Logbuch:Netzpolitik
Einblicke und Ausblicke in das netzpolitische Geschehen
https://logbuch-netzpolitik.de


LNP228 Interessierte Bürger

Ein Logbuch:Spezial zur Analyse der Bundestagswahlsoftware "PC-Wahl"

Das Gespenst der Wahlcomputer zur Erfassung der Wählerstimmen konnte in Deutschland schon vor Jahren erfolgreich vertrieben werden. Das Bundesverfassungsgericht hat dem Einsatz solcher Abstimmungsautomaten unüberwindbare hohe Grenzen gesetzt und das ist auch gut so. Trotzdem kommt hinter den Kulissen noch Software zum Einsatz, über die wenig bekannt ist und denkbar gruselig daherkommt. Eines der in Deutschland weit verbreiteten Systeme ist die Windows-Software "PC-Wahl". Nachdem Martin Tschirsich erste Erkenntnisse gewonnen hatte, nahmen auch Thorsten Schröder und Linus Neumann die Software genauer unter die Lupe und entdeckten teilweise haarsträubende Sicherheitslücken und konzeptionelle Fehler. In dieser Folge von Logbuch:Netzpolitik stellen wir mit allen Beteiligten die gewonnenen Erkenntnisse vor und diskutieren die daraus resultierenden Risiken für den Wahlprozess und das Vertrauen in Wahlen allgemein.

https://logbuch-netzpolitik.de/lnp228-interessierte-buerger
Veröffentlicht am: 7. September 2017
Dauer: 1:53:44


Kapitel

  1. Intro 00:00:00.000
  2. Prolog 00:00:38.112
  3. Quo Vadis Wahlcomputer? 00:02:44.029
  4. PC-Wahl und die Auszählung der Wahl 00:06:05.619
  5. PC-Wahl: Konfiguration im Web 00:19:49.147
  6. PC-Wahl: Schwachstellen und Angriffsszenarien 00:30:13.356
  7. PC-Wahl: Bug Fixes und Updates 01:03:29.866
  8. PC-Wahl: Bewertung der Risiken 01:23:56.866
  9. PC-Wahl: Abschließende Gedanken 01:41:07.446
  10. Epilog 01:52:11.154

Transkript

Tim Pritlove
0:00:00
Linus Neumann
0:00:02
Tim Pritlove
0:00:04
Linus Neumann
0:00:13
Tim Pritlove
0:00:38
Linus Neumann
0:00:45
Tim Pritlove
0:00:46
Linus Neumann
0:01:00
Tim Pritlove
0:01:03
Linus Neumann
0:01:05
Tim Pritlove
0:01:07
Linus Neumann
0:01:13
Tim Pritlove
0:01:22

Ne?

Linus Neumann
0:01:23
Martin Tschirsich
0:01:38
Linus Neumann
0:01:41
Martin Tschirsich
0:01:44
Linus Neumann
0:01:58
Thorsten Schröder
0:02:14
Linus Neumann
0:02:18
Thorsten Schröder
0:02:19
Tim Pritlove
0:02:24
Thorsten Schröder
0:02:28
Linus Neumann
0:02:30
Tim Pritlove
0:02:43
Linus Neumann
0:03:03
Tim Pritlove
0:03:06
Linus Neumann
0:04:27
Tim Pritlove
0:04:53
Linus Neumann
0:06:10
Martin Tschirsich
0:06:17
Thorsten Schröder
0:06:19
Linus Neumann
0:06:21
Tim Pritlove
0:06:47
Linus Neumann
0:07:00
Tim Pritlove
0:07:14
Linus Neumann
0:07:16
Martin Tschirsich
0:08:06
Linus Neumann
0:08:25
Tim Pritlove
0:08:42
Linus Neumann
0:08:50
Martin Tschirsich
0:09:17

