Ein Logbuch:Spezial zur Analyse der Bundestagswahlsoftware "PC-Wahl"
Das Gespenst der Wahlcomputer zur Erfassung der Wählerstimmen konnte in Deutschland schon vor Jahren erfolgreich vertrieben werden. Das Bundesverfassungsgericht hat dem Einsatz solcher Abstimmungsautomaten unüberwindbare hohe Grenzen gesetzt und das ist auch gut so. Trotzdem kommt hinter den Kulissen noch Software zum Einsatz, über die wenig bekannt ist und denkbar gruselig daherkommt. Eines der in Deutschland weit verbreiteten Systeme ist die Windows-Software "PC-Wahl". Nachdem Martin Tschirsich erste Erkenntnisse gewonnen hatte, nahmen auch Thorsten Schröder und Linus Neumann die Software genauer unter die Lupe und entdeckten teilweise haarsträubende Sicherheitslücken und konzeptionelle Fehler. In dieser Folge von Logbuch:Netzpolitik stellen wir mit allen Beteiligten die gewonnenen Erkenntnisse vor und diskutieren die daraus resultierenden Risiken für den Wahlprozess und das Vertrauen in Wahlen allgemein.
Linus Neumann
Tim Pritlove
Martin Tschirsich
Thorsten Schröder
Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.
Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.
Transkript
Tim Pritlove 0:00:00
Guten Morgen Linus.
Linus Neumann 0:00:02
Guten Morgen Tim.
Tim Pritlove 0:00:04
Linus, es ist Zeit, der Sommer war sehr groß. Wir müssen jetzt mal wieder ran. Ich habe mich gut erholt und was hast du so gemacht.
Linus Neumann 0:00:13
Ich habe mich auf die Bundestagswahl vorbereitet.
Tim Pritlove 0:00:38
Lokbuchnetzpolitik Nummer zweihundertachtundzwanzig und wie sagt man so schön, wir sind wieder da.
Linus Neumann 0:00:45
Denke ja, ja, deine deine Stimme ist auch wieder da.
Tim Pritlove 0:00:46
Nach einer, nach einer geringfügigen Genausprechpause, die ich ja äh leider einzuhalten hatte, aber das hat eigentlich auch ganz, ganz gut getan. So, jetzt ähm fühle ich mich eigentlich wieder ganz ganz gut. Bin wieder dabei sozusagen.
Linus Neumann 0:01:00
Freut mich. Wie geht's deiner Stimme.
Tim Pritlove 0:01:03
Klingt normal, ne? Ist noch nicht so.
Linus Neumann 0:01:05
Dich so lange nicht gehört, ich.
Tim Pritlove 0:01:07
Lass dich gar nicht mehr, ne? Tja, du musst halt die ganzen alten Folgen jetzt nochmal nachhören.
Linus Neumann 0:01:13
Aber es ist so, dass die ähm also die Stimme vom Tim muss geschont werden,aus diesem Grund haben wir heute zwei Gäste im Studio.
Tim Pritlove 0:01:22
Ne?
Linus Neumann 0:01:23
So zur Unterstützung,Und wir Tim fruchtet auch hier gerade noch wild an seinem Setup rum, deswegen übernehme ich jetzt mal kurz die Vorstellung der Gäste. Und zwar haben wir einmal bei uns hier den Martin, Martin Schiersig.
Martin Tschirsich 0:01:38
Ja hallo, freut mich, dass ich heute bei euch sein darf.
Linus Neumann 0:01:41
Willst du dich mal grob kurz vorstellen.
Martin Tschirsich 0:01:44
Ja, gerne, also ich bin ähm aus Darmstadt, mache IT-Sicherheit so ein bisschen, aber eher nebenbei, einfach Interessierte Bürger, der sich die Wahlen angeschaut hat und jetzt heute bei Linus gelandet ist.
Linus Neumann 0:01:58
Und unser zweiter Gast, also dass ich glaube das mit dem interessierter Bürger, das ist echt ein geiles Konzept. Also im Vergleich, es gibt besorgte Bürger und interessierte, ja? Also wir sind auf jeden Fall interessierte Bürger,Und äh Torsten ist hier. Thorsten Schröder.
Thorsten Schröder 0:02:14
Hallo. Ja, schön, dass ich heute hier sein darf.
Linus Neumann 0:02:18
Du machst auch das mit der IT-Sicherheit, ne.
Thorsten Schröder 0:02:19
Ja, ich mache gerne Sachen kaputt.
Tim Pritlove 0:02:24
Auf alles draufhauen, was bei drei nicht auf Bäumen ist.
Thorsten Schröder 0:02:28
So sieht das aus.
Linus Neumann 0:02:30
Seit langer Zeit äh im Chaos-Computerclub aktiv und ähm ich denke auch ähm immer mal wieder bei Veröffentlichungen des Chaos-Computerclubs mit dabei. Und über eine solche wollen wir heute reden.
Tim Pritlove 0:02:43
Genau, heute ist nämlich ähm sozusagen kein normales Programmsondern wir machen heute, wie nennen wir das immer ein Spezial? Oder anders ausgedrückt, wir haben einen Fokus,einem äh bestimmten Thema und wie es schon am Klang, wollen wir uns mal so ein bisschen äh auf die Bundestagswahl äh vorbereiten, beziehungsweise du hast dich ja schon sehr intensiv auf die Bundestagswahl äh vorbereitet.
Linus Neumann 0:03:03
Na wir alle drei in den letzten Wochen und Monaten.
Tim Pritlove 0:03:06
Und äh genau und das ist jetzt sozusagen auch alles äh gerade dabei ans Licht zu kommen und wir wollen der ganzen äh Debatte da ein wenig äh Grundlagen äh liefern.Ja warum geht's? Es geht um,Computer und Wahlen, das war ja hier schon sehr oft ein Thema und ist ja auch so ein klassisches CC Thema immer schon gewesen,wobei der Fokus halt zunächst einmal den ersten Jahren so auf den Wahlcomputern zum eigentlichen Abstimmen lag, so dass man sozusagen Rechner explizit benutzt um ähm Wahlergebnis, also die Wahl,Vorgänge zu erfassen, beziehungsweise die konkrete Stimmabgabe zu erfassen. Das ist ja nun schon äh insofern, weil äh Geschichte, als dasssehr gut dargelegt werden konnte, warum das eine verdammt schlechte Idee ist und das haben wir auch hier bei Lokbuch Netzpolitik schon mehrfach immer wieder noch ein weiteres Mal betont. Spätestens immer dann, wenn wieder irgendjemand aus der Eckkommt und der Meinung ist, das wäre doch eine ganz tolle Idee und die Zukunft und überhaupt und es kann auch nicht sein, dass und was halt für Argumente halt immer wieder kommen. Aber äh nicht wahr? Ihr wisst ja, alle mittlerweiledas äh mit der Stimmabgabe und den Computern das eine verdammt schlechte Idee, schlicht und ergreifend, weil sich halt ein Computer nicht in die Karten schauen lässt.
Linus Neumann 0:04:27
Das habe ich übrigens am zweiten September vor wenigen Tagen noch in,Paderborn bei einer Ausstellungseröffnung im Heinz-Nicksdorf-Forum,noch einmal in einem kurzen Vortrag,ausgeführt, den habe ich auch aufgezeichnet und veröffentlicht und ihm nachher den schönen Titel gegeben denken, Digital Second.Link packe ich Link packe ich mal in die Shownote.
Tim Pritlove 0:04:53
Ja genau, ja das muss halt dann auch äh immer wieder gesagt werden so, nicht also dieses ähm,Merkwürdige Verständnis, dass das alles, was irgendwie Zukunft bedeutet, automatisch zwangsläufig auch immer digital,äh oder digitalisiert sein muss, das äh ja lässt sich halt nicht so einfach austreibenGut, dann ist halt eigentlich so die Frage, worüber reden wir denn dann noch,wollen wir mal den Fokus legen auf ein bisher weniger diskutierten und weniger beleuchteten Teil der Wahl,nämlich das, was eigentlich Nachschließung des Wahllokals passiert,also nicht die eigentliche Stimmabgabe, sondern die äh ja das Zusammenfassen, das Tabulieren, aber auch das Weiterleiten, melden von,Ergebnissen und das ist halt, wie wir hier auch schon vor einigen Folgen schon mal ausführlicher diskutiert haben, ja auch so etwas, wo Leute ganz gerne mal den PC bootenÄhm wir hatten ja hier schon mal äh unter anderem die Software IFIVU äh Elect äh auch schon äh ein, zwei Mal glaube ich erwähntJa und das äh ist der Grund, warum sozusagen jetzt hier auch so viele äh Sicherheitsexperten zusammensitzen,Es geht also um was ist denn da der passende Oberbegriff eigentlich.
Linus Neumann 0:06:10
Ich glaube die äh Herstellerbezeichnung ist äh Organisation, Erfassung und Auswertung von Wahlen.
Martin Tschirsich 0:06:17
Durchführung und Auswertung. Ja.
Thorsten Schröder 0:06:19
Intransparenz.
Linus Neumann 0:06:21
Ähm also um um das Problemfeld vielleicht einmal grob zum Reißen, du du entscheidest dich eine Wahl zu machen, also Bundestagswahl,Man ist erstaunt, wie viele Wahllokale es dann in Deutschland gibt, ja? Ähm die Zahl, die mir da immer noch unbegreiflich ist, dass das bundesweit siebzigtausend sind,siebzigtausend irgendwelche Schulen, Kindergärten und so, die dann da von den Wahlhelfern gesprottet werden.
Tim Pritlove 0:06:47
So viel? Also ich meine so etwas dichteren Gegenden, da hast du ja alle paar Straßen im Wahllokal, weil da einfach viele Leute wohnen, weil du kannst in so einem Wahllokal natürlich nur eine begrenzte Zahl von Leuten durchschleusen pro Tag und dementsprechend äh skaliert sich das. Also.
Linus Neumann 0:07:00
Ja, aber weißt du, diese Wahlen, die sind ähm die sind ja auch immer sonntags so früh, ne? Und ich bin ja eher nachtaktiv und deswegen mache ich das in der Regel per Briefwahl. Also ich ich habe mir so ein bisschen länger her, dass sie wir sind, Wahllokale angeschaut habe.
Tim Pritlove 0:07:14
Doch die Demokratie gar nicht erleben.
Linus Neumann 0:07:16
Aber siebzigtausend, eine große Zahl mit mehreren Nullen, ja? Äh diese da sind werden ja überall diese Zellen dann abgegeben, dafür hat der Chaos-Computerclub ja mit längerem Engagement jetzt schon gesorgt, dass äh technische Wahlgeräte in der Regel nicht mehr zum Einsatz kommen,bei Computer heißen die natürlich korrekt. Ähm und jetzt muss irgendwie am Ende muss ja aus diesem aus diesem wirklich großen Stapelpapier der über die Bundesrepublik verteilt ist. Ähm ein Balken in der Tagesschau werden.Und wir reden im Prinzip im weitesten Sinne von von diesem Prozess, der ähm mit dem Kreuzchen anfängt, mit dem,Blatt Papier weitergeht und dann ähm in die digitale Sphäre früher oder später übertragen wird und dann einer Übertragung gut auswertung.Zugeführt wird, richtig, Martin.
Martin Tschirsich 0:08:06
Ja, richtig, also es sind mehrere Meldewege, wie sich das korrekt nennt, die dann von den Wahllokalen in die Gemeinden, an den Kreis, an das Land und an später dann letztendlich beim Bundeswahlleiter enden.Ja und diese Meldewege, die sind vielfältig und wir.
Linus Neumann 0:08:25
Das Wirre kommt daher, dass das einmal, ich glaube, der Bundeswahlleiter ich weiß gar nicht, was dessen Funktion ist, weil die Wahl wird angeordnet von Innenminister und Bundestagspräsident, habe ich jetzt irgendwie gesehen.Bundeswahlleiter weiß ich nicht, der sagte am Ende jo, ho, es wurde gewählt.
Tim Pritlove 0:08:42
Bundesbundeswahlleiter muss ich natürlich vor der Wahl vor den Ziehungsgeräten oder ordnungsgemäßen Funktion der Ziehungsgeräte überzeugen lassen.
Linus Neumann 0:08:50
Ähm aber der quasi wie der Ablauf in den einzelnen Bundesländern,stattfindet, das ist durch die jeweiligen Landeswahlleiter geregelt. Das heißt, ähm das hat uns jetzt in den letzten Wochen und Monaten auch ein bisschen,Kopfschmerzen bereitet, weil das so ein Pudding war, der an die Wand genagelt werden musste und ähm es sich quasi von Bundesland zu Bundesland und dann auch nochmal im Einzelnen zwischen den ähm Gemeinden oder Kreisen unterscheiden kann, wenn ich das richtig erinnere.
Martin Tschirsich 0:09:17
Richtig, ich kann das exemplarisch mal für Hessen äh erläutern, wie so eine Meldung aussieht, Meldewe,wenn um achtzehn Uhr die Wahllokale schließen,Das kann man nachlesen in der Wahlordnung, Bundeswahlordnung, ähm, da beginnt zunächst die Auszählung im Wahllokal, da wird die Wahlliederschrift erstellt, alles mit leicht vom Papier, zumindest überwiegend,diese Wahl Überschriften ähm.Werden in den Wahllokalen erstellt. Ähm, bevor diese Wahlliederschriften dann weiter verschickt oder transportiert werden, geht eine Schnellmeldung raus. Diese Schnellmeldung wird meist telefonisch an die Gemeinde abgesetzt,Dort sitzt der Wahlleiter der Gemeinde und empfängt die Schnellmeldung. Schnellmeldungen, deshalb, weil das nicht die amtlichen Ergebnisse sind, sondern die vorläufigen,damit wir schnellstmöglich eine eine Art Wahlergebnis haben, bis dann paar Tage später das amtliche Wahlergebnis vorliegt. Also diese Schnellmeldungen gehen von den Wahllokalen auf die Gemeinde, von der Gemeinde dann an die Wahlkreise,werden aggregiert und gesammelt und dann an das Land, also den Landeswahlleiter, das statistische Landesamt in Hessen.Die geben diese Ergebnisse, die gesammelten Ergebnisse aller Wahlkreise in Hessen, immer noch die Schnellmeldung dann an dem Bundeswahlleiter weiter.Auf dem Weg von der Gemeinde an die,Wahlkreise und auch an das Land kommt Software zum Einsatz und das ist so der Fokus. Ähm was den wir heute haben,ähm schon lange, also diese Software wird schon seit über dreißig Jahren entwickelt, die wir hier analysiert haben. Es gibt da viele Produkte, das macht jedes Land so für sich und teilweise auch jede Gemeinde und jeder Wahlkreis so ein bisschen,Aber schon sehr lange geht das so, ja. Auf Bundesebene,wird dann wieder eine andere Software eingesetzt und die kennen wir alle, das ist dieses IV Elektrogramm.Das hat mir, da hatten wir ja schon gehört, davon.
Tim Pritlove 0:11:22
Aber auf dieser unteren Ebene kommt was zur Einsatz zum Einsatz.
Martin Tschirsich 0:11:26
Also auf Landesebene kommt beispielsweise in Hessen das Programm PC Wahl der Vision zehn zum Einsatz. PC Wahl ist quasi das, was IVU Elect in den Niederlanden oder bei uns auf Bundesebene ist, einfach nur für die Länder.PC Wahl ermöglicht es, dem Wahlamtleiter der Gemeinde, die Schnellmeldung aus den Wahllokalen zu erfassen, zu sammeln, weiterzuleiten an die Wahlkreise und dann auch von dort an den Landeswahlleiter.
Linus Neumann 0:11:56
Der hat dann so ein, so ein Windows Eingabefenster vor sich und da sind dann seine sagen wir mal seine sieben,Seine sieben Wahllokale aufgelistet und dann rufen die an und sagen, hier ist der Jörn aus,Wahllokal, Grundschule am Weiher, ja? Und jetzt lese ich dir mal hier vor, ne? Wer gewonnen hat,Punktestand und der Tipp, dass dann der Tipp, dass dann eben ein in so eine Maske und wenn er seine Wahlkreise fertig hat, dann sagt er Meldung, Meldedatei erstellen und dann schickt er die an das äh schickt er die halt an die nächste Ebene weiter.
Martin Tschirsich 0:12:29
Richtig, das ist wie so eine Pyramide von unten nach oben und ähm auf der Länderebene wird diese Software eingesetzt, über die wir heute reden. Das geht dann auch weiter auf die höhere Ebene und es wird halt immer weiter zusammengefasst,In Hessen kommt dieses PC Wahlprogramm zum Einsatz,in anderen Bundesländern kommen andere Programme zum Einsatz. Teilweise gibt's ja auch sehr raffinierte Dinge wie in München. Da gibt's sogar eingebauten Chat zwischen dem Wahllokal und dem Wahlamt der Gemeinde. Also es gibt da sehr viele verschiedene Dinge.
Linus Neumann 0:12:56
WhatsApp.
Tim Pritlove 0:12:58
So eine Art Social Network.
Martin Tschirsich 0:13:00
Äh richtig.
Tim Pritlove 0:13:00
Für Wahlteilnehmende. Mhm.
Linus Neumann 0:13:04
Ähm.Wichtig ist hierbei noch ein Punkt, der wir glaube ich für die, für den Rest der Sendung noch eine eine wichtige Rolle spielt. Ähm je weiter das nach oben geht, umso mehr ähm muss die Software,im Prinzip die von dem statistischen Landesamt gemachten Vorgaben umsetzen,Also wenn du jetzt den PC Wahl sagst, ich äh exportiere das jetzt mal bitte für Hessen, dann macht er dir unter Umständen was anderes, als wenn du sagst, exportiere das jetzt mal bitte für was weiß ich, Rheinland-Pfalz oder so. Wir haben einen Unterschied von mir aus unterschiedliche Übertragungswege. Der eine sagt,nehmen was weiß ich Protokoll,ABC und der andere sagt, wir nehmen Protokoll FDP und ähm äh der eine sagt, wir ne,Protokoll, XYZ und der andere sagt immer, wir nehmen Protokoll XML oder so, ne? Also jetzt mal Beispiel,beispielhaft gesagt. Das bedeutet, dass wenn je weiter deine,wenn es jetzt da Probleme gäbe, Gott bewahre ähm dann würden die je weiter oben die sind,um mit umso größerer Wahrscheinlichkeit ähm alle Software betreffen und nicht nur eine.
Martin Tschirsich 0:14:11
Also PC Wahl haben wir uns unter anderem auch deswegen angeschaut, weil es laut Hersteller für dreiunddreißig Millionen Bundesbürger bei der Wahlauswertung zum Einsatz kommt. Also ist schon ein Produkt, was,über mehrere Flächenbundesländer eingesetzt wird, ähm in einigen Bundesländern exklusiv, beispielsweise in Hessen, aber eben auch in anderen Bundesländern,PC Wahl ist jetzt modular aufgebaut, das heißt jedes Bundesland hat da seine eigenen ich sag mal Schnittstellen in dieser Software. Ähm, letztendlich läuft dann aber alles über diese eine Software.
