstmal so von oben nach unten angeschaut, mit einem abschätzigen Blick. Was machen sie denn hier? Ohne Termin, ne, eure Software hat erhebliche, sie hatte Probleme. Ja, nee, Software kennen wir uns nicht aus. Das macht die E-Com. Also ich habe alles versucht, um der Alarm zu schlagen, bin da nirgendswo durchgekommen, dass es auch äh irgendwie erstaunlich. Also wir versuchen unser Bestes. Da Prozesse zu verbessern in dem Fall. Und Bewegung in die Sache reinzubringen und das ist halt unglaublich zäh. Deswegen müssen wir das jetzt mal auf einer anderen Ebene beleuchten.

Aber dieses Responsorbild, das Kloser, also wie man Schwachstellen an Hersteller oder Betroffene kommuniziert, ähm Ich mache das ja ziemlich oft, weil wir halt irgendwie beruflich viel mit Softwaresicherheit zu tun haben und äh es ist immer das Gleiche. Die sehen nichts ein, die sind nicht erreichbar. Die haben keine Ahnung, keine Ansprechpartner und das äh, ist ein ganz typischer Fall. In der Behörde vielleicht noch ein bisschen schlimmer, äh eine Behörde, die sich oder eine Regierung, die irgendwie sich ins Fernsehen stellt und sagt, wir sind Industrie vier null Nation, wir wissen alles besser, Kryptomade in Germany, Ne, wenn wir uns diese Software angucken und daneben irgendwie unsere Regierungssprecher sagen hören, Kryptomade in Germany und Industrie vier null, dann denke ich mir so gute Nacht.

Das ist wirklich ähm also da da das ist eigentlich der Grundfaller einer einer hier mangelnden Sicherheitskultur, dass du äh auf solche, auf solche Meldungen eben auf vernünftig reagieren müsstest, ja? Und nicht irgendwie so gehen sie weg, hier gibt's nichts zu sehen, haltet den Dieb und ähm ich meine, es steht ja auch äh die, Möglichkeit im zumindest im im Raume, dass äh, jemand oft die sehr kluge Idee kommen könnte, uns äh für diese Veröffentlichung jetzt irgendwie noch ähm rechtlichen Ärger zu machen.

Die Überbringer der schlechten Nachrichten, die äh Messenger.

Genau, Shooter Messenger, ja? Ja, erst ignorde Messenger und.

Ne? Ja, es ist.

Und Handschuh. Wenn der nicht geht, Tress Passing, Ja, das also so wird das eben auch nix mit dem Verschlüsselungsstandort Deutschland. Also das ist eine Schande.

Zecke.

Für Decks hängen. Und warum, vielleicht noch ein kurz ein bisschen auf die Rolle des Chaos-Computerclubs generell hier als als äh Mana einzugehen. Ähm, wird dann immer gesagt, ja, der Chaos kommt dabei und meckert und sagt immer, alles ist unsicher, aber es muss ja irgendwie auch mal hier die Digital First Bedenken second gemacht werden. Es ist nicht so, als würden wir sagen, alles, wo Computer zum Einsatz kommen, ist Quatsch, oder ist falsch, es ist nur wie ihr das macht, ja? Es ist einfach so, das geht so nicht und da sitzen Menschen, kluge Menschen. Diese ganzen tollen, wunderbaren Sicherheitsverfahren entwickeln, ja? Asymmetrische Verschlüsselung, Signaturen, sichere Kryptographie, ja? Und die, meiste davon ist quell offen verfügbar, das kannst du dir als Library reinlinken und wir haben da so tolle Sachen, ja? Kann man so schöne Sachen mitmachen. Dann wird das hier in Deutschland irgendwie mit so einem Notinvent Hear Syndrom irgendwie ignoriert und dann wird hier so ein Steinzeitcode in Lochkarten getackert. Von Hand, ja? Also das ist wirklich auch es bedauerlich.

Steinzeit kurz ein Einspruch nein nicht Einspruch, Anmerkung. Steinzeitlich war auch das äh Wort, was ich am Telefon mehrfach gehört hatte von Verantwortlichen, wenn es hier um diese Wahlsoftware geht. Also das Problem ist bekannt.

Als Selbsteinschätzung. Ah, richtig. Ja, ich denke auch.

Es hat einfach niemand ähm sich bis zweitausendsiebzehn damit auseinandergesetzt. Man kann sich ja mal einen Blick auf diese Update-History schauen, ja? Er hat in diesem FDP Modul, der war.

Sechs Jahre kein.

Sechs Jahre kein Update drin, das war.

Konnte alle zwei Wochen was.

Alle zwei Tage.

FDP.

So Leute, jetzt haben wir's, oder? Tja. Also war eine etwas äh äh Verrückte aus der Reihe äh Sendung hier zum Wiedereinstieg. Aber war unterhaltsam.

Glaube ich wie immer, ähm, also wenn wenn du noch dein, wenn deine Muttergrößen oder.

Ich grüße meine Mama, mein Papa, alle, die mich kennen. Grüße an Ambe und Johanna und, Nee, bitte nicht.

Deine Hobbys lass raus.

Also ich ich danke am Ende der Sendung immer nochmal jemanden und äh in diesem Fall ähm danke ich erstmal dir Martin, ähm für die Zusammenarbeit und dir Thorsten, hat wie immer Spaß gemacht.

Mir auch.

Und ähm dann danke ich Anne Al-Benedikt, Christian, Daniel Dirk Hannes, Kai, Matthias, Matthias Michi, Michael Sebastian Tore, und Niklas.

Und ich danke auch und zwar äh all den Leuten, die sich gerade jetzt im zurückliegenden Mona, äh aufgrund meiner Sprechpause mit sehr netten äh äh Rückmeldungen und auch finanzielle Unterstützung äh bei mir gemeldet haben und das war alles sehr äh motiviert. Und jetzt geht's, weiter, aber nicht mit dieser Sendung, sondern dann nächste Mal wieder. Und wir sagen tschüs.

Tschüss und danke Judith, dass du das hier die letzten Tage alles mit.

Aber jetzt wird sie zwar gleich noch eine, jetzt muss ich auch.

Ja, hat Spaß gemacht. Danke, dass ich dabei sein durfte.

Ciao ciao. Ciao ciao.

Tschüss. Ciao.

Ciao ciao.