Richtig, ich kann das exemplarisch mal für Hessen äh erläutern, wie so eine Meldung aussieht, Meldewe, wenn um achtzehn Uhr die Wahllokale schließen, Das kann man nachlesen in der Wahlordnung, Bundeswahlordnung, ähm, da beginnt zunächst die Auszählung im Wahllokal, da wird die Wahlliederschrift erstellt, alles mit leicht vom Papier, zumindest überwiegend, diese Wahl Überschriften ähm. Werden in den Wahllokalen erstellt. Ähm, bevor diese Wahlliederschriften dann weiter verschickt oder transportiert werden, geht eine Schnellmeldung raus. Diese Schnellmeldung wird meist telefonisch an die Gemeinde abgesetzt, Dort sitzt der Wahlleiter der Gemeinde und empfängt die Schnellmeldung. Schnellmeldungen, deshalb, weil das nicht die amtlichen Ergebnisse sind, sondern die vorläufigen, damit wir schnellstmöglich eine eine Art Wahlergebnis haben, bis dann paar Tage später das amtliche Wahlergebnis vorliegt. Also diese Schnellmeldungen gehen von den Wahllokalen auf die Gemeinde, von der Gemeinde dann an die Wahlkreise, werden aggregiert und gesammelt und dann an das Land, also den Landeswahlleiter, das statistische Landesamt in Hessen. Die geben diese Ergebnisse, die gesammelten Ergebnisse aller Wahlkreise in Hessen, immer noch die Schnellmeldung dann an dem Bundeswahlleiter weiter. Auf dem Weg von der Gemeinde an die, Wahlkreise und auch an das Land kommt Software zum Einsatz und das ist so der Fokus. Ähm was den wir heute haben, ähm schon lange, also diese Software wird schon seit über dreißig Jahren entwickelt, die wir hier analysiert haben. Es gibt da viele Produkte, das macht jedes Land so für sich und teilweise auch jede Gemeinde und jeder Wahlkreis so ein bisschen, Aber schon sehr lange geht das so, ja. Auf Bundesebene, wird dann wieder eine andere Software eingesetzt und die kennen wir alle, das ist dieses IV Elektrogramm. Das hat mir, da hatten wir ja schon gehört, davon.

Tim Pritlove
0:11:22
Martin Tschirsich
0:11:26
Linus Neumann
0:11:56
Martin Tschirsich
0:12:29
Linus Neumann
0:12:56
Tim Pritlove
0:12:58
Martin Tschirsich
0:13:00
Tim Pritlove
0:13:00
Linus Neumann
0:13:04
Martin Tschirsich
0:14:11
Linus Neumann
0:14:46
Tim Pritlove
0:16:21
Linus Neumann
0:16:22
Tim Pritlove
0:16:45
Thorsten Schröder
0:16:53
Linus Neumann
0:16:57
Tim Pritlove
0:17:02
Linus Neumann
0:17:04
Tim Pritlove
0:17:05
Linus Neumann
0:17:08
Thorsten Schröder
0:17:24
Linus Neumann
0:17:27
Tim Pritlove
0:17:45
Thorsten Schröder
0:17:52
Linus Neumann
0:17:58
Martin Tschirsich
0:18:17
Tim Pritlove
0:18:41
Martin Tschirsich
0:18:46
Linus Neumann
0:19:45
Martin Tschirsich
0:19:47
Tim Pritlove
0:19:56
Martin Tschirsich
0:19:58
Tim Pritlove
0:19:59
Martin Tschirsich
0:20:02
Tim Pritlove
0:20:50
Martin Tschirsich
0:20:52
Tim Pritlove
0:20:54
Linus Neumann
0:20:55
Thorsten Schröder
0:20:58
Linus Neumann
0:21:01
Martin Tschirsich
0:21:34
Linus Neumann
0:22:39
Martin Tschirsich
0:23:02
Linus Neumann
0:23:04
Thorsten Schröder
0:23:09
Linus Neumann
0:23:12
Thorsten Schröder
0:23:14
Linus Neumann
0:23:15
Martin Tschirsich
0:23:47
Tim Pritlove
0:24:19
Thorsten Schröder
0:24:22
Linus Neumann
0:24:26
Martin Tschirsich
0:24:35
Tim Pritlove
0:24:48
Linus Neumann
0:24:59
Tim Pritlove
0:25:40
Linus Neumann
0:25:42
Tim Pritlove
0:25:43
Martin Tschirsich
0:25:57
Linus Neumann
0:26:37
Tim Pritlove
0:26:48
Martin Tschirsich
0:26:55
Linus Neumann
0:26:56
Thorsten Schröder
0:27:05
Linus Neumann
0:27:08
Thorsten Schröder
0:27:10
Linus Neumann
0:27:13
Tim Pritlove
0:27:17
Linus Neumann
0:27:28
Tim Pritlove
0:28:51
Martin Tschirsich
0:29:29
Tim Pritlove
0:29:46
Martin Tschirsich
0:29:48
Tim Pritlove
0:29:57
Linus Neumann
0:30:03
Martin Tschirsich
0:30:05
Tim Pritlove
0:30:10
Linus Neumann
0:30:15
Thorsten Schröder
0:31:03
Linus Neumann
0:31:28
Thorsten Schröder
0:31:31
Linus Neumann
0:32:53
Thorsten Schröder
0:33:35
Linus Neumann
0:33:55
Thorsten Schröder
0:34:01
Tim Pritlove
0:34:20
Linus Neumann
0:34:27
Thorsten Schröder
0:34:40
Linus Neumann
0:34:47
Tim Pritlove
0:35:06
Martin Tschirsich
0:35:08
Linus Neumann
0:36:15
Thorsten Schröder
0:36:16
Tim Pritlove
0:36:20
Linus Neumann
0:36:22
Thorsten Schröder
0:36:24
Linus Neumann
0:36:26
Martin Tschirsich
0:37:09
Linus Neumann
0:38:34
Martin Tschirsich
0:38:35
Tim Pritlove
0:39:07
Martin Tschirsich
0:39:09
Linus Neumann
0:39:13
Tim Pritlove
0:39:16
Martin Tschirsich
0:39:17
Linus Neumann
0:40:19
Thorsten Schröder
0:41:04
Linus Neumann
0:41:10
Tim Pritlove
0:41:11
Linus Neumann
0:41:21
Tim Pritlove
0:41:53
Linus Neumann
0:42:02
Martin Tschirsich
0:43:00
Linus Neumann
0:43:37
Thorsten Schröder
0:44:05
Tim Pritlove
0:44:07
Thorsten Schröder
0:44:37
Tim Pritlove
0:44:39
Linus Neumann
0:44:45
Tim Pritlove
0:45:05
Linus Neumann
0:45:07
Thorsten Schröder
0:45:16
Linus Neumann
0:45:25
Thorsten Schröder
0:45:26