Linus Neumann 0:14:46
Jetzt sind wir nicht die ersten, die gesagt haben, wir wollen mal wissen, was da los ist. DieseSoftware beschäftigt eigentlich schon seit längerer Zeit Leute. Also es gibt einen Wahlhelfer mit dem Namen Ingo Höft, wenn ich mich nicht täusche, äh der schon seit,also das schon seit Jahren irgendwie da auch auf eigenen auf eigene Faust versucht hat sich Einsicht in dieses Programm zu erklagen, weil er gesagt hat was ist hier,was erlaube Wahl, ja? Ähm! Das hier so eine Software zum Einsatz kommt, die,deren Funktionalität irgendwie nicht dokumentiert ist, die unklar ist, ich will bitte sehen, ob die überhaupt richtig die Erge,ist weiter verwurstet, ne? Also man kann sich ja durchaus vorstellen, dass das ein ähm komplexes Problem ist aus diese,siebzigtausend oder potentiell insgesamt siebzigtausend Wahllokalen irgendwie am Ende ein Ergebnis zu machen und dann Mathematik ist ja auch schwer. Ähm, der hat gesagt, er würde sich das gerne anschauen,Das haben wir nicht gemacht. Ähm aber interessant ist, dass ihm hauptsächlich mit der Begründung der Sicherheit,der Einblick oder der der Zugang zu dieser Software verwährt wurde.Und das ist schon grundsätzlich immer etwas worauf man sich Sorgen machen sollte, weil wie vielleicht einige geneigte,Wissen,Security bei ob Scurity irgendwie keine so so geile Idee ist. Sorry, dafür mein Fehler. Ich wollte den lautlos Knopf drücken.Ähm.
Tim Pritlove 0:16:21
Genau das Gegenteil gedrück.
Linus Neumann 0:16:22
Es wurde immer so gesagt, nein, nein, die Sicherheit der Wahl äh,irgendwie geht vor und deswegen äh halten wir jetzt selbst diese Software, die da stattfindet intransparent und man denkt sich irgendwie so, hm,Sicherheitssoftware sollte ja normalerweise oder sicherheitsrelevante Software sollte in der Regel nicht deshalb sicher sein, weil sie geheim ist, sondern deshalb, weil sie sicher ist, ja. Und wenn sie sicher ist, dann braucht sie auch nicht mehr geheim zu sein.
Tim Pritlove 0:16:45
Ja sowieso, wenn jemand irgendwie da steht und meint so, ja hier gibt's nichts zu sehen, bitte weitergehen, dann weiß man ja eh schon, okay. Sollte man vielleicht mal hinter den Zaun guck.
Thorsten Schröder 0:16:53
Wohl.
Linus Neumann 0:16:57
Das möchte ich doch bitte selber entscheiden. Nun ja und äh.
Tim Pritlove 0:17:02
Also der Ingo-Heft hat sozusagen immer versucht, Einblick zu bekommen offiziell mit.
Linus Neumann 0:17:04
Hat verloren, ja.
Tim Pritlove 0:17:05
Und hat das auch versucht einzuklagen oder.
Linus Neumann 0:17:08
Der hat da ähm nach der das wurde kommen in der Kommunalwahl bei den Rheinland-Pfalz zweitausendneun flächendeckend eingesetzt und ähm der ist äh gescheitert vor Gericht. Ja, wurde also gesagt.
Thorsten Schröder 0:17:24
Was was wollte er denn da für einen Einblick genau haben? Source Code oder äh also.
Linus Neumann 0:17:27
Überhaupt mal irgendwas sehen, ne? Also wenn alles, wenn alles nach dem Rechten läuft, ähm kriegt er keine unberechtigte Person überhaupt so ein Bino, dieser Software in die Hand,Software ist auch also vier lizenziert und verkauft und ähm.
Tim Pritlove 0:17:45
Ja und das schmeckt einfach nicht gut, wenn geheim an etwas dran steht, was eigentlich mit einer öffentlichen Wahl zu tun hat.
Thorsten Schröder 0:17:52
Und und hat der hat er sich dann damit zufrieden gegeben in der ersten Instanz oder ist er dann auch weiter hinterher.
Linus Neumann 0:17:58
Ähm also sein letzter Eintrag zu dem Thema ist ein paar Jahre her.Und ähm ich habe den Eindruck, dass er da wahrscheinlich sich dann irgendwann ähm anderen äh Themen zugewandt hat. Da bin ich aber leider nicht hundertprozentig äh Firmen, wie weißt du da noch mehr drüber, Martin.
Martin Tschirsich 0:18:17
Ja, ich hatte ihn äh kontaktiert, als ich auch über dieses Thema ähm gestolpert bin ähm und ähm er ist weiterhin sehr interessiert daran, ist aber eben an diesen ganzen Hürden gescheitert auf ähm,rechtlichen Weg oder auch auf ähm persönlichem Weg mit Vorsprachen bei den Ämtern. Hatte eben keine Einsicht bekommen,und ähm konnte dann diesen Weg auch nicht weiter gehen. Dann gab's einfach keine Möglichkeiten.
Tim Pritlove 0:18:41
Und wie bist du jetzt überhaupt dieses Thema gekommen.
Martin Tschirsich 0:18:46
Ja, also allgemein interessiert mich vieles, wenn wenn berichtet wird, zum Beispiel über unsere Wahl ist die sicher, ähm,da habe ich mir schon Gedanken gemacht, was passiert denn eigentlich, wenn wir gewählt haben, diese Auswertung, das geht doch heute sicher digital, zumindest digital unterstützt und da,hatte ich dann ein bisschen Zeit und musste und habe mal im Internet recherchiert, was dann bei mir in Hessen da so passiert in Darmstadt.Und ähm bin dann auf ja merkwürdige Dinge gestoßen hier im Hintergrund passieren. In Hessen wird ja wie gesagt ähm PC Wahl eingesetzt und ähm,PC Wahl,wird eben nicht von den Gemeinden den Wahlämtern betreut, sondern das ist ja heutzutage alles ausgelagert an kommunale Rechenzentren, ähm IT-Dienstleister, die das machen,Also in Darmstadt selber wusste man gar nicht, wie diese Software so eingesetzt wird. Man hat mich dann verwiesen auf den IT-Dienstleister in Hessen.
Linus Neumann 0:19:45
E-Com einundzwanzig.
Martin Tschirsich 0:19:47
Richtig, E-Commerce zwanzig ähm hervorgegangen aus dem Gebietsrechenzentrum. Äh ich meine Kasse und noch einem anderen Zusammenschluss. Und ähm.
Tim Pritlove 0:19:56
Also, weil es ist kein kein privates Unternehmen, sondern.
Martin Tschirsich 0:19:58
Nein, kommunal.
Tim Pritlove 0:19:59
Körperschaft des öffentlichen Rechts, wie man so schön sagt.
Martin Tschirsich 0:20:02
Richtig. Und die haben auch eine schöne Webseite mit Informationen, wie denn diese Wahlen zu organisieren sind. Äh richtet sich vornehmlich an Wahlämter und ähm da sind alle Dateien veröffentlicht und Informationen,eigentlich, wie wir erfahren haben,gar nicht öffentlich sein sollen oder dem Gemeinbürger so nicht zur Verfügung gestellt werden. Auf Nachfrage, aber dort lag so einiges rum und ich habe mir das angesehen und äh erstaunliches entdeck,unter anderem ähm liegen dort ja, ich nenne es Konfigurationsdateien für diese Software, die den Übertragungsweg,der Wahlergebnisse am Wahlabend dann beschreiben und auch die Zugangsdaten dazu diese möglichen diese Ergebnisse dann auf einem zentralen Server abzulegen am Wahlabend.
Tim Pritlove 0:20:50
Die Zugangsdaten.
Martin Tschirsich 0:20:52
Ja, Zugangsdaten. Also das ist.
Tim Pritlove 0:20:54
Serverlagen, die rum.
Linus Neumann 0:20:55
Das ist.
Thorsten Schröder 0:20:58
Wo denn sonst.
Linus Neumann 0:21:01
Also als Martin mir das dann irgendwann äh berichtet hat, erhöhe ich mich natürlich auch so ein bisschen geärgert, dass äh wir haben ja als CC ähm einige,Wochen oder Monate vorher dieses Gesuch, diese Suchanzeige ähm gesagt so, dass wir äh gerne diese diese Software gespendet haben möchten und haben die ja sogar dann auch nochmal in russisch veröffentlicht,Aber,ja offenbar hätte es gereicht, da ein bisschen, wenn da ein interessierter Bürger ein bisschen googelt.
Martin Tschirsich 0:21:34
Ja, richtig, das war eine erweiterte Internetrecherche. Ja. Ja und in diesen Dateien, also diese Konfigurationsdatei für das Programm. Ähm ja, da steht halt eben drinne,Wie diese Ergebnisse dann den Weg von den Wahlämtern auf die Ebene des Kreises, des Wahlkreises äh finden und ähm man muss sich das wirklich,sehr einfach vorstellen, die werden auf einen FDP Server abgelegt. Also FDP mit dem Passwort hochgeladen.Da gab's dann noch eine Hürde, die man dann nehmen kann,Dieser Server steht in einem Internet von IT-Dienstleister der Ecom einundzwanzig und Internetnetze, das klingt dann immer schon hochsicher. Ähm da muss man sich aber überlegen, dass dieser IT-Dienstleister für ganz Hessen zuständig ist,und ähm allerlei private Firmen angeschlossen sind an das Netz, also eine unkontrollierte Menge an Personen. Konnte mir auch niemand genau sagen, wie viele Personen überhaupt auf diesem Netz drauf zugreifen können. Das hat keiner so im Überblick.Ja
Linus Neumann 0:22:39
Und ähm ja, wie das so ist mit solchen mit solchen Zugängen, die viele Leute haben, da wird ja dann auch gerne mal getestet,für so 'n Test kann man ja dann auch zum Beispiel so 'n Nutzertest nehmen,wenn man dann selber mal testet, dann testet man vielleicht, ob der Nutzer Test funktioniert und huch, manchmal funktioniert ja dann eben auch.
Martin Tschirsich 0:23:02
Ja, brauche ich auch noch einen Passwort.
Linus Neumann 0:23:04
Braucht ihr noch ein Passwort, da kann man dann auch testen, welches Passwort der Nutzertest, wo wir so haben könnte.
Thorsten Schröder 0:23:09
Nein, auf Produktionssystem.
Linus Neumann 0:23:12
Ähm.
Thorsten Schröder 0:23:14
Wer macht denn sowas?
Linus Neumann 0:23:15
Der Spaß geht aber natürlich noch weiter, ja? Ähm man würde jetzt äh nämlich eigentlich erwarten, wenn da mehrere unterschiedliche Instanzen ihre Ergebnisse auf so einen FDP-Server an,Ähm würde ich ja jetzt sagen, okay, dann kriegt halt jeder seinen eigenen Nutzernamen, sein eigenes Passwort und sein eigenes Verzeichnis,wo wo diese Dateien eingeladen werden, ne? Da müsste man sich natürlich überlegen wie man jedem jedem jeder einzelnen Instanz dieses diese Zugangsdaten auch zukommen lässt, ne? Das sind die Konfigurationsdateien, die Martin gerade schon,angesprochen hat.
Martin Tschirsich 0:23:47
Richtig und jetzt können wir mal einen kleinen Ausflug in die nähere und auch ferne Vergangenheit wagen. So gehen wir mal zehn Jahre zurück oder einfach die vorletzten Bundestagswahlen,und schauen uns die Konfigurationen an, die damals verwendet wurden, liegen an der selben Stelle, haben selben Zugangsdaten verwendet. Und dann können wir uns natürlich auch die Zugangsdaten oder die Konfiguration,die verschiedenen Gemeinden mal herunterladen oder ansehen, die man oder sind ja alle zugänglich gewesen,Und da fällt dann auf, dass überall dieselben Zugangsdaten verwendet werden. Es gibt also keine Trennung oder irgendwas.
Tim Pritlove 0:24:19
Hat ja auch gut funktioniert letzte Mal, dann kann man das ja wieder nehmen.
Thorsten Schröder 0:24:22
Nichts passiert.
Linus Neumann 0:24:26
Das bedeutet, dass dann eben der der eine, das eine Wahllokal mühelos die Ergebnisse der anderen Wahllokale auslesen und verändern kann. Ne? Ein ein Passwort.
Martin Tschirsich 0:24:35
Richtig, das war quasi, das war quasi erstmal eine große Überraschung. Ähm dass das erstmal nicht so durchdacht erscheint. Also keine Trennung, einfache Zugangsdaten und dann auch noch dieses angeblich sichere Internetnetz. Das war.
Tim Pritlove 0:24:48
Von was für einem Zugang reden wir jetzt eigentlich konkret? Also über das Internet worauf konnte konnte mit diesen Daten zugegriffen werden.
Linus Neumann 0:24:59
Also der das du konntest von außen darauf zugreifen, wenn du einmal den getestet hast, wie du in dieses VPN kommst,konntest du mit diesen FDP Zugangsdaten die auf der Webseite sowieso öffentlich lagen,diesen FDP-Server zugreifen, ne? Also hättest, hättest, dir quasi diese ganzen Wahldaten herunterladen können, hättest aber auch alle ändern können, ne? Das wäre jetzt so ohne überhaupt PC-Wahl verwenden zu müssen, hättest du also,sagen wir mal an einem Wahlabend jetzt gemütlich, einfach immer wenn jemand 'ne Datei hochlädt, der die anschauen können, sagen können, nee, nee, anderes Ergebnis hier.
Tim Pritlove 0:25:40
Hochladen funktioniert über FDP.
Linus Neumann 0:25:42
Hochladen funktioniert über FDP.
Tim Pritlove 0:25:43
Aber das und der einzige Schutz, der ja sozusagen den ganzen Zugangskennung herunterladbar im Internet sind, besteht eigentlich nur dadrin, dass es sich sozusagen um ein irgendeiner Form abgedreht ist, nicht eigentlich über das Internet erreichbare Netz handelt.
Martin Tschirsich 0:25:57
Ja, das ist erstaunlich. Also das war quasi so die einzige Zungesbarriere da. Und ich habe mir natürlich auch erst gesagt, nee, das kann ja eigentlich nicht sein. Da habe ich bestimmt irgendwas irgendwas übersehen. Und ähm habe dann mal beim Hersteller angerufen,Das ist die Vote IT GmbH und ähm habe dann mit dem Support von der Software PC Wahl ähm gesprochen, das ist der Herr Berninger, der Entwickler von der PCBA Software,und hat dann gesagt, ja, ist tatsächlich so. Ähm über die hier vom hessischen IT-Dienstleister verteilten Daten und daran entlegenen äh Zugangsdaten kann ich tatsächlich ähm,Verwirrung stiften, wörtliches Zitat.
Linus Neumann 0:26:37
Verwirrungsstiften würde in diesem Fall bedeuten die Wahl zu manipulieren, ne? Das würde uns ja alle verwirren.
Tim Pritlove 0:26:48
Okay, also der Hersteller von der Tabulierungssoftware hat sozusagen bestätigt, dass man da Verwirrung stiften kann.
Martin Tschirsich 0:26:55
Richtig und er ist dann.
Linus Neumann 0:26:56
Tätig das und betrachtet das offenbar als das maximale Risiko ähm das hier mit seiner das bei der Anwendung seiner Software besteht, ne.
Thorsten Schröder 0:27:05
Macht's einfach, wer sollte denn sowas machen auch? Was macht.
Linus Neumann 0:27:08
Wer sollte das machen.
Thorsten Schröder 0:27:10
Was hätte man davon? Jetzt mal ganz ehrlich.
Linus Neumann 0:27:13
Ähm.
Tim Pritlove 0:27:17
Ja, gibt's äh hast du, hast du noch irgendwelche Erkenntnisse darüber gesammelt, welcherlei Art dieses Netz, in dem diese Zugangsdaten genutzt werden können war, also wie groß das war oder.
Linus Neumann 0:27:28
Wir sollten hier vielleicht primär noch kurz einen einen anderen Aspekt ähm beleuchten. Ähm, diese Passwörter standen in den Konfigurationsdateien nicht im Klartext, ja? Also du konntest nicht,ähm auf die äh konnte es nicht einfach diese Konvigrationsdatei herunterladen und da stand das Passwort im Klartext. Ähm,dass die diese Passwörter waren maskiert ähm um von dem Programm FTP Modul,ähm interpretiert werden zu können. Man sieht, dass ich hier sehr bemüht bin äh den Begriff Verschlüsselung zu vermeiden, weil,Thorsten Grinst diese verschlückt, das also das kann man nicht Verschlüsselung nennen, ne? Was da stattfindet. Also du hast,du hast du verfügst ja,über die Software zur kenntlich Machung dieser Passwörter. Wenn du diese Datei runterlädst, also das FDP Modul liest die Datei aus,weiß dann das Passwort und stellt ja dann eine unverschlüsselte Verbindung,zu diesem ähm FDP-Serverherr. Das heißt, du kannst auf auf vielfältige Weise äh dieses Passwortes habhaft werden, beispielsweise durch ähm mitsniffender Übertragung oder durch eine,kurze kritische Betrachtung des im Debager.
Tim Pritlove 0:28:51
Ich denke, wir werden gleich auf die, die Schwachstellen gleich nochmal im Detail äh eingehen. Ich nur so zu meinem Verständnis ähmich wollte mal so dieses Haus fertig bauen mit wie das eigentlich gedacht ist, wie das funktionieren soll. Also da ist sozusagen ein geschlossenes Netzwerk.Hast du Erkenntnisse da drüber, Martin,was für eine Art geschlossenes Netzwerk, das dann so ist und wer daran alles teilnimmt, also so dass so alle Behörden,anheben internen Zugang oder ist das wirklich nochmal so ein hochgradig gesichertes Ding, also,bei diesen Wahlkreisbüros.
Martin Tschirsich 0:29:29
Also dieses interne Netz, über das wir reden ist gar nicht mal speziell für die Durchführung der Bundestagswahl ähm errichtet worden, dass einfach das Kundennetzwerk von der E-Commerce und alle, die hier in Hessen oder nicht nur in Hessen bundesweit,hessischen IT-Dienstleister betreut werden, haben Zugang zu diesem Netz.
Tim Pritlove 0:29:46
Und das ist so eine Art VPN, dass man sich einwähl.
Martin Tschirsich 0:29:48
Eine Art VPN können wir schon so essen, VPN, aber eben mit ähm einer sehr großen äh Gruppe an berechtigten.
Tim Pritlove 0:29:57
Vorstellung, wie viele dann sozusagen da drin sind, wissen wir nicht.
Linus Neumann 0:30:03
Egal, es ist relativ unerheblich.
Martin Tschirsich 0:30:05
Wollte ich auch wissen, habe ich auch gefragt, äh können wir mir aber nicht sagen, dass mehrere ja, mehrere.