Ganz geheim, ja. Ähm genau. Jetzt muss ich mal überlegen, wir haben ja so ein paar, Verschlüsselungs äh Algorithmen gefunden. Ähm, die sind alle alles andere als zeitgemäß. Ähm selbst wenn sie, also ich muss ein bisschen ausholen, diese Software, die diese Updates auch installiert, ja, die hat, im Grunde genommen die die Möglichkeit ordentliche Krypto zu machen, denn da sind teilweise Open SSL Librarys reingelegt, all die ganzen Krypto primitiven und Krypto-Routinen, die man braucht, um datensicher und zeitgemäß zu verschlüsseln oder eine Integrität zu verifizieren oder Authentizität die sind eigentlich da, aber, ähm statt einfach irgendwie so zweihundert Zeilen AES äh Referenzimplementierung zu benutzen, hat der Entwickler sich gedach, Das mache ich besser, in zehn Zeilen Code mit einem eigenen Algorithmus, Ja, was soll ich sagen? Erstmal ist er, hat er am Thema vorbei implementiert, dann wir wollen die Daten nicht verschlüsseln, Wir wollen sie nämlich zuerst irgendwie davor schützen, manipuliert zu werden durch Unberechtigte. Äh die Thematik ist ja gar nicht angegangen, das heißt diese Verschlüsselung war. Ja, ich sag mal so von der Zugfahrt von Kiel nach Berlin, da war die Krypto dann kaputt und ein paar Stunden später hatte ich dann halt auch äh ein Programm gebaut, was diese Update-Pakete, entpacken oder auch neu bauen kann. Um ein sichereres Update auch äh zum Beispiel zur Verfügung stellen zu kö. Wenn die, wenn die, wenn diese Software sicher dann mit dem Server verbindet, um Updates zu laden, dann äh bekommt es ja dieses verschlüsselte Paket und nehmen wir mal an dieses Paket wäre, nicht verschlüsselt, dann würde dieser Update-Mechanismus ja viel schlagen, weil diese Software eben keine sinnvollen Daten dann da aus dem, aus dem Paket extrahieren kann. Deswegen ist das ganz praktisch, wenn man eben ein ein Werkzeug hat, wo man diese Pakete auspacken kann, patchen kann und wieder zusammenbauen kann, um sie dann äh irgendwie auf die, Computer zu bringen, die in diesen Wahlkreisen ihren Dienst zu verrichten.

Linus Neumann
0:47:45
Thorsten Schröder
0:47:50
Tim Pritlove
0:47:57
Linus Neumann
0:48:17
Thorsten Schröder
0:48:18
Tim Pritlove
0:48:38
Thorsten Schröder
0:48:41
Tim Pritlove
0:48:53
Thorsten Schröder
0:49:01
Tim Pritlove
0:49:02
Thorsten Schröder
0:49:04
Martin Tschirsich
0:49:06
Thorsten Schröder
0:49:28
Martin Tschirsich
0:49:37
Linus Neumann
0:49:41
Thorsten Schröder
0:49:52
Linus Neumann
0:50:00
Thorsten Schröder
0:50:06
Linus Neumann
0:50:43
Thorsten Schröder
0:50:47
Martin Tschirsich
0:50:58
Thorsten Schröder
0:51:19
Linus Neumann
0:52:24
Thorsten Schröder
0:52:26
Tim Pritlove
0:52:53
Thorsten Schröder
0:52:55
Tim Pritlove
0:53:05
Martin Tschirsich
0:53:07
Thorsten Schröder
0:53:10
Linus Neumann
0:53:31
Thorsten Schröder
0:53:32
Linus Neumann
0:53:34

Zwischenstand ähm drei Sicherheitslücken gehabt, muss man dazu sagen, es ermöglicht haben auf diesem Update-Server Dateien zu platzieren. Äh wir haben, bestehende Sicherheitslücken, die es uns ermöglichen, Softwarepakete zu bauen, die von dem Update-Paket, problemlos installiert werden, jetzt fehlt eigentlich noch die Möglichkeit, na ja, wie wollen wir denn die Wildsoftware manipulieren, Aber auch dafür gibt es natürlich eine eine Lösung. Also man muss dazu sagen die Einsatzbedingungen dieser Software sind ja ohnehin haarsträubend, ja? Also es wird zum Beispiel nicht empfohlen, dass, ähm an jeder einzelnen Stelle, wo jemand in diese Softwaredaten eingibt, auch eine Installation von PCWal, liegt, sondern es wird empfohlen im Sicherheitskonzept, ähm dass dieses Binary Picival über einen Fallserver im im Netz freigegeben wird, ja? Das heißt, alle führen diese Datei, von diesem Fallserver aus. Ähm, Und das hat dann diesen Programmierer auch vor große Herausforderungen gebracht, weil wenn mehrere Leute in dem gleichen Arbeitsverzeichnis gleichzeitig arbeiten, dann musst du natürlich aufpassen, dass die nicht gleiche Operationen machen, das heißt, der schreibt dann auch immer so auf die Festplatte. Welch das gerade, was weiß ich, Wahlkreis wohnt so bearbeitet wird, ja? Und dann kannst du mit einer zweiten Instanz, diesen Wahlkreis nicht mehr bearbeiten, ja? Weil, weil eben potenziell dieses Multi-User-System jetzt in das Fallsystem eines Falls übertragen werden muss.

Tim Pritlove
0:55:10
Thorsten Schröder
0:55:17
Linus Neumann
0:55:23
Tim Pritlove
0:56:24
Linus Neumann
0:56:26
Tim Pritlove
0:56:47
Linus Neumann
0:56:51
Tim Pritlove
0:56:52
Linus Neumann
0:57:07
Tim Pritlove
0:57:11
Thorsten Schröder
0:57:44
Linus Neumann
0:58:05
Thorsten Schröder
0:58:06
Linus Neumann
0:58:09
Thorsten Schröder
0:58:10
Linus Neumann
0:58:19
Thorsten Schröder
0:59:35
Linus Neumann
0:59:54
Thorsten Schröder
1:00:14
Martin Tschirsich
1:00:16