Tim Pritlove 0:30:10
Mehrere. Ja, ja. Okay.
Linus Neumann 0:30:15
Also da hättest du jetzt quasi das erste Angriffsszenario gehabt. Ähm wie gesagt, mit Begrenzung auf Hessen, um ganz einfach mittels äh,abgehangener FDP-Technologie, äh, die diese Wahlergebnisdateien zu verändern. Ähm, dabei ist noch eine, also, da ist eine weitere Schwachstelle bei relevant, nämlich, dass diese ähm,Wahldateien, die da hochgeladen werden, nicht signiert sind, was es ebenfalls eben ermöglicht, dass eine Manipulation dieser Dateien,nicht auf technische Weise festgestellt werden kann. Also ähm,Thorsten Witz wird es mal erklären, äh wir haben das Kapitel ja zusammengeschrieben,zu äh Integrität, Authentizität und Verschlüsselung.
Thorsten Schröder 0:31:03
Ja, also man muss sich halt überlegen, was für Probleme will man lösen bei der Übermittlung von Wahldaten brauchen wir uns vielleicht eher weniger um die Vertraulichkeit der Daten zu kümmern, das heißt,Wir brauchen keine Verschlüsselung der Daten, die halt sicherstellt, dass da unbefugte keinen Einblick äh gewinnen können. Ähm.Was.
Linus Neumann 0:31:28
Schlüssel ist eher Unsinn. Also es ist nicht notwendig eigentlich.
Thorsten Schröder 0:31:31
Na ja, Unsinn ist es jetzt nicht, aber es ist halt ähm wenn ich das Problem der Integrität lösen möchte, dann habe ich am Problem vorbei entwickelt, wenn ich da einfach nur eine Verschlüsselung drumherum baue,Ähm bei Wahldaten möchte ich ja eigentlich sicherstellen, dass die Daten authentisch sind, wenn sie beim Gegenüber ankommen, beziehungsweise wenn ich sie empfange, möchte ich wissen, ob sietatsächlich von der erwarteten Person stammen und ob sie unterwegs modifiziert wurden oder irgend an irgendeinem Punkt modifiziert werden wurden. Und dafür gibt es natürlich auch kryptographische Verfahren, um das sicherzustellen. Das sind dann eben,digitale Signaturen und Prüfsummen, die darüber gebildet werden könn,aber eben nicht die Verschlüsselung.Modernen Kommunikationssystem setzt man.Meistens auf 'ne Kombination aus Verschlüsselung und Signatur,einfach gleich mit einem Rutsch alle Probleme zu erschlagen, also eben nicht nur die die Authentizität und die Integrität der Daten zu gewährleisten, sondern auch die Vertraulichkeit, auch wenn's nicht unbedingt notwendig ist,Ja und äh in dem Fall äh hat sich das hier in vielen Fällen ja gezeigt, dass,oftmals die falschen Herangehensweisen gewählt wurden vom Hersteller, um die Daten eben vor Manipulation zu schützen.
Linus Neumann 0:32:53
Genau, Manipulation von Daten ähm spielt auch im,weiteren Verlauf des Uploads eine Rolle, also ähm die später dann an die statistischen Landesämter übertragenden Daten ähm,werden haben also ebenfalls keine Signatur und keinen Integritätsschutz oder sonstiges. Ähm,was also jeden Empfänger von Daten und eben auf der untersten Ebene haben wir eben potentiell siebzigtausend Datenquellen,Bei jedem Empfangs ähm Vorgang äh den Empfänger vor das Problem stellt, dass er kein.Beweis dafür hat, dass die Daten echt sind von dem Absenderstamm und nicht verändert wurden.
Thorsten Schröder 0:33:35
Wenn der Empfänger A von einer Person B, eine Datei, die mit dem Passwort Test verschlüsselt wurde, empfängt und eine Datei,von der Person C empfängt die auch mit dem Passwort Test verschlüsselt wurde, kann eben dieser Empfänger nicht wissen wo das eigentlich herkommt.
Linus Neumann 0:33:55
Und das ist ein fundamentales Problem für äh für diesen Wahlablauf hier, ja?
Thorsten Schröder 0:34:01
Also das ist eben vor allen Dingen, wenn man wenn man dann eben diesen Irrtum aufgesessen ist, dass wenn eine Datei verschlüsselt ist, dass man sie dann nicht manipulieren kann, ne? Wenn ich das Passwort kenne,die für die Verschlüsselung genutzt wurde, dann kann ich ja eine Datei herstellen, die anderen Inhalt hat, aber trotzdem korrekt verschlüsselt wurde.
Tim Pritlove 0:34:20
Also man nimmt halt einfach die, die man haben möchte, verschlüsselt die und dann ist es sozusagen genauso in Teger.
Linus Neumann 0:34:27
Also das ist der, das ist der oder das ist das der fundamentale Grund, warum man überhaupt asymmetrische Verschlüsselungsverfahren nutz.Nutzen würde in diesem Fall, ja? Weil du eine Signatur anbringst.
Thorsten Schröder 0:34:40
Darüber kann ich halt sicherstellen, dass eben die Authentizität sicher so äh korrekt ist, genau.
Linus Neumann 0:34:47
Ja und ähm dieses Problem hat sich dann noch in weiterem ein bisschen weiter ausgebreitet. Nachdem ähm Martin ähm diese Probleme dem in Hessen gemeldet hat,Wunder laut Betreiber Maßnahmen ergriffen und.
Tim Pritlove 0:35:06
Wem hast du dich denn gemeldet.
Martin Tschirsich 0:35:08
Ich hatte direkt mit dem Hersteller in was ich mit Herrn Berninger ein Telefongespräch und ihm das so berichtet und er hat dann äh Schritte eingeleitet, die ähm,Den IT-Dienstleister kontaktiert,und ähm dann lag das wieder der Ball anhand des IT-Dienstleisters in Hessen der E-Com da jetzt an den Stellschrauben zu drehen. Als erstes hat man natürlich diese öffentlichen,Zugangsdaten aus diesen Konvigrationsdateien entfernt, also man hat diese Dateien alle vom Netz zumindest versucht alle vom Netz zu nehmen. Das hat dann zwei Anläufe gebraucht.Dann wurde überlegt ähm ob das jetzt ausreicht. Wir haben ja schon gesagt, dass ähm die Daten ja,verschlüsselt waren. Dazu brauchte man ja in der Tat das Originalprogramm oder Teile der Originalsoftware, er muss entschlüsseln. Die wurden auch aus dem Netz genommen, aber auch nur zum Teil,Damit wurde es also schon mal auf Seiten des IT-Dienstleisters abgehakt. Wir haben das jetzt gelöst und dann wurde noch versprochen ähm wir schauen mal, dass wir diese FDP Sache sicherer machen, dass wir S FDP einsetzen und auch vielleicht kriegt dann jede Gemeinde ein eigenes Passwort.
Linus Neumann 0:36:15
Jede jede gemein.
Thorsten Schröder 0:36:16
Fortschritt nicht aufzuhalten.
Tim Pritlove 0:36:20
Jede Gemeinde hier eigentlich.
Linus Neumann 0:36:22
Jeder, jeder nur ein Kreuz.
Thorsten Schröder 0:36:24
Das kostet.
Linus Neumann 0:36:26
Ähm na ja, dass jede Gemeinde ein eigenes Passwort und ihr eigenes Gefängnis auf dem FDP-Server kriegt, ähm würde ich sagen, ist jetzt so eine Mindestvoraussetzung. Äh die Verwendung von S FDP schützt also dann auch,dort verwendeten Passwörter das Problem, das Dritte immer noch in der Lage sein können, Dateien zu manipulieren,Ähm wird dadurch aber nicht gelöst. Und dieses Problem existiert eben ähm eher auf Seiten des Betreiber, also des Herstellers. Ähm,Wort-IT ähm als auf Seiten der der Ecom einundzwanzig. Also man könnte sagen, Ecom einundzwanzig hat jetzt alles gemacht, was in ihrer Macht stand.
Martin Tschirsich 0:37:09
Richtig, also Ecome einundzwanzig ist ja die Dienstleister, der das Produkt quasi vertreibt und die Infrastruktur dafür bereitstellt,Produkt selber muss ja in gewisser Art und Weise wird ja direkt vom Hersteller gepflegt. Zum Beispiel werden Updates verteilt, dann bundesweit an alle Anwender von dieser Software,und ähm auch die ähm möglichen Sicherheitsmerkmale dieser Software müssen ja vom Hersteller eingebaut sein,Ja, also nachdem das passiert ist und ich da Kontakt hatte, es war natürlich wie, als hätte man nur seinen Wespennest gestochen. Da denkt man sich, okay, was ist denn noch alles da äh,im Argen, wenn das schon so offensichtliche Mängel gibt. Ähm ja, dann,Problem ist, dass wir hier in sechzehn Bundesländern ähm sehr viele unterschiedliche Wege der Wahlauswertung haben. In Hessen beispielsweise gibt es dann noch eine zweite Übertragungsart. Das geht dann in das sogenannte Wahlweb in Hessen,Das wird auch aus Pizziwahl heraus werden da Ergebnisse direkt an das statistische Landesamt in Hessen übermittelt. Also es gibt zwei Übertragungswege, den einen, den wir eben beleuchtet hatten über diese FDP,andere direkt aus Peziva heraus, das ist eine Webanwendung, statistisch im Bundeslandesamt und ähm.Die scheint ja erstmal dann sicher, weil da geht es nichts über einen FDP Server und da gibt es dann allerdings auch wieder erstaunliche Dinge zu berichten.
Linus Neumann 0:38:34
Mach ruhig weiter, mach ruhig weiter.
Martin Tschirsich 0:38:35
Ja. Gut, ähm dann ähm,ist uns aufgefallen bei dann einer erweiterten Internetrecherche, die ist ein bisschen ausgedehnt wurde, dass ähm,dieser Server, der die Updates für PC Wahl bereitstellt. Hm, ja, das sind Eins und Eins Shadow Post. Also das ist ein ähm,öffentlich zugänglicher Webserver. Und den kann man sich natürlich ansehen, den haben wir uns auch angeschaut und ja der ist sehr, sehr ähm interessant für jeden, der mit einem speziellen Blick auf diesen Server.
Tim Pritlove 0:39:07
Was meinst du mit du hast ihn dir angeschaut.
Martin Tschirsich 0:39:09
Ja aufgerufen die Webseite des Programms.
Linus Neumann 0:39:13
Geguckt. Wir haben geguckt, was das so anbiete.
Tim Pritlove 0:39:16
Bisschen bisschen angeklopft sozusagen.
Martin Tschirsich 0:39:17
Richtig mal angeklopft, abgeklopft und ähm man kann von diesem Web äh die original Software beziehen,die ja eigentlich geheim gehalten werden soll oder auch muss, wie wir eben gesehen haben, weil sonst diese ganzen Prinzipien ähm,der ja sicher durch Geheimhaltung nicht mehr funktionieren. Und äh tatsächlich kann man von diesem Server die Originalsoftware herunterladen und dann habe ich die mal installiert, lokal,Und dann mal beobachtet, was macht die Software so? Mit was verbindet sich die Software, welche Möglichkeiten äh Datentransfer? Das Exports gibt's noch. Außer diesem FDP-Kanal, den wir schon gesehen hatten,und ähm,Das Interessanteste dabei ist die Update-Funktion. Diese Software hat eine automatische Update-Funktion und lädt sich ähm ja Update-Pakete von eben diesem Webserver herunter, über den auch,die Software vertrieben wird und ähm diese Update-Pakete haben ja dieselben Schwachstellen über die wir jetzt auch eben schon geredet haben, keine Signatur,ähm und auch keine nennenswerte kennenlernenswerten Schutz vor Manipulation.
Linus Neumann 0:40:19
Also vielleicht bleiben wir noch ganz kurz bei diesem Server, er hat was, äh, also dieser Server ist wirklich sehr kurios, ne?Ein ein kurioses,Element. Äh bei eins und eins gehostet auf so einer Büchse, wo fünftausendfünfhundertundsieben weitere Kunden von eins und eins ihre Dateien haben, was jetzt,kein Problem ist, aber das zeigt schon so, Weste, wenn du,Bereitstellen der Software,die irgendwie kritisch für die Wahlstimmen von dreiunddreißig Millionen Menschen ist, die noch nicht meinen eigenen Server gönnt, ja, sondern dich auf irgendwie, also ich meine, ich habeigenes Verwerben in der Mehrzahl. Und die haben, der teilt sich dann mit fünfeinhalbtausend Gammlern irgend so ein eins und eins Server, ja.
Thorsten Schröder 0:41:04
Im Volk.Das Bürgerbürgernahe.
Linus Neumann 0:41:10
Fünfhundert potentiellen WLAN.
Tim Pritlove 0:41:11
Also auf welche Art und Weise wird er geteilt? Wird er sozusagen nur die CPU geteilt oder liegt die Administration komplett dann wiederum beim Dienstleister. Also hat sozusagen den Dienstleister.
Linus Neumann 0:41:21
Das ist etwas, was mich da tatsächlich so ein bisschen verwirrt hat. Ähm also dieser Server-Wahlauswertung, die er hat schon so seine eigene IP-Adresse. Das ähm.Insgesamt liegen von einer derartigen wahrscheinlich CAD Food Konfiguration mehrere tausend auf einem auf einem auf einer Infrastruktur da. Also es ist jetzt es geht von den ganzen Schwachstellen, diedieses die dieser Server aufweist, keine unmittelbare Gefahr für die anderen fünftausend Nutzer aus. Das ist schon mal die gute Nachricht,Ähm.
Tim Pritlove 0:41:53
Die Frage ist, ob die anderen fünftausend Nutzer eine Gefahr für diesen Server darstellen können. Mhm. Also wäre es möglich, sozusagen innerhalb dieses Systems da auszubrechen.
Linus Neumann 0:42:02
Das wäre überhaupt erstmal die nächste Frage, weil wir waren erstmal damit beschäftigt davon aus dafür zu sorgen, dass der Server für sich selbst keine Gefahr darstellt, weil er ähm eine Reihe an ähm Schwachstellen aufwies,die es einem Angreifer erlauben, ähm dort Dateien zu extrahieren und auch Dateien hochzuladen. Was also das ist,Ja. Also du kommst langsam an den Punkt, ja, dass ähm,also das ist irgend so ein Server, der spricht da irgendwie harte TP und jetzt,dann lädt sich Software von da Updates und jetzt kannst du da Schwachstellen, wie du da Dateien hinschreiben kannst. Ähm, es gibt also jetzt irgendwie so langsam und im Wahlerlass steht drin, bevor hier die, bevor hier irgendeiner wählt, wird die Software geupdatet, jaDas heißt, dass hier echt ähm,geneigten Hörer wissen langsam wohin die Reise geht ähm aber Martin vielleicht willst du mal ganz kurz.
Martin Tschirsich 0:43:00
Ich will noch eine Anmerkung machen. Es wird von dem Lokal oder kommunalen IT-Dienstleistern eigentlich in allen Bundesländern damit geworben, dass sie in auf gesicherte Infrastruktur setzen, gesicherte Rechenzentren anbieten,Dann passiert eben sowas, dass der,goldene Schlüssel in alle Wahlstuben, also eben über diesen Update-Server für diese Wahlsoftware, äh dass der einfach komplett zu staub zu fällt, sobald Berlino einmal anschaut. Also das ist quasi der Haupteingang und den hat noch niemand sich angeschaut,Wenn man so eine Schwachstelle entdeckt, dann kann das n,dann hat da noch niemand drauf geschaut, niemand hat diesen Prozess manualisiert.
Linus Neumann 0:43:37
Also wir haben äh wir dokumentieren vielleicht noch kurz sagen, heute ist Mittwoch ähm dersechste September, äh, Thorsten, Martin und ich werden dann also morgen, am Donnerstag, wer noch diese Sendung erscheint, einen Bericht veröffentlicht haben und da werden jetzt allein auf diesem Server ähm vier,Schwachstellen dokumentiert, wovon drei es einem Angreifer ermöglichen, also beliebige Inhalte auf diesen Server zu laden.
Thorsten Schröder 0:44:05
Sharing is caring.
Tim Pritlove 0:44:07
Also wenn ich das richtig verstehe ist eure Einschätzung, dass dieser Server so äh porös istdass man sich äh dass man jetzt nicht viel Einfallskraft äh haben muss, um sich Szenarien auszudenken, wie man tatsächlich den Inhalt dieses Servers kompromittiertund damit dann potentiell die Software,die kurz vor der Wahl von allen Wahlkreisleitern nochmal heruntergeladen werden soll aus Sicherheitsgründen gegebenenfalls austauscht.
Thorsten Schröder 0:44:37
Durch 'ne sichere Version.
Tim Pritlove 0:44:39
Eine sichere Version, ja? Und dann fahren auch alle diese Software.
Linus Neumann 0:44:45
Ja, aber also weil weil da damit das ja nicht passiert, ja? Also du hast ja ähm in einem solchen Zustand äh würdest duVon einer Signatur Gebrauch machen, ja? Du würdest deine Software, also signieren und dein Update so gestalten, dass er nur signierte Softwareupdatesempfängt.
Tim Pritlove 0:45:05
Wie man das heutzutage in jedem Betriebssystem hat.
Linus Neumann 0:45:07
Und da hat dann der Torsten ähm sich das mal so ein bisschen angeschaut, wie das denn da so passiert, denn was kam da zum Einsatz zur Sicherung der Updates.
Thorsten Schröder 0:45:16
Eine selbstgeklöppelte Verschlüsselung.Die man noch nicht zuvor gesehen hat.
Linus Neumann 0:45:25
Da muss sie ja sicher sein.
Thorsten Schröder 0:45:26
Ganz geheim, ja. Ähm genau. Jetzt muss ich mal überlegen, wir haben ja so ein paar,Verschlüsselungs äh Algorithmen gefunden. Ähm,die sind alle alles andere als zeitgemäß. Ähm selbst wenn sie, also ich muss ein bisschen ausholen, diese Software, die diese Updates auch installiert, ja, die hat,im Grunde genommen die die Möglichkeit ordentliche Krypto zu machen, denn da sind teilweise Open SSL Librarys reingelegt, all die ganzen Kryptoprimitiven und Krypto-Routinen, die man braucht, um datensicher und zeitgemäß zu verschlüsseln oder eine Integrität zu verifizieren oder Authentizitätdie sind eigentlich da, aber,ähm statt einfach irgendwie so zweihundert Zeilen AES äh Referenzimplementierung zu benutzen, hat der Entwickler sich gedach,Das mache ich besser, in zehn Zeilen Code mit einem eigenen Algorithmus,Ja, was soll ich sagen? Erstmal ist er, hat er am Thema vorbei implementiert, dann wir wollen die Daten nicht verschlüsseln,Wir wollen sie nämlich zuerst irgendwie davor schützen, manipuliert zu werden durch Unberechtigte. Äh die Thematik ist ja gar nicht angegangen, das heißt diese Verschlüsselung war.Ja, ich sag mal so von der Zugfahrt von Kiel nach Berlin, da war die Krypto dann kaputt und ein paar Stunden später hatte ich dann halt auch äh ein Programm gebaut, was diese Update-Pakete,entpacken oder auch neu bauen kann. Um ein sichereres Update auch äh zum Beispiel zur Verfügung stellen zu kö.Wenn die, wenn die, wenn diese Software sicher dann mit dem Server verbindet, um Updates zu laden,dann äh bekommt es ja dieses verschlüsselte Paket und nehmen wir mal an dieses Paket wäre,nicht verschlüsselt, dann würde dieser Update-Mechanismus ja viel schlagen,weil diese Software eben keine sinnvollen Daten dann da aus dem,aus dem Paket extrahieren kann. Deswegen ist das ganz praktisch, wenn man eben ein ein Werkzeug hat, wo man diese Pakete auspacken kann, patchen kann und wieder zusammenbauen kann, um sie dann äh irgendwie auf die,Computer zu bringen, die in diesen Wahlkreisen ihren Dienst zu verrichten.