Ich mache mal den Anfang und ähm gib dann ab. Ähm, dieses Jahr aber da braucht man halt jemanden, der dieses Aber einwirft, weil wir sind alle Wahlunerfahren, also keiner von uns hat die Position ist Wahlamtleiters besetzt deswegen sind wir da zu einem gegangen in Hessen und ähm, haben dann mal präsentiert. So, nach und nach, was denn alles möglich ist mit dieser Software und gefragt, wäre ihnen das aufgefallen, oder? Wie hätten sie das verhindert? Oder hieß es da immer, ja. Ja aber. Ja. Und ähm wenn man nach der Bundeswahlordnung geht, ist eigentlich recht klar, wo man da überall manipulieren könnte. Aber in der langjährigen Praxis eines Wahlamts ähm weiteres gibt es natürlich noch ein paar Tricks, die dann auch in diesem aber erwähnt werden, zum Beispiel, dass Schnellmeldungen erstmal niedergeschrieben werden und dann erst eingetippt werden, dann kann man nachher nochmal mit der Vorlage vergleichen, ähnliches. Und dann hatten wir die Idee, okay? Ja, was ist denn, wenn wir denn alles richtig anzeigen? Du gibst die Daten ein und, alles ist Friedefreude, Eierkuchen und dann exportierst du das halt auf die nächsthöhere Ebene, Die Meldung wird dann weitergegeben an die Kreisebene Landesebene. Und genau da sitzt dann die Manipulation an, da wird dann sozusagen unter der Hand ein Zahlendreher eingebaut, Ergebnisse mal von der CDU und der SPD vertauscht, exportieren lassen, gefragt, ja was machen sie denn jetzt? Und dann ja, so übertrage ich das jetzt auf die Landesebene, und dann werden die Ergebnisse automatisch noch zwei Minuten im Internet freigegeben. Der Webseite des statistischen Landesamts präsentiert und der Weltöffentlichkeit zur Verfügung gestellt, und unbemerkt äh war in dieser Detail Zahlenträger eingebaut.

Tim Pritlove
1:01:53
Martin Tschirsich
1:01:56
Linus Neumann
1:02:02
Martin Tschirsich
1:02:12
Linus Neumann
1:02:33
Thorsten Schröder
1:03:08
Linus Neumann
1:03:22
Thorsten Schröder
1:03:24
Linus Neumann
1:03:28
Martin Tschirsich
1:04:07
Linus Neumann
1:04:08
Thorsten Schröder
1:04:17
Linus Neumann
1:04:19
Thorsten Schröder
1:04:26
Linus Neumann
1:04:30
Tim Pritlove
1:04:34
Linus Neumann
1:04:36
Thorsten Schröder
1:04:49
Linus Neumann
1:04:52
Thorsten Schröder
1:05:10
Linus Neumann
1:05:12
Thorsten Schröder
1:05:16
Linus Neumann
1:05:18
Thorsten Schröder
1:05:20
Linus Neumann
1:05:42
Thorsten Schröder
1:06:14
Linus Neumann
1:06:19
Thorsten Schröder
1:06:25
Linus Neumann
1:06:29
Thorsten Schröder
1:06:55
Linus Neumann
1:06:57
Thorsten Schröder
1:06:59
Linus Neumann
1:07:13
Thorsten Schröder
1:07:41
Linus Neumann
1:07:50
Martin Tschirsich
1:07:52
Linus Neumann
1:08:19
Thorsten Schröder
1:09:36
Linus Neumann
1:10:02
Thorsten Schröder
1:10:08
Martin Tschirsich
1:10:18
Linus Neumann
1:10:25
Thorsten Schröder
1:11:34

Ja tatsächlich haben sie da was getan, um sicherzustellen, dass die Daten ähm verifiziert werden können auf Empfängerseite. Das heißt, sie haben da irgendwie noch eilig äh PGP Support reingehackt, Das heißt, sie setzen voraus, dass man sich äh GPG for Win installiert hat, und einen PGP Schlüssel hat und dann kann man beim Verschicken der Daten sagen, ich möchte das als AES verschlüsseltes Zipfeil verschicken, ich möchte, dass äh PGP verschlüsselt und signiert verschlüsseln äh verschicken oder im Klartext, verschicken, dann steht da noch in Klammer nicht empfohlen, ist ja schon mal positiv. Nun stellt stellen sich halt zwei Fragen. Die eine ist eine ganz organisatorische Frage, wie schaffen die das jetzt? Ich weiß ja nicht, wie viele Computer es da gibt, die dann an diesem System angestoßen sind, aber wie, sagen eigentlich die organisatorischen Prozesse, wie kommen diese ganzen, geheimen Schlüssel auf die Wald-PC Wahlcomputer oder wie kommen die ganzen öffentlichen Schlüssel, notwendig sind äh auf den zentralen Server, sodass der überhaupt erst in der Lage ist, zu verifizieren, ob die Datenvalide sind. Das ist ja die Grundvoraussetzung, dass der öffentliche Schlüssel. Des Senders beim Empfänger auch bekannt ist und dort auf einem vertrauenswürdigen Wege hingelangt ist. Äh über diese Prozesse wird halt nicht aufgeklärt, zumindest nicht öffentlich und das wäre mal ganz interessant, zu erfahren, wie das da eigentlich so gedacht ist. Dann liegt das halt nahe, dass sie eventuell einfach äh bei der Provisionierung einzelner Rechner, einzelner Systeme mit, Figuration vielleicht auch noch den Secret Key mit hinschicken, ein Secret Key, das ist dann eben der geheime Teil, bei so einer Verschlüsselungsmethode und der sollte auch irgendwie geschützt werden. Die sind ja dann oft mit einer geschützt, Diese Pastras muss man dann wissen, wenn man Dateien signieren möchte, diese Pastrass gibt man bei PGP, wenn man das bei E-Mail, Transfer, nutzt halt ein, wenn man dann eine E-Mail verschickt wird man danach gefragt und dann ist gut, So, in dem Fall wird man da einmal nachgefragt von der PCVI Software, die sagt halt so, ja, gib mal deine PGP ID ein, damit ich weiß, mit welchem Schlüsse ich signieren soll, Dann gib mal deine Pastrace ein, die ich brauche, um auf diesen geheimen Schlüssel zuzugreifen und dann gibt die Empfänger ID ein, an die die Dateien auch noch verschlüsselt werden sollen. Diese diese Konfigurationsdateien werden dann also Daten werden auch gespeichert in einer Ini, die auch auf der Festplatte liegt und.

Tim Pritlove
1:14:09
Thorsten Schröder
1:14:10
Tim Pritlove
1:15:11
Thorsten Schröder
1:15:16
Linus Neumann
1:15:48
Thorsten Schröder
1:15:50
Tim Pritlove
1:16:34
Thorsten Schröder
1:16:34
Linus Neumann
1:16:46
Thorsten Schröder
1:17:12
Martin Tschirsich
1:17:14
Linus Neumann
1:17:47

Des Weiteren ist hierzu ähm zu sagen, also die überhaupt das Programm oder die, die, Schule des PGP. Ähm zeichnet sich ja dadurch aus, dass sie nicht von einer zentralen Instanz ausgeht, nicht von einer zentralen Vertrauensinstanz, ja? Wenn wir irgendwie so gesagt hat, okay, wir wehren uns, gegen den Staat, ja? Und ähm was du eigentlich in diesem Zusammenhang machen würdest, um das, Ganze auch skalierbar zu machen. Äh wäre eine ganz klassische äh Public Key Infrastruktur, wo eine zentrale Stelle, sagen wir, das Bundesamt versichert in der Informationstechnik, wenn die Freunde aus Bonn eh schon gerade da vorbeilaufen, Ähm sagt, wir machen jetzt hier ähm eine CA, eine Surtificat Afority. Wir geben euch allen Kies. Wir signieren die und dann kann der Bundeswahlleiter oder wo auch immer ihr diesen Mist hinschickt. Mit einem Zertifikat, oder mit einem öffentlichen Zertifikat, die äh, die Autorisierung und Authentisierung von allen, all diesen Dateien überprüfen, ja? Du hättest also einskalierendes System, was jetzt sage ich mal bei mir schwiert immer diese Zahl siebzigtausend rum, die natürlich hier jetzt äh zu hoch wäre, aber von mehreren tausend Ergebnisquellen sprechen wir auf jeden Fall noch. Ähm hättest du also könntest du alle mit einem mit dem gleichen, ähm CA-Zertifikat prüfen, äh, während Sie sich jetzt das Problem erschaffen, dass Sie, einzeln eine eine schier endlose Anzahl von PGP-Schlüsseln verwalten müssen und wer jemals so ein PGP, Fingerprintvergleich gemacht hat, ähm, der weiß, was das, was das für ein Overhead bedeutet, ja? Und dieses System beim besten Willen skaliert einfach nicht. Und wenn du schon ähm Signaturschlüsse verwendest, dann musst du die ebensicher aufbewahren und ich habe heute, noch ein bisschen recherchiert, das erste Mal in Deutschland die Grundlage für eine qualifizierte elektronische Signatur gegeben wurde, das ist ich hab's nicht glauben können zweitausendeins, also seit seit zweitausendeins haben wir, Ideen für qualifizierte, elektronische Signaturen. Ähm, wir haben auf den Seiten des BSI ähm, Ressourcen dazu, wie diese Ideen immer weiterentwickelt wurden, wo also zur Aufbewahrung von Smart Cards, Zur Aufbewahrung der Geheimschlüsse auf Smartcuts geraten wird und allein das würde alle Probleme oder fast alle Probleme hier lösen, wenn man einfach sagen würde, wir nehmen private Schlüsse auf Smartcards, nutzen 'ne BundescA, um diese, um diese Smart, um die diese Kies zu zu verifizieren. Thema erledigt, ja? Dann hättest du das noch genommen für die Softwareupdates und dann kannst du den Rest kaputtlassen.