Linus Neumann 0:47:45
Weil das, weil das weil diese Software so praktisch ist, haben wir die dann jetzt auch auf Gitter veröffentlich.
Thorsten Schröder 0:47:50
Ja, natürlich. Ja ähm.
Tim Pritlove 0:47:57
Also um das mal kurz zusammenzufassen. Dieses Softwareupdate lädt eine Datei von besagten Server herunter, die istjetzt Erdwurz verschlüsselt mit einem selbstgestrickten Algorithmus, so dass da sozusagen ein Passwort verwendet wird, aber es handelt sich hier auch nicht um so eine asymmetrische Verschlüsselung, sondern sozusagen so eine symmetrische so, ja.
Linus Neumann 0:48:17
Die war glaube ich sogar ohne Schlüssel, ne.
Thorsten Schröder 0:48:18
Ja, ja, das die haben da verschiedene Sachen ähm auf diese Passwörter, die in den Konfigurationsdateien stehen, kommen wir ja vielleicht auch noch zu sprechen. Äh in diesem Fall tatsächlich,war das ein Verschlüsselungsalgorithmus, der ja,symmetrisch ohne Kie, also einfach nur.
Tim Pritlove 0:48:38
So wie Buchstaben, so Rot dreizehn, so so Buchstaben verschieben im Prinzip. So in die Richtung.
Thorsten Schröder 0:48:41
Also das basiert halt auf einem Counter, der halt in dieser Decription oder Encryption Routine einfach eben modifiziert wird und dann als Key in diese Verschlüsselung einfließt.
Tim Pritlove 0:48:53
Ah, aber gab's denn irgendeinen Mechanismus anhand derer die Software hat feststellen können, dass vielleicht die Datei nicht richtig heruntergeladen wurde oder so.
Thorsten Schröder 0:49:01
Ähm.
Tim Pritlove 0:49:02
Kann ja auch schon mal passieren.
Thorsten Schröder 0:49:04
Ich weiß jetzt nicht genau, ob die da auch.
Martin Tschirsich 0:49:06
Der Tat, es gibt da verschiedene,Das ist interessant. Dem Anbieter ist das anscheinend bewusst dieses Risiko. Es gibt ähm eine äh Prüfsumme, die veröffentlicht ist auf der Webseite,dieses Update beziehungsweise darin enthaltene Datei haben soll. Allerdings zu dem Zeitpunkt, dass wir uns angeschaut hatten, gab's noch keine ähm Beschreibung, wie denn diese Prüfung me verifiziert werden soll.
Thorsten Schröder 0:49:28
Ja, aber die Prüfsummen, die beziehen sich dann auf die einzelnen Executivals nicht wahr und nicht auf die Update-Pakete. Und das ist natürlich teilweise ein bisschen ähm.
Martin Tschirsich 0:49:37
Ja, deswegen ist ein Versuch, das Risiko war bekannt, aber getroffen bin ich.
Linus Neumann 0:49:41
Thorsten, wir haben uns noch gewundert, warum die zweimal gezippt sind, will der vielleicht gegen, also Zip-Archive erkennen, würdest du ja eine einen Bit Flip erkennen? Vielleicht ist es das der Grund, warum wir Nummer.
Thorsten Schröder 0:49:52
Nein, nein, das glaube ich nicht. Das ist einfach nur, ich weiß auch nicht.
Linus Neumann 0:50:00
Gibt's so einige Sachen, die sich uns also vieles hat sich uns nicht so ganz erschlossen, warum das gemacht wird.
Thorsten Schröder 0:50:06
Also aber, ne, dieser Verschlüsselungsalgorithmus für diese Update-Pakete ist auf jeden Fall definitiv so ein Fall von,Zeitbombe, weil ähmeben diesen ganzen Prinzipien äh ja die wurden halt ignoriert, dass man dass die Sicherheit des Systems eben nicht auf der Geheimhaltung eines Verschlüsselungsalgorithmus beruht, sondern im besten Fall auf der Geheimhaltung eines privaten Schlüsselsund äh in diesem konkreten Fall haben wir nicht mal einen privaten Schlüssel, sondern einfach nur,paar X-Ohrs und ein paar Accounter, die inkrementiert werden und das war's.
Linus Neumann 0:50:43
Und all dieses Wissen, ne, liegt ja mit dem Update-Programm. Das hatten wir. In der, in der Hand des Nutzers, ja?
Thorsten Schröder 0:50:47
Das hat jeder, also ja, jeder, jeder, der diese Datei runterladen kann, kann sehr, sehr schnell herausfinden, wie diese Dateien fair oder entschlüsselt.
Martin Tschirsich 0:50:58
Soweit ich weiß, dient dieser Pseudoverschlüsselung auch nur dazu, ähm dem Lizenz äh gemäßen äh äh Verbreitung dieser Software halt äh Einhalt zu gebieten. Also, dass man nur, wenn man berechtigt ist, berechtigt ist,Software installieren kann und updaten kann. Das war glaube ich der der Sinn hinter dieser Verschlüsselung. Gar nicht mal Überlebung.
Thorsten Schröder 0:51:19
Überhaupt kein, kein, kein Schutz vor Manipulation, überhaupt gar nicht vorgesehen.Man kann ja so eine so eine so eine Pakete, die können ja an verschiedenen Punkten manipuliert werden, die können manipuliert werden, wenn sie auf diesen Webserver liegen, der vielleicht von fünftausend anderen Benutzern mitgenutzt wird und Schwachstellen aufweist, für die man nicht selber verantwortlich ist,diese Pakete können durch mähnende Mittelanggriffe modifiziert werden, also in dem Moment wo,jemand zum Beispiel mit seinem Wahlkreis äh Computer über irgendein offenes WLAN,ähm ja Opfer von nebenan wird ja diese Kommunikation abfängt und dann gezielt auch die Daten manipuliert. Oder was sich irgendein,Wahlkreisleiter, der sehen, der den Wahlcomputer mit nach Hause nimmt und bei sich im WLAN dann irgendwie updatet oder so, wo vielleicht die Nachbarn oder irgendwelche Script-Kiddies auch Zugriff aufs WLAN haben. Das sind halt so die Szenarien, wo diese,konkreten Mähnen, Mittelangriffe oder ebenso, wo man dann irgendwie die diese Domain umleiten kann. Das ist dann halt sehr realistische Szenarien,wo das passieren kann.
Linus Neumann 0:52:24
Tja und mit damit waren wir.
Thorsten Schröder 0:52:26
Ah wir haben noch einen anderen gefunden, also weil es halt gefunden, wir haben's natürlich nicht ausprobiert, aber es ist ja auch denkbar, gerade, weil ja jetzt,alle aufgesprungen sind und Panik schieben, dass jetzt hier was gemacht werden muss, kann man natürlich auch,E-Mails verschicken als Bundeswahlleiter und an alle Landeswahlleiter schreiben, hier pass mal auf im Anhang dieser E-Mail, dass halt ein Update-Paket ein Zip,Sorgt bitte dafür, dass es auf einem Wahlkreis Computern installiert wird.
Tim Pritlove 0:52:53
Diese Funktion befindet sich in der Software.
Thorsten Schröder 0:52:55
Nö, aber das kann ich ja so machen, also Social Engineering ist ja irgendwie dann nochmal so ein Ding. Da kann der, da kann ja die Firma nichts dafür, die diese Software entwickelt hat, wobei.
Tim Pritlove 0:53:05
Dachte jetzt, das wäre so eine Funktion eingebaut.
Martin Tschirsich 0:53:07
Tatsächlich, es gibt die äh Funktion des manuellen Softwareup.
Thorsten Schröder 0:53:10
Ja, da dann lädt man sich das halt von einem mit einem Webbrowser runter und installiert das halt manuell. Also die manuelle Installation ist vorgesehen, so dass man tatsächlich auch einfach mal sagen kann, so.Und in der Zeitung stand, dass das alles unsicher ist und wir jetzt dringend Updates einspielen müssen, das hat der Bundeswahlleiter gesagt und jetzt schickt der mir eine E-Mail, dann installiere ich das jetzt mal schnell.
Linus Neumann 0:53:31
Also wir haben zu diesem nur mal kurz al.
Thorsten Schröder 0:53:32
Plausibel dann, oder? Also.
Linus Neumann 0:53:34
Zwischenstand ähm drei Sicherheitslücken gehabt, muss man dazu sagen,es ermöglicht haben auf diesem Update-Server Dateien zu platzieren. Äh wir haben,bestehende Sicherheitslücken, die es uns ermöglichen,Softwarepakete zu bauen, die von dem Update-Paket,problemlos installiert werden, jetzt fehlt eigentlich noch die Möglichkeit, na ja, wie wollen wir denn die Wildsoftware manipulieren,Aber auch dafür gibt es natürlich eine eine Lösung. Also man muss dazu sagen die Einsatzbedingungen dieser Software sind ja ohnehin haarsträubend, ja? Also es wird zum Beispiel nicht empfohlen, dass,ähm an jeder einzelnen Stelle, wo jemand in diese Softwaredaten eingibt, auch eine Installation von PCWal,liegt, sondern es wird empfohlen im Sicherheitskonzept, ähm dass dieses Binary Picival über einen Fallserver im im Netz freigegeben wird, ja? Das heißt, alle führen diese Datei,von diesem Fallserver aus. Ähm,Und das hat dann diesen Programmierer auch vor große Herausforderungen gebracht, weil wenn mehrere Leute in dem gleichen Arbeitsverzeichnis gleichzeitig arbeiten, dann musst du natürlich aufpassen, dass die nicht gleiche Operationen machen, das heißt, der schreibt dann auch immer so auf die Festplatte.Welch das gerade, was weiß ich, Wahlkreis wohnt so bearbeitet wird, ja? Und dann kannst du mit einer zweiten Instanz,diesen Wahlkreis nicht mehr bearbeiten, ja? Weil, weil eben potenziell dieses Multi-User-System jetzt in das Fallsystem eines Falls übertragen werden muss.
Tim Pritlove 0:55:10
Das so neunziger Jahre Servertechnologie.Ja, so habe ich das damals schon gemacht, also.
Thorsten Schröder 0:55:17
Die Neunziger haben mehrfach angerufen, während wir uns das hier angucken. Wollten alles wieder.
Linus Neumann 0:55:23
Ihr wollt noch ihre wieder.Das Workout in der das Wort in der in der Hand. Nein, bleiben wir er,ähm jetzt hast du jetzt hast du dieses,Problem, da werden also jetzt wieder die Dateien geschrieben. Das heißt also jetzt auch wieder, du kann,Ähm allein schon hier wieder mit all deinen Nutzern quasi DateienWenn er jetzt mehrere Nutzer in einem Arbeitsverzeichnis arbeiten, hast du wieder das gleiche Problem, wie mit diesem FDP-Server, ne, dass du Wahlkreis A hat ein G oder Wahllokal A hat eingegeben, dann gehst du einfach hin und editierst die wieder. Ja, das ist ja alles im im freien Netzdass es in deren Sicherheitskonzept so empfohlen, aber ähm ähm lassen wir das. Ähm das Entscheidende ist, ähm,All diese Angriffe, wenn man jetzt in dieses Arbeitsverzeihniss von PC Wahl gehen würde, dann würde ja beim Upload an die nächste Stelle, ja oder beim Export der Dateien in einem bestimmten Format werden die ja nochmal angezeigt.Und ähm nun wäre ja äh.
Tim Pritlove 0:56:24
Auf dem Bildschirm bevor sie versendet werden.
Linus Neumann 0:56:26
Es wäre das Argument natürlich gewesen, haha, äh ja, ihr könnt die Dateien verändern, aber,unsere Wahl, wir gucken ja auf jede Zahldas fällt ja sofort auf. Niemand denkt jemals darüber nach, was ihr und dann, was macht ihr denn dann, ne? Jetzt fällt euch am Wahlabend auf, dass die ganze ganze Mist nicht mehr stimmt und ihr und eure und und ihr sitzt da mit euren Zelten und wisst nicht, was ihr machen sollt.
Tim Pritlove 0:56:47
Kann ich dir sagen, was was äh so Bediener machen, wenn sie da feststellen, dass eine Zahl falsch ist.
Linus Neumann 0:56:51
Hello IT.
Tim Pritlove 0:56:52
Das schicken's einfach trotzdem.Also ich meine, das ist so die die Standardprozess, wenn es geht. Ja, dann dann machst du das einfach, weil ja im Zweifelsfall die Bediener ja auch davon ausgehen müssen, dass sie irgendwas nicht richtig verstanden haben.
Linus Neumann 0:57:07
Genau, da kommen wir auch das davon müssen die Bediener bei der Software sowieso ausge.
Tim Pritlove 0:57:11
D, also dass sie selber sozusagen, also man diese Wahrnehmung, ich meine das jetzt gar nicht so als Witz oder soauch als Beobachtung von so äh Nutzern, komplexer Systeme, die dann in so einem kurzen Moment auf einmal so einen auffälligen,äh ja hier. Ich meine, die meisten Fehlermeldungen werden einfach weggeklickt und so sehr viel mehr als,eine Fehlermeldung ist das dann in dem Sinne auch nicht und wenn halt die Software nicht aktiv,anfängt die Rollen herunterzulassen und irgendwie Hillium in den Raum zu,grün, ja, dann dann wird da halt irgendwie auch nichts getan, sondern da wird er einfach drauf gesendet und weg ist es.
Thorsten Schröder 0:57:44
Die gehen ja auch sehr inflationär mit irgendwelchen Meldungsfenstern um, ja? So schon, wenn man sich anmeldet, wird man begrüßen, geht ein Fenster aufHallo Herr Schmidt, es ist dreiundzwanzig Uhr zweiundvierzig und fünfunddreißig Sekunden, heute ist der fünfte neunte,sie sind irgendwie das letzte Mal haben sie sich dann und dann angemeldet und heute sei.
Linus Neumann 0:58:05
Wollen sie ein Update runterladen.
Thorsten Schröder 0:58:06
Heute ist ein schöner Tag.
Linus Neumann 0:58:09
Und wollen sie nicht ein Update.
Thorsten Schröder 0:58:10
Wollen sie nicht ein Update machen oder in der aktuellsten Version wird er sogar auch noch angeboten, dass man einen Selbsttest durchführen kann?
Linus Neumann 0:58:19
Dazu kommen wir gleich noch. Jetzt, also jetzt kommt der, jetzt knallsch nicht. Träume ich oder wach ich,Aber jetzt kam, also jetzt kam der letzte Teil der Übung. Also wenn du mit solchen ähm sage ich mal hm,in der in der Kommunikation und ähm und auch in den Reaktionen, äh die also in der, also wir haben.Mehrere Probleme wurden ja zeitnah dann auch äh dem Hersteller gemeldet,wir konnten hier in den letzten Wochen zusehen wie ähm jeden,irgendein Softwareupdate kam, ja? Ähm.Wenn du mit solchen Leuten zu tun hast, ja? Und dann auch siehst, wie was sie dann da implementieren, dann ist es besser, wenn du ein anderes Szenario baust, wo keine Warnmeldungen mehr kommen. Und weil das dann würde halt, also dieses Argument kannst du einfach nicht auf dir sitzen lassendas ist 'ne erwartbare Falle, dass so irgendwie sortiert ist, ist alles,sage ich mal so noch nicht ganz ausgereift. Trotz dreißig Jahren Entwicklungszeit. Ähm, da müsst ihr nochmal ran. Und dann wird gesagt, ja aber da kommt ja hier ein Fenster, ne? Und deswegen muss da also jetzt ein Angriff her, der der kein Fenster hat.
Thorsten Schröder 0:59:35
Es sind immer die besten Reaktionen von Entwicklern, wenn man als Sicherheit,Forscher da ankommt und sagt ihr habt da ein Problem, dann heißt es oft ja aber umso häufiger man ja aber hört, desto wahrscheinlicher ist, dass es halt alles noch viel kaputter wird, wenn die das dann anschließend verschlimmbessern.
Linus Neumann 0:59:54
Und du willst vor allem halt auch echt nicht ja aber sagen und so einen Typen wie den Torsten, damit ärgern, ja? Weil dann guckt der nach. Und das haben äh Martin und Thorsten dann noch weiter gemacht und haben also eine,eine Möglichkeit der Manipulation gefunden. Ähm vielleicht wollt ihr das mal ganz kurz zeigen, was was da ist oder erklären, was da das Ergebnis ist.
Thorsten Schröder 1:00:14
Der Martin kann der gleich mal irgendwie.
Martin Tschirsich 1:00:16
Ich mache mal den Anfang und ähm gib dann ab. Ähm,dieses Jahr aber da braucht man halt jemanden, der dieses Aber einwirft, weil wir sind alle Wahlunerfahren, also keiner von uns hat die Position ist Wahlamtleiters besetzt deswegen sind wir da zu einem gegangen in Hessen und ähm,haben dann mal präsentiert. So, nach und nach, was denn alles möglich ist mit dieser Software und gefragt, wäre ihnen das aufgefallen, oder? Wie hätten sie das verhindert? Oder hieß es da immer, ja.Ja aber. Ja. Und ähm wenn man nach der Bundeswahlordnung geht,ist eigentlich recht klar, wo man da überall manipulieren könnte. Aber in der langjährigen Praxis eines Wahlamts ähm weiteres gibt es natürlich noch ein paar Tricks,die dann auch in diesem aber erwähnt werden, zum Beispiel, dass Schnellmeldungen erstmal niedergeschrieben werden und dann erst eingetippt werden, dann kann man nachher nochmal mit der Vorlage vergleichen, ähnliches.Und dann hatten wir die Idee, okay? Ja, was ist denn, wenn wir denn alles richtig anzeigen? Du gibst die Daten ein und,alles ist Friedefreude, Eierkuchen und dann exportierst du das halt auf die nächsthöhere Ebene,Die Meldung wird dann weitergegeben an die Kreisebene Landesebene. Und genau da sitzt dann die Manipulation an, da wird dann sozusagen unter der Hand ein Zahlendreher eingebaut,Ergebnisse mal von der CDU und der SPD vertauscht, exportieren lassen,gefragt, ja was machen sie denn jetzt? Und dann ja, so übertrage ich das jetzt auf die Landesebene,und dann werden die Ergebnisse automatisch noch zwei Minuten im Internet freigegeben.Der Webseite des statistischen Landesamts präsentiert und der Weltöffentlichkeit zur Verfügung gestellt,und unbemerkt äh war in dieser Detail Zahlenträger eingebaut.
Tim Pritlove 1:01:53
Wie hast du jetzt diese Dreher äh.
Martin Tschirsich 1:01:56
Das ist genau das Szenario, über das wir vorhin geredet hatten, dass wir diese Updates angreifen. Also.
Linus Neumann 1:02:02
Also so bringen wir das Update an, äh der entscheidende Punkt ist erstmal, wie ist das Binare verändert worden, dass es die ganze Zeit die richtigen Ergebnisse anzeigt und erst beim Export die Dateien änder.
Martin Tschirsich 1:02:12
Das ist ja kein großes Problem, weil dieses PC war äh sehr modular aufgebaut ist und jedes Bundesland hat seine eigene Exportschnittstelle. Man muss eigentlich nur diese Exportschnittstellen bearbeiten. Die Datenhaltung in dem Programm, die interessiert nicht,solange wir ähm an der Ausleitung der Daten manipulieren,Und genau das haben wir gemacht und ähm dass wir er auch nicht auf da gab's kein Aber.
Linus Neumann 1:02:33
Nee, da da war nix, aber.Und damit hattest du jetzt also einen vollständigen, damit war der Angriff jetzt wirklich komplett,Server übernehmen, Updates ausspielen, da an zentraler Stelle, ja? Also die, das wäre jetzt also dannÜberall wo PC Wahl eingesetzt wird, hättest du dieses Softwareupdate ausrollen können und dann eben mit einer Manipulation, die auf deiner Ebene des Bearbeiten, den zu keinem Zeitpunkt jemals irgendeinen Hinweis gibt, dass etwas nicht stimmtund final einfach andere Ergebnisse hochlädt. Damit war der Drops dann gelutsch.
Thorsten Schröder 1:03:08
Das können wir dann Quellen TKM nennen, Quellen, Telekommunikationsmanipulation und äh damit hätten wir quasi genau den Kanal, der dann rausgeht, manipuliert, ohne dass der Sender davon mitbekommt.
Linus Neumann 1:03:22
Dann waren wir fertig. Haben wir gedach.
Thorsten Schröder 1:03:24
Und da.
Linus Neumann 1:03:28
Haben wir gedacht. Jetzt hast du es natürlich mit noch so weiteren ja aber zu tun, weil äh wir ähm,schon relativ früh in diesem, in diesem Projekt ja auch mit äh mit der Presse zu tun hatten,und ähm was die Presse ja dann so in solchen Situationen macht, die können ja nicht einfach glauben, dass wir äh sowas äh,kaputt machen, sondern die stellen dann natürlich Fragen. Sagen, stimmt ist das? Ihre Softwareupdates nicht signiert sind. So und dann kannst du dir ungefähr vorstellen, wieder in wo sitzt diese Wood IT.
Martin Tschirsich 1:04:07
In Hessen.
Linus Neumann 1:04:08
Ja? Also wie dann da irgendwie äh schnell mit den Füßen geschart wird. Und am nächsten Morgen hast du dann halt so ein Softwareupdate auf PC Wahl DE liegen.
Thorsten Schröder 1:04:17
MD fünf.
Linus Neumann 1:04:19
Da standen dann so so schöne Sachen drin wie ähm ja, jetzt jetzt äh Integritätssicherung mit MD fünf.
Thorsten Schröder 1:04:26
Zweitausendsiebzehn haben sie MD fünf eingebaut.
Linus Neumann 1:04:30
Ja, also MD fünf, vielleicht ganz kurz ist also.
Tim Pritlove 1:04:34
Erklären warum das so schlechte Idee ist.
Linus Neumann 1:04:36
Also der MD fünf ist ein ähm ein äh Prüfsummenalgorithmus, der äh zur Integrität, zur Integritätsprüfung von übermittelten Informationen, egal welcher Genese.
Thorsten Schröder 1:04:49
Ja oder für alle möglichen kryptographischen Protokolle wurde das genutzt.
Linus Neumann 1:04:52
Stimmt also zur Absicherung von Zertifikaten oder so. Also prüfsumen Algorithmus. Der allerdings, äh, der dir einerseits sagen kann oder der dem mit,mit seiner abzüglich seiner ähm mit einhundert Prozent Minus seiner Kollisionswahrscheinlichkeit sagen kann, dass es sich um die Datei handelt.
Thorsten Schröder 1:05:10
Möglicherweise um die Datei an.
Linus Neumann 1:05:12
Möglicherweise um die Datei oder eine ihrer Endkollisionen handelt, die du haben möchte.
Thorsten Schröder 1:05:16
Datei oder eine andere.
Linus Neumann 1:05:18
Und das Ding ist seit zweitausendeins kaputt oder so.
Thorsten Schröder 1:05:20
Du hast lange kaputt, das BSI hat ja in hat ja so einen IT-Grundschutz,Buch, da gibt es ein Kapitel, das wird mit sich der Kryptografie und da wird sehr explizit davon abgeraten, MD fünf zu benutzen in kryptographischen Verfahren und da wird auch davon abgeratenselbstgeklöppelte Kryptografie zu benutzen, aber.
Linus Neumann 1:05:42
Seit zweitausend, seit zweitausendfünf ist das kaputt. Ja, also seit seit zwölf Jahren kaputt und so eine, so eine Cashfunktion hast du im Prinzip, also die ist dann kaputt, wenn es einem Angreifer gelingt, eine im mit überschaubarem Aufwand, eine Datei,einer gleichen ähm Prüfsumme zu generieren, ja? Also du hast eine vorgegebene Prüfsumme,in dem Fall, die das dieses PC Wahl-Updates und ähm,Du äh bist deine Aufgabe, besteht jetzt darin eine alternative Datei zu bauen, die die gleiche Prüfsumme hat, ja? Als.
Thorsten Schröder 1:06:14
Katze auch die Prüfsumme modifiziert wird ja auch runtergeladen vom vom gleichen, sag mal.
Linus Neumann 1:06:19
Genau. Genau, das also das diese Schwachstelle kann denen nämlich völlig egal sein.
Thorsten Schröder 1:06:25
Weil das Verfahren einer Prüfsumme völlig ungeeignet ist.
Linus Neumann 1:06:29
Weil weil das Verfahren einer Prüfung ungeeignet ist, weil jeder diese Prüfsumme errechnen kann, ja? Und jetzt müsste es also quasi der Angreifer in diesem Fall ist also nun nicht nur gezwungen,eine Datei, ein ein Softwareupdate zu manipulieren, sondern er müsste abschließend dann auch noch,Die MD fünf Summe seines Softwareupdates errechnen, was mit eine,Befehl im Ferminal geht und diese neben seinen Softwareupdate in die gleiche Zip-Datei legen.
Thorsten Schröder 1:06:55
Aber jetzt mal unter uns.
Linus Neumann 1:06:57
Quatsch unter uns, wir sind hier nicht unter.
Thorsten Schröder 1:06:59
Ich verrate ein Geheimnis, wenn ich schon in der Lage bin, die Software zu modifizieren, um Wahldaten zu verändern, dann patche ich vielleicht einfach die Routine raus, die irgendwas mit MD fünf checkt.
Linus Neumann 1:07:13
Also du könntest sie rauspatschen, aber es ist, also es stellt vor allem, es ist einfach überhaupt keine wirksame Hürde,weil der Angreifer ist ja unten. Also wenn der Angreifer in der Lage ist, dir eine die Datei zu manipulieren, dann ist er genauso gut in der Lage, die dazugehörig im gleichen Zip-Archiv liegende ähm MD fünf Summe zu manipulieren. Also eine absolut,wie unwirksame, unsinnige Maßnahme, ähm deren Motivation sich uns auch wirklich nicht.
Thorsten Schröder 1:07:41
Ja die die Motivation kann ich mir schon vorstellen, das ist halt so lustig äh lustig umgesetzt worden.
Linus Neumann 1:07:50
Also stets bemüht.
Martin Tschirsich 1:07:52
Bevor wir jetzt vielleicht zu sehr bashen, muss man dazu sagen, dieses Programm wird von einem einzigen Entwickler entworfen und ähm das ist natürlich ein viel zu großes Gebiet. Das ganze Kommunalrecht Wahlrecht,Programmierung dann über dreißig Jahre Pflege, Software, Pflege, Support, das kann eine Person ja gar nicht allein leisten. Also sollten wir den Fehler hier vielleicht eher in den Prozessen sehen und in dieser Galanzprozesskette,Oder überhaupt der Tatsache, dass eine Person für dreiunddreißig Millionen Bürger verantwortlich ist, um die Wahrheit Sicherheit zu garantieren.
Linus Neumann 1:08:19
Es ist glaube ich auch aus ähm,Ähm also wir haben von dem ein Bundeswahlleiter glaube ich die Information bekommen, ähm dass seit ich glaube Ende Juli,das Bundesamt für Sicherheit in der Informationstechnik,auch in dieser Sache aktiv ist, ja? Das heißt ähm,sagt das Problem ist ein bisschen mannigfaltiger, weil es eigentlich sich um eine Ländersache handelt, aber das BSI,scheint hier wohl nach Aussage des Bundeswahlleiters,behilflich zu sein und ähm wir können uns eigentlich nur vorstellen,hier äh der Rat des BSI nicht richtig,verstanden oder umgesetzt wurde. Ähm, entsprechend haben wir dann auch gestern tagsüber, also am fünften September dann nochmal bitter gezittert. Äh als es ein weiteres Update von PC Wahl gab,zu denen zu dem in den Release Notes einfach nur der ich würde fast sagen kryptische Kommentar,digitale Signatur gemacht wurde und wir haben halt dann ey, also wir saßen jetzt in einer Sekunde, haben sie gedacht, vor alles wäre jetzt wirklich ärgerlich. Ähm wenn,Wenn dir das jetzt richtig gemacht hätten, aber.
Thorsten Schröder 1:09:36
Sie haben so richtig falsch gemacht. Also zumindest haben sie sich bemüht. Sie signieren jetzt diese Bild mit einem äh Code Sining Zertifikat. Das war's,dann geben sie eine Anleitung, wie man da rechts klicken muss und auf Proporties klicken muss und auf Details, um dann zu gucken, ob das immer noch valide signiert ist. Das heißt, ob es äh,modifiziert wurde.
Linus Neumann 1:10:02
Was sie aber nicht machen, ist diese Zertifikatsprüfung bei der ähm beim Softwareupdate zu machen.
Thorsten Schröder 1:10:08
Die müssen den Installa signieren. Das ist der einzige Weg, den sie haben, um dort sicherzustehen, dass die Updates aus einer verifizierten Quelle kommen und nicht von mir.
Martin Tschirsich 1:10:18
Und soweit ich das verstanden habe, ist man jetzt zwar von MD fünf weg, aber immer noch nicht so ganz sicher dabei.
Linus Neumann 1:10:25
Ne, sie haben jetzt also,Es gibt auf jeden Fall ähm dann dazu von uns dann veröffentlicht ähm Videos, die äh zeigen wie,wer sein Softwareupdate angebracht wird, trotz richtiger,digitaler Signatur, weil eben das Softwareupdate nicht geprüft ist und wir so weiterhin in der Lage sind,eine bösartige Manipulation auch, eine gutartige Manipulation. Vielleicht ähm anzubringen.Anderes aber denke ich auch ebenso fundamentales Problem, was wir angesprochen haben, betrifft ja die ähm Authentizität der übertragenden Dateien, ja? Also auch da ähm werden,bis jetzt hoffentlich fast jeder verstanden haben, wäre es jetzt eine Prüfsumme nicht geeignet,die Urheberschaft einer Datei zu beweisen.Und auch da wurde aber auf uns gehört und das äh fand ich tatsächlich ganz witzig, weil äh ich weiß nicht seit wie viel Jahren oder Jahrzehnten der Chaos-Computerclub immer sagt, nutzt PGP.
Thorsten Schröder 1:11:34
Ja tatsächlich haben sie da was getan, um sicherzustellen, dass die Daten ähm verifiziert werden können auf Empfängerseite. Das heißt, sie haben da irgendwie noch eilig äh PGP Support reingehackt,Das heißt, sie setzen voraus, dass man sich äh GPG for Win installiert hat,und einen PGP Schlüssel hat und dann kann man beim Verschicken der Daten sagen, ich möchte das als AES verschlüsseltes Zipfeil verschicken,ich möchte, dass äh PGP verschlüsselt und signiert verschlüsseln äh verschicken oder im Klartext,verschicken, dann steht da noch in Klammer nicht empfohlen, ist ja schon mal positiv.Nun stellt stellen sich halt zwei Fragen.Die eine ist eine ganz organisatorische Frage, wie schaffen die das jetzt? Ich weiß ja nicht, wie viele Computer es da gibt, die dann an diesem System angestoßen sind, aber wie,sagen eigentlich die organisatorischen Prozesse, wie kommen diese ganzen,geheimen Schlüssel auf die Wald-PC Wahlcomputer oder wie kommen die ganzen öffentlichen Schlüssel,notwendig sind äh auf den zentralen Server, sodass der überhaupt erst in der Lage ist, zu verifizieren, ob die Datenvalide sind. Das ist ja die Grundvoraussetzung, dass der öffentliche Schlüssel.Des Senders beim Empfänger auch bekannt ist und dort auf einem vertrauenswürdigen Wege hingelangt ist. Äh über diese Prozesse wird halt nicht aufgeklärt, zumindest nicht öffentlich und das wäre mal ganz interessant,zu erfahren, wie das da eigentlich so gedacht ist.Dann liegt das halt nahe, dass sie eventuell einfach äh bei der Provisionierung einzelner Rechner, einzelner Systeme mit,Figuration vielleicht auch noch den Secret Key mit hinschicken, ein Secret Key, das ist dann eben der geheime Teil,bei so einer Verschlüsselungsmethode und der sollte auch irgendwie geschützt werden. Die sind ja dann oft mit einer geschützt,Diese Pastras muss man dann wissen, wenn man Dateien signieren möchte,diese Pastrass gibt man bei PGP, wenn man das bei E-Mail, Transfer,nutzt halt ein, wenn man dann eine E-Mail verschickt wird man danach gefragt und dann ist gut,So, in dem Fall wird man da einmal nachgefragt von der PCVI Software, die sagt halt so, ja, gib mal deine PGP ID ein, damit ich weiß, mit welchem Schlüsse ich signieren soll,Dann gib mal deine Pastrace ein, die ich brauche, um auf diesen geheimen Schlüssel zuzugreifen und dann gibt die Empfänger ID ein, an die die Dateien auch noch verschlüsselt werden sollen.Diese diese Konfigurationsdateien werden dann also Daten werden auch gespeichert in einer Ini, die auch auf der Festplatte liegt und.
Tim Pritlove 1:14:09
Wird da.
Thorsten Schröder 1:14:10
Paar wird da gespeichert, ohne dass der User überhaupt darüber in Kenntnis gesetzt wird und äh ja, die Passfrace ist nicht im Klartext in der Inniedatei, aber,da können wir nachher noch was sagen. Das wird dann noch besser, weil wir haben sie dann jetzt diesen PGP Support in ihr,Studio Echse reingehämmert. Man,das externe Programm benutzen, dann rufen sie, machen sie da halt einen neuen Prozess auf, machen irgendwie,Start Process und rufen PGP mit den ganzen Kommandozeilen Optionen auf. Man hätte auchPGPME benutzen können, einfach eine Library, die man damit dazulegt und dann gleich die ganze PGP-Funktionalität in nebenbin Resoul direkt als äh über eine AP nutzen könnte, aber sie haben sich dafür entschieden, lieber das GPG Punkt Exe auf der Festplatte zu callen, mit den Parametern,Minus Minus Patch Minus Minus Pastrace.Dann kommt die Pastrace, dann kommen irgendwie noch Resipent, also Empfänger und dann die Daten, die verschlüsselt und signiert werden sollen und so weiter.
Tim Pritlove 1:15:11
Sprich die Passflace wird sozusagen unverschlüsselt im Betriebssystem herumgereicht, um von einem Prozess zum anderen zu gelangen.
Thorsten Schröder 1:15:16
Das ist erstmal nicht problematisch die liegt ja eh immer irgendwo im Speicher, wenn man PGP gerade benutz,äh ist nicht weiter verwerflich, aber wenn man sich auch mal die PGP Manpage, also die Dokumentation von PGP anguckt,bei der, bei der, bei der Verwendung des Parameters Pastrace.Das ist nicht empfohlen, das darfst du nicht machen, weil nämlich diese Passfrace dann in der Prozessliste des Computers auftaucht und wenn da ein Multiuser System installiert ist, dann haben andere Benutzer über die Prozessliste einfach deine Pastfrace gesehen.
Linus Neumann 1:15:48
This is of very quest schnibble securit.
Thorsten Schröder 1:15:50
Very christ. Don't you,Offenbar konnte man das ja zweitausendsiebzehn nicht erwäuten, aber das ist eigentlich auch alles eher nebensächlich, weil,es ist jetzt nicht so, dass die Pastrace von dem Programm irgendwie im Speicher gehalten wird und dann kurz irgendwie einen Prozess gestartet wird und das danach alles wieder weg ist.Sie starten nämlich nicht PGP selbst, sondern sie schreiben diese ganze Kommandozeile mit jedem Aufruf einmal in eine Batchdatei.Diese Bettstadtei liegt auf der Festplatte und dann starten sie die Bettstattei. Das heißt, sie schreiben die Paarsrace mit der ganzen Kommandozeile in eine Datei auf dem Computer unverschlüsselt.
Tim Pritlove 1:16:34
Starten dann den besten Tag. Oh man.
Thorsten Schröder 1:16:34
Starten dann die Bachelorteile. Da, ich habe echt schon viel gesehen in meinem Leben, aber das ist schon sehr kreativ, um es mal so auszu.
Linus Neumann 1:16:46
Es gibt dir dann noch ein drittes, weil nochmal eben verschlüsselt in einer Datei, also somit bieten sich jetzt allein durch diesen einen Shakes, ja,nochmal drei weitere,Erneute Sicherheitslücken, das ist jetzt hier, ne? Also ich meine, ich finde das ja auch schön, dass die bemüht sind, da ihre Software zu verbessern. Aber es ist halt jetzt einfach nur ähm in unserem Bericht äh irgendwie anderthalb Seiten mehr und wir müssen das ja auch alles schreiben.
Thorsten Schröder 1:17:12
Das ist echt, das ist nicht fair.