Thorsten Schröder
1:20:35
Tim Pritlove
1:21:43
Linus Neumann
1:22:03
Tim Pritlove
1:22:04

Genau, also von Wahlen in der Bundesrepublik Deutschland, so die finden regelmäßig statt. Man weiß, dass die immer wieder sind. Man weiß auch, dass im Prinzip die Anforderungen dafür in Hinblick auf äh Informationssicherheit et cetera äh, permanent steigen werden, permanent auch äh immer wieder der Status quo in Frage gestellt wird und und dass man hier überhaupt auf eine Architektur setzt, wo dann, so ein kleiner, vielleicht noch nicht mal mittelständischer äh Betrieb zum Zug kommt, ja? Wie du schon sagst, Martin mit so der eine Progamierer, ne? Ich meine, Ich finde die die Firma ist da schon jetzt auch in der Verantwortung und zwar nicht man kann sich ja nicht raus ja wir haben ja nur einen Poamira, ich meine wenn wenn das das Problem ist, warum warum habt ihr da nicht mehrere Programmierer, aber die Verantwortung für dieses Systemarchitektur et cetera und für die Prozesse und das ist da vielleicht was es wenn der Typ irgendwie vom Bus läuft ne? Also das muss dieses Unternehmen dann im Prinzip ja auch äh leisten und einpreisen et cetera. Und natürlich wird's dann irgendwann auch teuer, und vielleicht sozusagen für die von ihnen ausgehandelten Preise und Verfahren, die sie so, äh nicht mehr händelbar, aber genau das ist der Punkt, es gehört da halt einfach gar nicht hin, vielleicht will mir sozusagen die die Sicherheitslücken und den Tischbäbbel jetzt sozusagen schon haben, haben wir das jetzt sozusagen soweit äh eingegreift. Würde ich eigentlich ganz gerne mal so ein bisschen zu so einer Bewertung kommen. Was jetzt konkret hier das Risiko auch ist.

Linus Neumann
1:23:27
Tim Pritlove
1:23:57
Martin Tschirsich
1:24:56
Linus Neumann
1:26:04
Tim Pritlove
1:26:24
Linus Neumann
1:26:27
Tim Pritlove
1:27:43
Linus Neumann
1:27:55
Martin Tschirsich
1:27:56
Tim Pritlove
1:28:01
Martin Tschirsich
1:28:08
Tim Pritlove
1:28:50
Martin Tschirsich
1:28:52
Tim Pritlove
1:28:58
Martin Tschirsich
1:29:03
Tim Pritlove
1:29:42
Martin Tschirsich
1:30:23
Tim Pritlove
1:30:36
Linus Neumann
1:30:44
Thorsten Schröder
1:31:52
Linus Neumann
1:31:56