Martin Tschirsich 1:17:14
Dazu noch eine Anmerkung vielleicht ist es ja nicht so, dass auf Seiten von PC Wahl allein äh dieses Signaturverfahren eingeführt werden muss,Empfängerseite vorhanden sein. Und da gibt es jetzt in jedem Bundesland ein anderes,in Hessen ist das sogenannte Wahlweb, dass diese Daten dann einliest.Diese Systeme können nicht mal eben so auf die Kürze geändert werden, alle noch drei Wochen vor der Bundestagswahl. Das heißt, man muss sich auch überlegen, wenn wir jetzt hektisch flicken an diesem Programm herumschrauben, machen wir die ganze Wahrfläche nicht nur unsicher, indem wir jetzt überall mit heißer Nadel herumarbeiten, an der,Software, auch auf Länderebene.
Linus Neumann 1:17:47
Des Weiteren ist hierzu ähm zu sagen, also die überhaupt das Programm oder die, die,Schule des PGP. Ähm zeichnet sich ja dadurch aus, dass sie nicht von einer zentralen Instanz ausgeht, nicht von einer zentralen Vertrauensinstanz, ja? Wenn wir irgendwie so gesagt hat, okay, wir wehren uns,gegen den Staat, ja? Und ähm was du eigentlich in diesem Zusammenhang machen würdest, um das,Ganze auch skalierbar zu machen. Äh wäre eine ganz klassische äh Public Key Infrastruktur, wo eine zentrale Stelle, sagen wir, das Bundesamt versichert in der Informationstechnik, wenn die Freunde aus Bonn eh schon gerade da vorbeilaufen,Ähm sagt, wir machen jetzt hier ähm eine CA, eine Surtificat Afority. Wir geben euch allen Kies. Wir signieren die und dann kann der Bundeswahlleiter oder wo auch immer ihr diesen Mist hinschickt.Mit einem Zertifikat,oder mit einem öffentlichen Zertifikat, die äh,die Autorisierung und Authentisierung von allen,all diesen Dateien überprüfen, ja? Du hättest alsoeinskalierendes System, was jetzt sage ich mal bei mir schwiert immer diese Zahl siebzigtausend rum, dienatürlich hier jetzt äh zu hoch wäre, aber von mehreren tausend Ergebnisquellen sprechen wir auf jeden Fall noch. Ähm hättest du also könntest du alle mit einem mit dem gleichen,ähm CA-Zertifikat prüfen, äh, während Sie sich jetzt das Problem erschaffen, dass Sie,einzeln eine eine schier endlose Anzahl von PGP-Schlüsseln verwalten müssen und wer jemals so ein PGP,Fingerprintvergleich gemacht hat, ähm, der weiß,was das, was das für ein Overhead bedeutet, ja? Und dieses System beim besten Willen skaliert einfach nicht.Und wenn du schon ähm Signaturschlüsse verwendest, dann musst du die ebensicher aufbewahren und ich habe heute,noch ein bisschen recherchiert,das erste Mal in Deutschland die Grundlage für eine qualifizierte elektronische Signatur gegeben wurde, das ist ich hab's nicht glauben können zweitausendeins, also seit seit zweitausendeins haben wir,Ideen für qualifizierte, elektronische Signaturen. Ähm, wir haben auf den Seiten des BSI ähm,Ressourcen dazu, wie diese Ideen immer weiterentwickelt wurden, wo also zur Aufbewahrung von Smart Cards,Zur Aufbewahrung der Geheimschlüsse auf Smartcuts geraten wird und allein das würde alle Probleme oder fast alle Probleme hier lösen, wenn man einfach sagen würde, wir nehmen private Schlüsse auf Smartcards,nutzen 'ne BundescA,um diese, um diese Smart, um die diese Kies zu zu verifizieren. Thema erledigt, ja? Dann hättest du das noch genommen für die Softwareupdates und dann kannst du den Rest kaputtlassen.
Thorsten Schröder 1:20:35
Man könnte ja meinen, dass so eine demokratische Wahl das durchaus wert wäre, mal in so ein System zu investieren und ein entsprechendes Konzept auszuarbeiten, aber es scheint hier nicht der Fall zu sein. Und ich glaube, die größte Schwäche hier in diesem Produkt ist haltwirklich, dass es ähm,eigentlich keine vernünftige Architektur gibt dieses gesamten Systems, also kein vernünftiges Konzept, kein Sicherheitskonzept und irgendwie ja Entwickler, die sich möglicherweise eben auch vor davor sperren, ähm,zu sagen, ich kenne mich mit einem Thema nicht aus, ich muss mir da eben noch äh Hilfe holen, die sie äh jemand,jemanden konsultiert, also der, der damit besser,Bescheid weiß, dass es einfach die Stärke eines jeden Entwicklers irgendwo auch zu sagen die Dinge werden zu komplex, man fokussiert sich oder man hat sein spezielles FachgebietUnd bei den meisten Leuten, dass das Fachgebiet eben nicht die Kryptografie und solange wir noch keine vernünftigen Krypto-Librarys haben, die es,eben unterbinden, dass Fehler bei der, dass Fehler bei der Programmierung entstehen, weil die Entwickler keine Ahnung haben,Ja, da muss man eben auch in den sauberen Apfel beißen und das einfach mal akzeptieren, dass man eben sich damit nicht auskenn.
Tim Pritlove 1:21:43
Also ich will ja niemand äh äh zu nahe treten und für manches äh äh kann man auch sicherlich irgendwie Verständnis entwickeln, aber wie du schon sagst, nicht, also,Wir reden jetzt hier nicht von irgendwas, wir reden jetzt hier nicht von der Wahl äh Tabulation, von unserem äh Kegelverein oder so,Wir reden hier von der Bundestagswahl, wir reden hier von der Infrastruktur, die.
Linus Neumann 1:22:03
Und.
Tim Pritlove 1:22:04
Genau, also von Wahlen in der Bundesrepublik Deutschland, so die finden regelmäßig statt. Man weiß, dass die immer wieder sind. Man weiß auch, dass im Prinzip die Anforderungen dafür in Hinblick auf äh Informationssicherheit et cetera äh,permanent steigen werden, permanent auch äh immer wieder der Status quo in Frage gestellt wird und und dass man hier überhaupt auf eine Architektur setzt, wo dann,so ein kleiner, vielleicht noch nicht mal mittelständischer äh Betrieb zum Zug kommt, ja? Wie du schon sagst, Martin mit so der eine Progamierer, ne? Ich meine,Ich finde die die Firma ist da schon jetzt auch in der Verantwortung und zwar nicht man kann sich ja nicht raus ja wir haben ja nur einen Poamira,ich meine wenn wenn das das Problem ist, warum warum habt ihr da nicht mehrere Programmierer, aber die Verantwortung für dieses Systemarchitektur et cetera und für die Prozesse und das ist da vielleicht was es wenn der Typ irgendwie vom Bus läuft ne? Alsodas muss dieses Unternehmen dann im Prinzip ja auch äh leisten und einpreisen et cetera. Und natürlich wird's dann irgendwann auch teuer,und vielleicht sozusagen für die von ihnen ausgehandelten Preise und Verfahren, die sie so,äh nicht mehr händelbar, aber genau das ist der Punkt, es gehört da halt einfach gar nicht hin,vielleicht will mir sozusagen die die Sicherheitslücken und den Tischbäbbel jetzt sozusagen schon haben, haben wir das jetzt sozusagen soweit äh eingegreift. Würde ich eigentlich ganz gerne mal so ein bisschen zu so einer Bewertung kommen. Was jetzt konkret hier das Risiko auch ist.
Linus Neumann 1:23:27
Ich würde an der Stelle nur einmal ganz kurz auf unseren äh Bericht verweisen und auf das Gitterprepo äh in dem,ähm ja die meisten, der hier beschriebenen äh Angriffe nochmal ausführlich dokumentiert sind und vor allem auch die Krypto-Routinen, die Patching Möglichkeiten und einmal die komplette Toolchan für die äh gerade beschriebenen,Angriffe veröffentlicht wurden. Ähm! Für die, für die interessierten Hörer und Leser.
Tim Pritlove 1:23:57
Genau, aber jetzt vielleicht für die, die auch ein bisschen Schwierigkeiten hatten, jetzt mit diesen ganzen Details äh klarzukommen, würde mich jetzt schon nochmal so eine eine Bewertung auch äh äh also womit haben wir es denn jetzt endlich wirklich zu tun? Ich meine, dass diese Software an der Stelle, wo sie jetzt aktiv wird,vielseitig angreifbar ist,Ich denke, das ist klar geworden, ja? Und das ist sozusagen auch eine sehr hilflose äh Verteidigungslinie da gefahren wird. Frage ist nur, inwiefern beeinflusst das jetzt halt das Prinzipwahl,konkret, weil wir reden ja hier im Prinzip von einer Software, die primär für diese schnell Meldung benutzt wird, ja? Das heißt, wir reden jetzt hier von der,schnellen Durchleitung und Zusammenfassung von Wahlergebnissen äh zur Veröffentlichung von in Medien und der äh schnellen Versorgung der Bürger, weil die ja unbedingt noch vorm Schlafengehen wissen müssen, wie es ausgegangen ist,aber ein paar Tage später wird ja das Ganze nochmal auch auf 'n anderen Weg zusammengerechnet oder Martin.
Martin Tschirsich 1:24:56
Wir sind ja mit unserer Reise durch die Welt der Wahlen vom Ausgangspunkt der Schnellmeldung ausgegangen, das heißt,am Wahlabend Schnellmeldung. Das geht digital und das können wir manipulieren, haben wir jetzt gezeigt oder nicht wir können's auch ausbessern, aber zumindest angreifen. Und ähm,stellt sich die Frage, gut, was kann man damit erreichen? Ist es überhaupt interessant? Gibt es überhaupt jemanden Interesse hat daran,äh sich da auszuprobieren und das hängt ja davon ab, was kann ich damit machen? Und ich meine, es war auch ein Zitat vom Bundeswahlleiter, dass er gesagt hat,es geht nicht darum, dass ein bestimmter Kandidat hier gewinnt oder verliert, sondern es geht darum, dass,in die demokratischen Prozesse zu zerstören, in dem die Wahl gestört wird, wenn die Schnellmeldung,erstmal ein paar Tage im Raum stehen, bis dann die Wahlausschüsse zusammentreten in den Wahlkreisen und das endgültige Ergebnis feststellen. Wenn die ähm,komplett abweichend, von dem was nachher festgestellt wird,oder zumindest erhöht Zweifel Aufkommen und danach herauskommt, ja tatsächlich wurde alles manipuliert durch die Bank weg, dann hat man natürlich eine große Schicht, der Wähler schon ähm ich sage mal verloren, das Vertrauen ist dann verspielt, glaubt dann dem Update zwei null der Wahlergebnisse, also.
Linus Neumann 1:26:04
Also hier wird, hier wird mit einem äh also wir reden ja hier nichts über nichts anderes als das, was ich in den heiligen Akt der Demokratie nenne, ja. Und wenn jetzt äh dieses ja gut nach zwei Tagen haben wir es gemerkt, dass die AfD doch nicht achtzehn Prozent hat,sondern nur vier. Ähm sorry, wir haben uns vertan. Ähm dann also ich meine, diese.
Tim Pritlove 1:26:24
Die Verschwörungstheoretiker schon auf den Barrikaden.
Linus Neumann 1:26:27
Dieser Vertrauensverlust, den wirst du in Jahrzehnten nicht mehr los. Und deswegen halte ich das für,schockierend unverantwortlich, das sind überhaupt an irgendeiner Stelle ja,an diesem Digital und Kryptografiestandort Deutschland auch nur in die Nähe dieses Risikos gerät, ja? Ähm während wir in der Öffentlichkeit ähm spätestens seit irgendwie,Mitte zweitausendsechzehn äh den ganzen Tag nichts anderes mehr hören als dass der Russe die Wahl hackt, ja? Und also es ist wirklich ein ein großes Thema, ne? Die Presseanfragen zu diesem Themaam laufenden Band wird nur über das Thema gesprochen, dass irgendjemand die Wahl angreifen könnte, ja? Und niemand.Der Verantwortlichen kommt auf die Idee ähm,überhaupt mal irgendwie diese Prozesse zu prüfen, ja? Ähm also für mich ist es tatsächlich schockierend und der ähm der der Vertrauensverlust, der der da einfach nur schon stattfindet, wenn,jemand ein, wenn wenn einfach nur ein Angriffsversuch berichtet werden kann, ja? Das ist doch schon ein absolutes Desaster.
Tim Pritlove 1:27:43
Nur mal die Nachfrage Martin, weil du dir die Prozesse dahinter nochmal genauer angeschaut hast. Hältst du es denn für,dass diese Schnellmeldungen irgendeiner Form auch tatsächlich als die Meldung irgendwie durchkommen können.
Linus Neumann 1:27:55
Die werden umgehend veröffentlicht.
Martin Tschirsich 1:27:56
Die werden zwei Minuten nach ähm vorlegen aller Meldungen aus der Gemeinde automatisch im Internet veröffentlicht, zumindest in Hessen. Aber.
Tim Pritlove 1:28:01
Klar, aber ich meine die Überprüfung dessen findet auf jeden Fall statt. Nein. Oder nur.
Martin Tschirsich 1:28:08
Also wir müssen uns ja daran danach richten, was die Bundeswahlordnung vorschreibt und was auch so die Praxis bei den Wahlamtleitern ist, in den Gemeinden, die wir jetzt einsehen konnten,Und da ist die Entdeckungswahrscheinlichkeit gering, es sei denn man übertreibt es natürlich irgendwo. Äh solange man plausibel äh manipuliert,hat man da viel Spielraum, bis es da die Erdherkunftswahrscheinlichkeit des geringen, das ändert sich natürlich, wenn es zur Feststellung des endgültigen Ergebnis kommt, aber auch da möchte ich grad mal ganz kurz zitieren, das endgültige Ergebnis der Wahl,Wahlkreis vom Wahlwerk Hessen wird nach vorliegen sämtliche Ergebnisse und eventuelle Korrekturen automatisch erzeugt,Also auch da ist man inzwischen soweit, dass auf der Ebene der Wahlkreise auch endgültige Ergebnisse automatisch ausgedruckt werden vom Programm und da muss man nur noch unterschreiben, das heißt Niederschri.
Tim Pritlove 1:28:50
Warte mal von demselben Programm.
Martin Tschirsich 1:28:52
Das ist ein anderes Programm, das werden wir die Daten aus PC Wahl gefüttert wird. Also die Daten fließen einmal.
Tim Pritlove 1:28:58
Wenn die Daten in PC Wahl geändert sind, dann sind sie auch Dargeänder.
Martin Tschirsich 1:29:03
Also wenn wir sie falsch einspeisen in diese Auswertungspyramide ja. Ähm das heißt, man vertraut hier dieser Software oder diesem allgemeinen,zu sehr und es von einer Stütze einer Unterstützung quasi zum Träger geworden, Wahlniederschriften, von denen wir uns immer vorstellen, da wird dann manuell addiert und unterschrieben zwischen so einem Gebildet. Die werden fertig ausgedruckt und dann nur noch unterschrieben,dieser diese manuelle Kontrolle ist nicht mehr vorgeschrieben. Natürlich kann jetzt irgendwo ein Wahlandleiter sagen, ja er wird daheim nochmal alles mit Taschenrechner nachrechnen, ist auch möglich,Entdeckungswahrscheinlichkeit ist ja immer irgendwo über null, aber das muss von vornherein ausgeschlossen sein.
Tim Pritlove 1:29:42
Ja. Und ähm was man sich glaube ich auch klar machen sollte,es gibt ja im Prinzip gerade bei der Bundestagswahl zwei,Angriffs äh Vektoren. Entweder man geht sozusagen auf das Gesamtergebnis und auf die Zweitstimmen, die ja in gewisser Hinsicht am interessantesten sind, weil man damit eine ganze Partei ja potentiell über irgendwelche Schwellen bringen könnte oder unter irgendwelche Schwellen bringen könnte,Konstellationen, Koalitionskonstellationen entsprechend äh stärker beeinflussen kann, aber,gibt ja auch die Erststimme und die Erststimme ist 'ne reine Mehrheitswahl und da reicht es eben,eine einfache äh Mehrheit in einem Wahlkreis, also auch in einem regional sehr eingeschränkten Bereich äh herzustellen.
Martin Tschirsich 1:30:23
Richtig, insbesondere in den bevölkerungsreichen Zentren und Städten, wo auch äh diese vielleicht persönliche Kontrolle der einzelnen Wahlhelfer, Wahlamtleiter eher wegfällt und euch Anonymität ersetzt wird, gerade da ist eine Manipulation besonders lohnenswert. Was die Zweitstimme anblangt.
Tim Pritlove 1:30:36
Mhm. Also es ist nicht nur so theoretisch. Nein, gar nicht. Es ist schon sehr praktisch.
Linus Neumann 1:30:44
Wenn ich das von einem einem mehrerer Wahlhelfer, mit denen ich mich unterhalten habe, äh richtig verstanden habe, schreibt sich aber dann so jeder so sein,Auszündungsergebnis nochmal hin, wenn dann das amtliche Ergebnis veröffentlicht wird, wird ja alles tabelliert und dann geht der ist der Wahlhelfer angehalten das zu kontrollieren und wenn das ein gewissenhafter Mensch ist, tut er das auch und äh könnte unter Umständen,dann also melden und sagen, das was hier jetzt als amtliches Enderöbnis veröffentlicht ist, entspricht nicht dem,was ich beobachtet habe. Insofern ist es,könnte man immer noch hoffen, dass es ähm Sicherungsmethoden gibt, die dafür sorgen können, dass eine Manipulation auffällt,Es stellt sich natürlich nur die Frage ähm ob man sich auf Methoden,verlassen möchte, die eine Manipulation bemerken könnten oder ob man technisch ein Produkt im Jahr zweitausendsie,einsetzen möchte äh dass diese Manipulation verhindert oder zumindest nicht also.
Thorsten Schröder 1:31:52
Eigentlich weitestgehend ausschließt, das ist schon möglich.
Linus Neumann 1:31:56
Nicht so trivial macht wie äh wie wir das hier sehen. Ähm ich würde vielleicht noch kurz auf zwei weitere Fragen eingehen,sich natürlich jetzt stellen. Ähm, jetzt wurde also IVU-Elekt geprüft und jetzt wurde PC Wahl geprüft von uns,und es gibt noch ein weit verbreitetes Produkt am Markt, das ist der Vote Manager. Das sind die, das wären dann die drei.Großen Marktanteilshaber in Deutschland. Neben eben noch kleineren Produkten. Ähm nun wurde das Produkt PC Wahl,Anfang zweitausendsechzehn,von dem Unternehmen Wort IT gekauft, das vorher unter dem Namen Regio IT den Vote Manager veröffentlicht hat. Also da hat quasi das Unternehmen Regio IT den Konkurrenten,PC Wahl gekauft, die haben sich zusammengeschlossen zu einem neuen Unternehmen namens Vod IT, welches das Programm,fort, Manager nun herausbringt. Und es ist quasi abzusehen ähm auch am Alter des Hauptentwicklers des Programms PC Wahl, dass die Strategie des Unternehmens Voad IT nun ist,In Zukunft die Software Vodmanager an die ehemaligen PC Wahlkunden zu verkaufen,Und ähm ärgerlicherweise, wie das immer so schön ist und ich zitiere an der Stelle mal äh Rob Gong Reib und Alex äh Hallaman. Äh das einzige sichere System ist immer das, was bisher nicht geprüft wurde,Die äh wenn wir jetzt darauf wenn wir dann uns vor Augen führen, dass dieses Unternehmen.Regio-IT offenbar dieses Produkt.PC Wahl ohne Prüfung zu einem doch sehr nennenswerten ähm Betrag gekauft hat, der sieben schöne Zahlen hat,dann lässt das natürlich zumindest die Hoffnung,schwinden, dass jetzt unbedingt das Produkt Vodmanager ähm all diese Probleme beheben würde.Um das mal ganz vorsichtig und äh diplomatisch ähm hier auszudrücken.
Tim Pritlove 1:34:11
Also Zweifel sind da auf jeden Fall angebracht oder müssen müssen ja auch angebracht sein, weil ich denke, alles andere als eineim Source Code veröffentlichte Lösungen, wo äh staatlicherseits auch nachvollziehbare und gegebenenfalls sogar auch überprüfbare ähm Methoden zur Installation und Betrieb des ganzen Systemsvorgebracht werden. Äh alles andere ist irgendwie unakzeptabel.
Linus Neumann 1:34:35
Es ist also das war ja auch unser Ausgangspunkt, das war ja, es ist ohnehin unakzeptabel, dass diese Software nicht öffentlich istDa sitzen da irgendwelche Leute und entwickeln so eine komische Software und und für lassen noch irgendwelche Gerichtsverfahrenda irgendwie stattfinden in denen die um die Geheimhaltung dieser Software gekämpft wird und unsere Gerichte und Richter werden mit so einem Unsinn belästig,Also da kann man doch wirklich hm sagen, wir machen eine oder zwei von mir, sag ich mal. Eine wäre super. Ähm Open Source Software,dass dass äh die.
Thorsten Schröder 1:35:11
Bund finanziert,ja, es gibt, es gibt einen Pfand für, ne, diesen Prototyp Pfand beispielsweise, wenn sich jemand findet, der sagt, ja, der Pfand wurde auch gerade aufgestockt, das sind jetzt irgendwie bei fünfundvierzigtausend Euro kann man da irgendwie maximal bekommen für so ein Projekt äh,Warum warum sollte man das nicht schaffen da mal in der ersten Runde das Prototyp fand eine,eine Software zu entwickeln, die diese ganzen demokratischen Wahlen hier transparent unterstützt und ähm,eben auch überprüfbar ist, überprüfbar und äh.Zeitgemäß entwickelt, also und und wenn und wenn sich halt in vier Jahren herausstellt, dass irgendwie AIS kaputt geht.Sehen das Leute regelmäßig und sagen so patch das doch doch mal raus. Hier ist ein Pul-Requisänder das doch mal.
Tim Pritlove 1:36:00
Also für fünfundvierzigtausend Euro kriegt man auf jeden Fall was hin, was irgendwie über unverschlüsseltes FDP deutlich hinausgehen sollte. Ja, also.
Linus Neumann 1:36:06
Schwierig, schwierig, ne? Und dann könnt ihr hier, dann könnte Arne Schönbogen, dann geht der Arne Schönburg noch zu seinen Kumpels in der Industrie und sagt, ey komm, mach mal ein paar Signaturkarten locker, ne? Und dann zack.
Thorsten Schröder 1:36:19
Ganz viele Möglichkeiten, diese ganzen Keys auch zu sichern, das das.
Linus Neumann 1:36:24
Das sind alles gelöste Probleme. Wir.
Thorsten Schröder 1:36:25
Alles nichts mehr, allep, alle diese Probleme sind gelöst und man muss sie halt einfach nur nutzen, aber.
Martin Tschirsich 1:36:31
Da gibt's diesen schönen Vergleich, der immer herangezogen wird, dieses E-Voting. Wir können ja auch Online-Banking machen. Äh also können wir auch garantiert Wahlen quasi online abhalten. Das müssen wir nur machen. Also Online-Banking ist deutlich sicherer als das, was ich bisher überhaupt eingesetzt wird.
Linus Neumann 1:36:44
Also es gibt, was ist eigentlich weniger sicher.
Tim Pritlove 1:36:46
Ja, ich finde mal ganz ketzerisch reingehen, also was spricht denn eigentlich dagegen, dass man so tatsächlich auch beim Papier bleibt sozusagen? Also warum soll man nicht sozusagen das das von allen Wahlbeobachtern äh unterschriebene Originaldokument,gesicherten Transport zum Wahlkreisbüro bringen, dort alles nochmal überprüfen von Hand doppelt zusammenrechnen,dann von diesen Wahlkreisbüros in den Landkreiseben et cetera. Ich meine, da muss man ja keine Postkutschen einsetzen, das ist ja,ja, also ich meine, ist ja ein gelöstes Problem, äh sozusagen so ein paar Zettelpapier, äh halbwegs sicher durch die Gegend zu bringen. Und dann dauert es vielleicht eine Weile, aber dann ist das sozusagen sicher, so.
Linus Neumann 1:37:29
Das äh würde ich da würde ich vorsichtig gegenargumentieren. Ähm denn ein wirklich auf Papier stattfindenden Prozess der Erfassung und Auswertung,der wäre am Ende auch sehr stark fehlerbehaftet und auch für einen Bürger schwerer, nachvollziehbar und kontrollierbar,als beispielsweise die,Erfassung mittels einer Open Source Software und der anschließenden Publikation sämtlicher Pfeils, ja? Also du hättest ja, wenn man das jetzt.
Tim Pritlove 1:38:02
Ja, die Daten müssten natürlich äh auch schnell zur Verfügung gestellt werden, ja.
Linus Neumann 1:38:06
Aber wenn man jetzt sagen, wenn manso so wie ich mir das gerade vorstelle, ich will ihr könnt ja noch äh ihr habt vielleicht noch mehr Ideen. Ich stelle mir gerade echt vor, du hast dann irgendwann, wird werden diese gesamten von mir aus XML oder was auch immer Dateien, der eins jedes einzelnen Wahllokals mit der Signaturdes des Wahlleiters dort Himself,online gestellt, daneben liegt das das Bundesgitterrepo, der Software, die zur Auswertung genutzt wurde und du kannst mit äh Make-Bundeswahl zwanzig siebzehn ähm dir das Ergebnis ähm,vollständig zu Hause kompilieren, ausrechnen lassen, wie wir es angucken, ja? Dann heißt, hat jeder Bürger ähm,Die Möglichkeit die einzelnen Rechenoperationen, die da stattfinden, was weiß ich zu kontrollieren äh und zu reproduzieren, ja? Wenn du dann einen Fehler in dem Code findest, dann kannst du sagen, hier.Falsch, ne? Und da hättest du also eine eine Transparenz des kompletten Berechnungsweges ähm.
Thorsten Schröder 1:39:02
Es gibt nichts, was man hier geheim halten müsste in so einem Prozess, gibt es nicht.
Linus Neumann 1:39:05
Wieso nicht? Doch die, die einzelne Wählerstimmen.
Thorsten Schröder 1:39:10
Ja gesagt, das ist richtig. Aber das ist, das ist ja der Fall durch die Papierwahl. Also.
Tim Pritlove 1:39:14
Ja gut, aber wenn man das Ergebnis hat, könnte man sie ja im Wahllokal schon direkt sozusagen signieren, weiterreichen und das immer weiter nach oben treiben, oder?
Thorsten Schröder 1:39:24
Ja, ich weiß halt nicht, wie das in der Praxis ist, wenn das dann auch noch unter Zeitdruck stattfinden muss. Also.Die Leute sind die Leute sind ungeduldig.
Tim Pritlove 1:39:32
Ja, das ist aber kein Aro.
Linus Neumann 1:39:35
Leute warten sie. Die Leute.
Tim Pritlove 1:39:36
Ja, warum haben sie denn ihre Demokratie zerstört? Ja, die Leute waren total un.
Linus Neumann 1:39:39
Die Leute warten seit vier Jahren auf die Wiederwahl von Angela Merkel. Kannst du doch jetzt nicht auf den Fall.
Thorsten Schröder 1:39:43
Das ist das ist aber überraschend.
Tim Pritlove 1:39:47
Na ja, also ich meine dieses Argument finde ich, zieht einfach mal gar nicht, ja, weil äh ob denn nun das Endergebnis oder das vorläufige EndergebnisUm zweiundzwanzig Uhr oder am nächsten Morgen um sechs Uhr ist,Industrie nicht dran zugrunde, ja? Da bewegen sich da ändert sich die Kontinental drift nicht. Das ist einfach irrelevant,kostet das iPhone auch nicht mehr. Also man muss diese Zeit muss man sich einfach mal nehmen und wenn die Zeit heißtLeute werden eine halbe Stunde länger in einem Wahllokal einge,und kriegen dafür nochmal irgendwie fünfzehn Euro extra. Dann sag ich nur das ist es mir wert gewesen.
Martin Tschirsich 1:40:24
Grade bei der Bundestagswahl. Die Bundestagswahl ist wirklich die am einfachsten auswertendste Wahl, Kommunalwahl, Landeswahl. Da haben wir dieses Panagieren komulieren, dass es so komplex geworden inzwischen, dass da ohne Software eigentlich nicht mehr viel geht. Aber gerade bei der Bundestagswahl.
Tim Pritlove 1:40:36
Auch ein Problem bisher.
Martin Tschirsich 1:40:38
Bei der Bundestagswahl haben wir das Problem nicht, die ist wirklich so simpel. Richtig.
Tim Pritlove 1:40:41
Pipifox. Lass uns das machen. Wir wissen auch, wir kennen auch, wir haben auch bessere Ergebnisse.
Linus Neumann 1:40:50
Sehr viel gehörig.
Tim Pritlove 1:40:51
Ja, ja, da haben wir, da haben wir äh lange dran gearbeitet.
Linus Neumann 1:40:57
Also ich würde mich würde auf jeden Fall sagen Software sollte da schon zum Einsatz kommen, aber dann eben von der vernünftigen Qualität.
Thorsten Schröder 1:41:04
Zeitgemäß.
Linus Neumann 1:41:05
Hier nicht der Fall.
Tim Pritlove 1:41:08
So haben wir den zum Abschluss noch irgendwelche Serben uns zu verteilen, ist noch irgendjemand gedankt werden, muss noch irgendwas erwähnt auf etwas hingewiesen werden.
Thorsten Schröder 1:41:16
Würde gerne mal darauf hinweisen, dass man auf jeden Fall wählen gehen soll, auch wenn wir jetzt hier gerade so ein Bild an die Wand geworfen haben, was jetzt nicht so rosig aussieht, was irgendwie so den Vertrauen in diese elektronischen äh Wahlen angeht, aber ich glaube, dass.
Tim Pritlove 1:41:30
Noch keine konkreten Ergebnisse, dass auch andere Leute, die das Wissen haben und es bereits schon praktisch umsetzen.
Thorsten Schröder 1:41:36
Na ja, das kann man ja jetzt praktisch umsetzen. Also wir haben ja durch unsere Aktion jetzt vor allen Dingen auch dazu beigetragen, dass die Leute sensibilisiert sind und eben durch äh was ich erlasse und besondere Sorgfalt,Manipulation weitestgehend ausgeschlossen werden können, weil da halt immer noch der Mensch,erkennt, okay, ich muss das jetzt noch kontrollieren und kann mich nicht blind auf diese Maschine verlassen und ich glaube, das haben wir mit dieser Aktion halt ganz gut nach vorne gebracht, dass wir zumindest irgendwie,davon ausgehen können, dass man beruhigt zur Wahl gehen kann, trotz Computer.
Tim Pritlove 1:42:10
Aber du weißt ja wie gesteigertes Sicherheitsrisiko existiert, dann stellt die Bundesregierung eine bewaffneten Polizisten neben dem.
Thorsten Schröder 1:42:15
Das ist das ist und und die Pistole ist AES.
Tim Pritlove 1:42:19
Verrechnet sich nicht genau.
Linus Neumann 1:42:23
Also ähm zu diesen zu diesen Veröffentlichungszeitpunkt wenige Tage vor der Wahl ist natürlich,nicht mehr davon auszugehen, dass von einem Einsatz der Software vollständig abgesehen wird. Ähm! Das wäre schon würd ich sagen 'ne kerbe gewesen die ich ganz gerne in der Tastatur gehabt hätte,aber ähm so,denke ich, dass durch die, was wir jetzt in der Kommunikation mit den verschiedenen Stellen so mitbekommen haben, die sich der Ernsthaftigkeit des Problems durchaus bewusst sind,wie gesagt durch neue Wahlerlässe, ähm! Allerlei,und und Softwareupdates jetzt ähm hier zumindest sehr erhöhte Aufmerksamkeit besteht, ähm sodass ich denke, dass wir hier,hoffentlich einen Beitrag leisten konnten, dass ähm tatsächlich sollten hier Angriffsversuche stattfinden äh diese ähm,entdeckt werden und äh abgewehrt werden können. Und für die nächste Bundestagswahl äh würde ich mir dann,Wahrscheinlich ein anderes Ergebnis der Wahl wünschen und hoffentlich meine hoffentlich mal einfach mal eine hübsche Software ja? Ähm, denn ein Aspekt, den ich,also der mich an diesem Projekt am meisten in den Wahnsinn getrieben hat, ja? Muss ich auch nochmal sagen, ist die das grafische User Interface von dieser Software? Also das war.
Thorsten Schröder 1:43:51
Du hast auch nicht, dass Disses Hemdly lesen müssen,Delfi, Delfin.
Linus Neumann 1:43:59
Ich glaube tatsächlich man wird ja jetzt unsere Angriffe ähm,wahrscheinlich während dieser Podcast-Veröffentlicht wird, werden Menschen schon unsere Demonstrationen hier al,ähm sage ich mal akademisch und praktisch oder ähm obsolet äh versuchen zu diskreditieren.
Tim Pritlove 1:44:18
Weil es gab ja schon Updates und das Problem existiert ja gar nicht.
Linus Neumann 1:44:20
Ja, also ich ich traue mich gar nicht auf die Update-Seite zu schauen, weil ich weiß, dass die uns heute Abend nochmal in Rheinwürmen,es sieht zu sehr danach aus, dass wir heute einfach mal noch in Ruhe pennen können, bevor wir morgen releasen und die werden schon, werden noch irgendwas machen, ne? Weil die können gerade auch nicht ruhig schlafen, insofern,wissen wir, dass das hier das da kommt noch was, oder? Und.
Thorsten Schröder 1:44:41
Noch anrufen und sagen so, oh, jetzt hat er's uns aber gezeigt.
Tim Pritlove 1:44:44
Aber das Problem ist ja auch nicht der Ist-Zustand, sondern der das Problem ist, dieser Prozess, der sich hier sozusagen.
Linus Neumann 1:44:49
Das Problem ist tatsächlich, ich halte, ich würde zynisch sagen, das Risiko eines Bedienfehlers, was du ja auch gerade schon angesprochen hast, da wird irgendeine Checkbox weggeklickt, ja. Ähm ist wahrscheinlich größer als das Risiko des,die Tools, die wir jetzt hier veröffentlichen, ähm, in der in der freien Wildbahn von tatsächlich bösartigen Angreifern zum Einsatz kommen.
Tim Pritlove 1:45:11
Jetzt bei dieser Wahl. Aber so grundsätzlich kann man das alles gar nicht mehr ausschließen. So und ich meine auch dieses,auch als wir diese Debatte um die Wahlcomputer hatten, ist ja auch immer genauso argumentiert worden,Ja, das ist ja alles nur so theoretisch und sowas passiert ja nicht und wer würde denn überhaupt und die Rechner kommt ja auch keiner ran und das ist ja ein ganz sicheres Netzwerk. Also wenn du diese Argumente anhörstund das hat sozusagen mit dieser Realität zwanzig sechzehn, zwanzig siebzehn anschaust, dann,da schüttet man dann halt nur noch den Kopf. Und so werden wir eben den Kopf auch äh in einer zukünftigen Realitätschütteln, wenn jetzt halt wieder mit mit solchen Argumenten ankommen angekommen wird. Alsojede zerbrechliche Infrastruktur, die potenziell 'ne Menge Machtgewinn und damit 'ne Menge Geldgewinn verspricht. Das ist das, was hinter einer Wahl einfach stehtdie ist in der Lage genug kriminelle Energie zu entfalten unddas ist halt leider auch so im digitalen Bereich steckt eine ganze Menge,Energie drin oder da da werden einfach die besten Leute zusammen gecastet mit viel Geld ausgestattet und die verbringen ihre Zeit mit nix anderem,das sehen wir halt auf dieser ganzen Betrugsebene, das sehen wir hier nicht wahr, eine der ganzen Krypto äh Währungsverhältnis haben wir ja nun auch in den USA schon äh mitbekommenauf Wahlebene und das wird potentiell einfach nur schlimmer werden.
Linus Neumann 1:46:33
Dann in, im Verhältnis dieses dieser Attraktivität kann man dann setzen, dass hier ähm wir drei quasi neben hauptberuflicher,tagtäglicher Arbeit, ähm, das als Nebenprojekt über weiß nicht, ein, zwei Monate,ähm ähm zum Feierabend und dann primär jetzt in den letzten zwei Wochen zusammen gek.
Tim Pritlove 1:46:58
Auf einer Arschbacke hast du's abgesessen.
Linus Neumann 1:47:01
Geht. Also es ging ein bisschen auf den Schlaf, es ging ein bisschen auf den Schlaf schon,Aber ähm wenn man sich das jetzt mal äh vorstellt, wir wir werden jetzt werten, irgendwelches Geld dafür bekommen und hätten das nicht nur als interessierte Bürger in der Freizeit gemacht, dann kann man sich ungefähr vorstellen, wohin das von hier noch hätte gehen könn.
Tim Pritlove 1:47:18
Ja und vor allem wenn ihr sozusagen anderes Interesse gehabt hättet und nicht nicht das der Aufklärung, sondern dass eben der aktiven Kompromisierung. Er wäre ja durchaus äh was denkbar gewesen.
Linus Neumann 1:47:27
Wurde diskutiert.
Tim Pritlove 1:47:29
Aber ihr weißt, ihr seid ja so nette Jung.
Linus Neumann 1:47:32
Wir haben das mit dem ZG besprochen.
Tim Pritlove 1:47:40
Martin, hast du noch Anmerkungen.