Nicht so trivial macht wie äh wie wir das hier sehen. Ähm ich würde vielleicht noch kurz auf zwei weitere Fragen eingehen, sich natürlich jetzt stellen. Ähm, jetzt wurde also IVU-Elekt geprüft und jetzt wurde PC Wahl geprüft von uns, und es gibt noch ein weit verbreitetes Produkt am Markt, das ist der Vote Manager. Das sind die, das wären dann die drei. Großen Marktanteilshaber in Deutschland. Neben eben noch kleineren Produkten. Ähm nun wurde das Produkt PC Wahl, Anfang zweitausendsechzehn, von dem Unternehmen Wort IT gekauft, das vorher unter dem Namen Regio IT den Vote Manager veröffentlicht hat. Also da hat quasi das Unternehmen Regio IT den Konkurrenten, PC Wahl gekauft, die haben sich zusammengeschlossen zu einem neuen Unternehmen namens Vod IT, welches das Programm, fort, Manager nun herausbringt. Und es ist quasi abzusehen ähm auch am Alter des Hauptentwicklers des Programms PC Wahl, dass die Strategie des Unternehmens Voad IT nun ist, In Zukunft die Software Vodmanager an die ehemaligen PC Wahlkunden zu verkaufen, Und ähm ärgerlicherweise, wie das immer so schön ist und ich zitiere an der Stelle mal äh Rob Gong Reib und Alex äh Hallaman. Äh das einzige sichere System ist immer das, was bisher nicht geprüft wurde, Die äh wenn wir jetzt darauf wenn wir dann uns vor Augen führen, dass dieses Unternehmen. Regio-IT offenbar dieses Produkt. PC Wahl ohne Prüfung zu einem doch sehr nennenswerten ähm Betrag gekauft hat, der sieben schöne Zahlen hat, dann lässt das natürlich zumindest die Hoffnung, schwinden, dass jetzt unbedingt das Produkt Vodmanager ähm all diese Probleme beheben würde. Um das mal ganz vorsichtig und äh diplomatisch ähm hier auszudrücken.

Tim Pritlove
1:34:11
Linus Neumann
1:34:35
Thorsten Schröder
1:35:11
Tim Pritlove
1:36:00
Linus Neumann
1:36:06
Thorsten Schröder
1:36:19
Linus Neumann
1:36:24
Thorsten Schröder
1:36:25
Martin Tschirsich
1:36:31
Linus Neumann
1:36:44
Tim Pritlove
1:36:46
Linus Neumann
1:37:29
Tim Pritlove
1:38:02
Linus Neumann
1:38:06
Thorsten Schröder
1:39:02
Linus Neumann
1:39:05
Thorsten Schröder
1:39:10
Tim Pritlove
1:39:14
Thorsten Schröder
1:39:24
Tim Pritlove
1:39:32
Linus Neumann
1:39:35
Tim Pritlove
1:39:36
Linus Neumann
1:39:39
Thorsten Schröder
1:39:43
Tim Pritlove
1:39:47
Martin Tschirsich
1:40:24
Tim Pritlove
1:40:36
Martin Tschirsich
1:40:38
Tim Pritlove
1:40:41
Linus Neumann
1:40:50
Tim Pritlove
1:40:51
Linus Neumann
1:40:57
Thorsten Schröder
1:41:04
Linus Neumann
1:41:05
Tim Pritlove
1:41:08
Thorsten Schröder
1:41:16
Tim Pritlove
1:41:30
Thorsten Schröder
1:41:36
Tim Pritlove
1:42:10
Thorsten Schröder
1:42:15
Tim Pritlove
1:42:19
Linus Neumann
1:42:23
Thorsten Schröder
1:43:51
Linus Neumann
1:43:59
Tim Pritlove
1:44:18
Linus Neumann
1:44:20
Thorsten Schröder
1:44:41
Tim Pritlove
1:44:44
Linus Neumann
1:44:49
Tim Pritlove
1:45:11
Linus Neumann
1:46:33
Tim Pritlove
1:46:58
Linus Neumann
1:47:01
Tim Pritlove
1:47:18
Linus Neumann
1:47:27
Tim Pritlove
1:47:29
Linus Neumann
1:47:32
Tim Pritlove
1:47:40
Martin Tschirsich
1:47:41
Thorsten Schröder
1:48:35
Linus Neumann
1:49:22
Tim Pritlove
1:49:59
Linus Neumann
1:50:00
Thorsten Schröder
1:50:04
Linus Neumann
1:50:06
Thorsten Schröder
1:50:17
Linus Neumann
1:50:19
Martin Tschirsich
1:51:20
Tim Pritlove
1:51:31
Linus Neumann
1:51:36
Thorsten Schröder
1:51:47
Linus Neumann
1:51:48
Tim Pritlove
1:51:50
Linus Neumann
1:51:51
Thorsten Schröder
1:51:53
Tim Pritlove
1:52:08
Linus Neumann
1:52:24
Martin Tschirsich
1:52:30
Tim Pritlove
1:52:38
Linus Neumann
1:52:40
Thorsten Schröder
1:52:51
Linus Neumann
1:52:52
Tim Pritlove
1:53:05
Thorsten Schröder
1:53:29
Linus Neumann
1:53:34
Martin Tschirsich
1:53:40
Tim Pritlove
1:53:42
Thorsten Schröder
1:53:42
Linus Neumann
1:53:43