Martin Tschirsich 1:47:41
Ja, vielleicht eins noch. Ich wir waren ja unglaublich bemüht, diese Information in die Welt hinaus zu tragen. Ich war in Darmstadt auf dem Wahlabend, habe gesagt, hey, eure Software hat ein Problem. Ich würde da gerne mal mit jemandem drüber reden. Ähm,Software kennen wir uns nicht aus. Was für eine Software? Ja, das macht die IT bin ich zur IT gegangen in Darmstadt. Also vom äh Rathaus da irgendwo ähm gefragt,erstmal so von oben nach unten angeschaut, mit einem abschätzigen Blick. Was machen sie denn hier? Ohne Termin, ne,eure Software hat erhebliche, sie hatte Probleme. Ja, nee, Software kennen wir uns nicht aus. Das macht die E-Com.Also ich habe alles versucht, um der Alarm zu schlagen, bin da nirgendswo durchgekommen,dass es auch äh irgendwie erstaunlich. Also wir versuchen unser Bestes. Da Prozesse zu verbessern in dem Fall. Und Bewegung in die Sache reinzubringen und das ist halt unglaublich zäh. Deswegen müssen wir das jetzt mal auf einer anderen Ebene beleuchten.
Thorsten Schröder 1:48:35
Aber dieses Responsorbild, das Kloser, also wie man Schwachstellen an Hersteller oder Betroffene kommuniziert, ähmIch mache das ja ziemlich oft, weil wir halt irgendwie beruflich viel mit Softwaresicherheit zu tun haben und äh es ist immer das Gleiche. Die sehen nichts ein, die sind nicht erreichbar. Die haben keine Ahnung, keine Ansprechpartner und das äh,ist ein ganz typischer Fall. In der Behörde vielleicht noch ein bisschen schlimmer, äh eine Behörde, die sichoder eine Regierung, die irgendwie sich ins Fernsehen stellt und sagt, wir sind Industrie vier null Nation, wir wissen alles besser, Kryptomade in Germany,Ne, wenn wir uns diese Software angucken und daneben irgendwie unsere Regierungssprechersagen hören, Kryptomade in Germany und Industrie vier null, dann denke ich mir so gute Nacht.
Linus Neumann 1:49:22
Das ist wirklich ähm also da da das ist eigentlich der Grundfaller einer einer hier mangelnden Sicherheitskultur,dass du äh auf solche, auf solche Meldungen eben auf vernünftig reagieren müsstest, ja? Und nicht irgendwie so gehen sie weg, hier gibt's nichts zu sehen, haltet den Dieb und ähm ich meine, es steht ja auch äh die,Möglichkeit im zumindest im im Raume, dass äh,jemand oft die sehr kluge Idee kommen könnte, uns äh für diese Veröffentlichung jetzt irgendwie noch ähm rechtlichen Ärger zu machen.
Tim Pritlove 1:49:59
Die Überbringer der schlechten Nachrichten, die äh Messenger.
Linus Neumann 1:50:00
Genau, Shooter Messenger, ja? Ja, erst ignorde Messenger und.
Thorsten Schröder 1:50:04
Ne? Ja, es ist.
Linus Neumann 1:50:06
Und Handschuh. Wenn der nicht geht, Tress Passing,Ja, das also so wird das eben auch nix mit dem Verschlüsselungsstandort Deutschland. Also das ist eine Schande.
Thorsten Schröder 1:50:17
Zecke.
Linus Neumann 1:50:19
Für Decks hängen. Und warum,vielleicht noch ein kurz ein bisschen auf die Rolle des Chaos-Computerclubs generell hier als als äh Mana einzugehen. Ähm,wird dann immer gesagt, ja, der Chaos kommt dabei und meckert und sagt immer, alles ist unsicher, aber es muss ja irgendwie auch mal hier die Digital First Bedenken second gemacht werden. Es ist nicht so, als würden wir sagen, alles, wo Computer zum Einsatz kommen, ist Quatsch,oder ist falsch, es ist nur wie ihr das macht, ja? Es ist einfach so, das geht so nicht und da sitzen Menschen, kluge Menschen.Diese ganzen tollen, wunderbaren Sicherheitsverfahren entwickeln, ja? Asymmetrische Verschlüsselung, Signaturen, sichere Kryptographie, ja? Und die,meiste davon ist quell offen verfügbar, das kannst du dir als Library reinlinken und wir haben da so tolle Sachen, ja?Kann man so schöne Sachen mitmachen.Dann wird das hier in Deutschland irgendwie mit so einem Notinvent Hear Syndrom irgendwie ignoriert und dann wird hier so ein Steinzeitcode in Lochkarten getackert. Von Hand, ja? Also das ist wirklich auch es bedauerlich.
Martin Tschirsich 1:51:20
Steinzeit kurz ein Einspruch nein nicht Einspruch, Anmerkung. Steinzeitlich war auch das äh Wort, was ich am Telefon mehrfach gehört hatte von Verantwortlichen, wenn es hier um diese Wahlsoftware geht. Also das Problem ist bekannt.
Tim Pritlove 1:51:31
Als Selbsteinschätzung. Ah, richtig. Ja, ich denke auch.
Linus Neumann 1:51:36
Es hat einfach niemand ähm sich bis zweitausendsiebzehn damit auseinandergesetzt. Man kann sich ja mal einen Blick auf diese Update-History schauen, ja? Er hat in diesem FDP Modul, der war.
Thorsten Schröder 1:51:47
Sechs Jahre kein.
Linus Neumann 1:51:48
Sechs Jahre kein Update drin, das war.
Tim Pritlove 1:51:50
Konnte alle zwei Wochen was.
Linus Neumann 1:51:51
Alle zwei Tage.
Thorsten Schröder 1:51:53
FDP.
Tim Pritlove 1:52:08
So Leute, jetzt haben wir's, oder?Tja. Also war eine etwas äh äh Verrückte aus der Reihe äh Sendung hier zum Wiedereinstieg. Aber war unterhaltsam.
Linus Neumann 1:52:24
Glaube ich wie immer, ähm, also wenn wenn du noch dein, wenn deine Muttergrößen oder.
Martin Tschirsich 1:52:30
Ich grüße meine Mama, mein Papa, alle, die mich kennen. Grüße an Ambe und Johanna und,Nee, bitte nicht.
Tim Pritlove 1:52:38
Deine Hobbys lass raus.
Linus Neumann 1:52:40
Also ich ich danke am Ende der Sendung immer nochmal jemanden und äh in diesem Fall ähm danke ich erstmal dir Martin, ähm für die Zusammenarbeit und dir Thorsten, hat wie immer Spaß gemacht.
Thorsten Schröder 1:52:51
Mir auch.
Linus Neumann 1:52:52
Und ähm dann danke ich Anne Al-Benedikt, Christian, Daniel Dirk Hannes, Kai, Matthias, Matthias Michi, Michael Sebastian Tore,und Niklas.
Tim Pritlove 1:53:05
Und ich danke auch und zwar äh all den Leuten, die sich gerade jetzt im zurückliegenden Mona,äh aufgrund meiner Sprechpause mit sehr netten äh äh Rückmeldungenund auch finanzielle Unterstützung äh bei mir gemeldet haben und das war alles sehr äh motiviert. Und jetzt geht's,weiter, aber nicht mit dieser Sendung, sondern dann nächste Mal wieder. Und wir sagen tschüs.
Thorsten Schröder 1:53:29
Tschüss und danke Judith, dass du das hier die letzten Tage alles mit.
Linus Neumann 1:53:34
Aber jetzt wird sie zwar gleich noch eine, jetzt muss ich auch.
Martin Tschirsich 1:53:40
Ja, hat Spaß gemacht. Danke, dass ich dabei sein durfte.
Tim Pritlove 1:53:42
Ciao ciao. Ciao ciao.
Thorsten Schröder 1:53:42
Tschüss. Ciao.
Linus Neumann 1:53:43
Ciao ciao.
Verwandte Episoden
Shownotes
- Thorsten Schröder, Linus Neumann, Martin Tschirsich: Analyse einer Wahlsoftware
- github: Walrus PC-Wahl 10 Hacking Tools
- Pressemitteilung Chaos Computer Club: Software zur Auswertung der Bundestagswahl unsicher und angreifbar
- Bericht Zeit Online: Die Bundestagswahl kann manipuliert werden
- Kommentar Zeit Online: Hack der Bundestagswahl: Das Vertrauen in die Demokratie wird fahrlässig gefährdet
- Spiegel Online: Bundestagswahl 2017: Unsichere Software
- Bundesverfassungsgericht: Leitsätze zum Urteil des Zweiten Senats vom 3. März 2009, 2 BvC 3/07, 2 BvC 4/07
- pc-wahl.de
- vote-it.de: PC-Wahl
- vote-it.de: Votemanager
- vote-it.de: Zwei führende Wahllösungen unter einem Dach und in neuer Gesellschaft
- netzbuergerrechte.de: Archiv der Kategorie: PC-Wahl
- ekom21: Das FTP-Modul zum Download
SSL Report: pc-wahl.de
Assessed on: Thu, 07 Sep 2017 12:12:39 UTC | Hide | Clear cache
Ignore Certificate Mismatch >>
Certificate name mismatch
Click here to ignore the mismatch and proceed with the tests
Try these other domain names (extracted from the certificate(s)):
http://www.wahlinfo.de
wahlinfo.de
Kann man das Überprüfen/Offenlegen des Quellcode von öffentlich genutzter Software, insbesondere in so einem dramatischen Fall, juristisch durchsetzen? Wäre da die GFF – Gesellschaft für Freiheitsrechte e.V. https://freiheitsrechte.org/ eine Idee?
01:39:23
„Ja warum haben Sie denn Ihre Demokratie zerstört??“
„Die Leute waren ungeduldig“
[Hier; Die Leute = Die Nachrichten-Industrie]
Schön, dass du wieder am Mikrophon bist Tim!
Tja, die Zeiten als Spezial-Experten sind für euch jetzt vorbei.
Laut NDR Info seid ihr, Zitat „Hacker-Experten“.
Herrlich!
Leute, ihr seid klasse! Ich musste beim Zuhören sooo herzlich lachen denn bei der Bundestagswahl 2013 sollte ich bei einer Gemeinde in BaWü besagte Software PC-Wahl so einzurichten, dass sie die Wahlergebnisse per FTP auf einen Server schiebt. Weil es mit dem eingebauten FTP-Client einfach nicht funktioniert hat, habe ich den Zugriff einfach mal mit einem frei verfügbaren FTP-Client getestet. Das hat auf Anhieb funktioniert. Auf dem Server konnte ich Dutzende, nach Wahlkreisnummern benannte, Ordner sehen. Mir ist damals aufgefallen, dass ich in die Ordner anderer Wahlkreise reinschauen und beliebige Dateien hochladen konnte. Ich hatte dann Kontakt mit dem kommunalen Rechenzentrum welches für den Betrieb der Software zuständig war. Keiner der drei Ansprechpartner wusste was FTP überhaupt ist! Und niemand konnte nachvollziehen wie ich die ganzen Ordner überhaupt sehen kann denn in der GUI von PC-Wahl wurden sie ja nicht angezeigt. Fazit: Das Problem konnte nicht gelöst werden. Versprochene Rückrufe sind nie erfolgt. Und ich weiß bis heute nicht wie die Gemeinde ihre Wahlergebnisse damals weitergemeldet hat … über PC-Wahl sicher nicht! Vielen Dank für eure Arbeit und diesen Podcast!!!
Dann steht dem „100% plus X“ Ziel der Partei ja nichts mehr im Weg.
Danke! Bitte unbequem bleiben.
Dann bin ich ja beruhigt, dann bekommen die vom Zitis auch nichts auf die Reihe.
Nur einen Programmierer und kein Audit? Das ist doch schon fast fahrlässig. Der hätte ja alles machen können. Wer sagt den „Das ist ein hoch kritischer Bereich das kann dann ja jemand allein machen“.
Ich bin fassungslos.
Da ja im Verlauf des Podcasts Rop einmal zitiert wird, will ich ein weiteres Zitat von ihm hinzufügen, das Eure Erkenntnisse ganz gut zusammenfasst, auch wenn es ihm damals um Wahlcomputer in irgendeinem Land ging:
XYZ (hier natürlich: ’s/XYZ/Germany/‘) has perfectly secure voting machines (hier dann natürlich:’s/machines/software/‘) …
(kurze, dramatische Pause)
…. until wet get our hands on them.
Danke für Eure Analysen und besonderen Dank an THS für den Lacher des Tages („Quellen-TKM“), auch wenn ich danach den Monitor putzen musste.
HW
Ich danke für Euer Engagement und die unschätzbar wichtige Arbeit mit dieser Software.
Mich stört ein wenig die Stammtisch-ähnliche Häme, mit der über die Verfehlungen des Herstellers (des Entwicklers!) hergezogen wird, andererseits ist die Fassung angesichts dieser Sicherheitslücken tatsächlich kaum zu wahren.
Trotzdem, nochmals Danke.
Ich hatte zwischendurch ein bisschen Mitleid mit dem Entwickler, wenn man bedenkt wie lange es die Software schon gibt, kann man ja ungefähr auf das Alter zurückschließen. Dann habe ich aber irgendwo gelesen, dass seine Firma damit ca. eine halbe Million Euro Umsatz im Jahr macht. Da war das Mitleid ganz schnell wieder weg. Jetzt wäre es neben den technischen Vorgängen auch mal interessant, die organisatorischen Vorgänge aufzuzeigen. Wie kann also jemand allein und ohne Aufsicht dorthin kommen und da über Jahre bleiben?
Wunder mich schon sehr lange, dass die Bevölkerung nach all den „goldenen“ Jahren so konstant hinter den neoliberalen Heilsbringern steht, wenn mal Wahlen anstehen.
Aluhut auf:
Am Ende vermutlich auch so ein vertrauenswürdiger/verdeckter BND-/Verfassungsschutz-/IM-ler.
Überraschen würds mich zumindest nicht…Fußball-like, Brot und Spiele alle 4 Jahre + paar Prozente für die Linken, damit sich keiner wundert.
Wirklich schade, das die letzten Wahlen nicht mal überprüft/neu ausgezählt werden können. Gibt bestimmt genug Arbeitslose, die dies schon allein aus Liebe & Dank zu den Großparteien für lau bzw weniger als`nen Euro/Std machen würden…prinzipiell, in jeder größen Stadt paar Tausend stimmen für SPD & CDU dazu mogeln = große Koalition = Wahnsinn der letzten Jahre.
An Tim & Linus und an alle anderen Beteiligten:
Auch rückblickend wirklich erstklassige Arbeit von Euch, mit Abstand der beste Podcast bzw thementechnisch auch für Laien sehr gut zu verstehen.
Danke für Eure Arbeit!
Wow, leute!
Das ist schockierend. Ich bin kein ITler, höchstens „interessierter nutzer“ und habe entsprechend eher wenig technische vorkenntnis. Aber selbst mit diesem nur kleinen basisverständnis, gepaart mit euren ausführungen, entsteht doch ein sehr deutlicher eindruck von der einfachheit und vielfältigkeit der möglichen manipulationen.
Und dann auch noch dieses logo und interface… nicht die platteste, schlechteste persiflage könnte das toppen… unfassbar.
Herzlichen glückwunsch (oder ist das unangemessen?), auf jeden fall aber dicksten, herzlichen dank für eure arbeit!
Und ich möchte mal meine unterstützung für die klare haltung des CCC kundtun, trotz oder besser wegen solcher veröffentlichungen und arbeit des clubs sich nicht zum offiziellen bundesprüfdienst für technische errungenschaften machen zu lassen.
Grüße aus darmstadt (auch nach darmstadt an martin),
timm
So viele Ziegelsteine sind schon lange nicht mehr unter meinem Stuhl gelandet.
Fri, 08 Sep 2017 14:40:35 +0200, Testing: pc-wahl.de_217.160.50.68 443 with ciphers ALL:eNULL:aNULL
Get CERT & KeyExchange: OK
CERT Subject: OU=GT30995744, OU=See http://www.geotrust.com/resources/cps (c)15, OU=Domain Control Validated – QuickSSL(R) Premium, CN=www.wahlinfo.de
CERT Verify return code: 0 (ok)
Checking names (CN/SAN):
CN/SAN names: wahlinfo.de http://www.wahlinfo.de (NO MATCH)
Testing protocols:
SSLv2: NO
SSLv3: NO
TLSv1: YES
TLSv1.1: YES
TLSv1.2: YES
Testing ciphers using protocol TLSv1.2:
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD TempKey: ECDH, prime256v1, 256 bits
…
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA DHE-RSA-CAMELLIA128-SHA SSLv3 Kx=DH Au=RSA Enc=Camellia(128) Mac=SHA1 TempKey: DH, 2048 bits
TLS_RSA_WITH_AES_128_GCM_SHA256 AES128-GCM-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AESGCM(128) Mac=AEAD
TLS_RSA_WITH_AES_128_CBC_SHA256 AES128-SHA256 TLSv1.2 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA256
TLS_RSA_WITH_AES_128_CBC_SHA AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA CAMELLIA128-SHA SSLv3 Kx=RSA Au=RSA Enc=Camellia(128) Mac=SHA1
TLS_DHE_RSA_WITH_SEED_CBC_SHA DHE-RSA-SEED-SHA SSLv3 Kx=DH Au=RSA Enc=SEED(128) Mac=SHA1 TempKey: DH, 2048 bits
TLS_RSA_WITH_SEED_CBC_SHA SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA ECDHE-RSA-DES-CBC3-SHA SSLv3 Kx=ECDH Au=RSA Enc=3DES(168) Mac=SHA1 TempKey: ECDH, prime256v1, 256 bits
SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA EDH-RSA-DES-CBC3-SHA SSLv3 Kx=DH Au=RSA Enc=3DES(168) Mac=SHA1 TempKey: DH, 2048 bits
SSL_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA DES-CBC3-SHA SSLv3 Kx=RSA Au=RSA Enc=3DES(168) Mac=SHA1
CIPHER_COUNT: 27
Checking supported Curves:
CURVE NID_X9_62_prime256v1 P-256 prime256v1, X9.62/SECG curve over a 256 bit prime field
Getting DH param modulus:
static unsigned char dh2048_p[]={
0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xC9, 0x0F, 0xDA, 0xA2,
…
0xFF, 0xFF, 0xFF, 0xFF };
dh2048_p bin sha1sum: b95c799aa5dd388c6df5e72398cb9d7df40519e4
WARNING: DH params look like RFC 3526 May 2003, 2048-bit MODP Group; Apache 2.2 Ubuntu with rfc3526-Patch Builtin
Ist nicht ganz so schlecht, auch wenn noch einiges optimierbar ist. Aber Ciphers aus SSL3 müssen nicht mehr sein.
Wenn hier ein einfaches Hosting bei einem der großen Anbieter gemacht wird, stelle ich mir doch folgende Fragen:
– Liegt die Software auch dort auf dem Server?
– Liegt etwa noch der Quelltext da auf dem Server?
– Liegt die Software auch dort auf dem Server?
Ja, das haben wir glaube ich auch ausführlich dargestellt, da wir von dort das Update ausrollen könnten.
– Liegt etwa noch der Quelltext da auf dem Server?
Nein.
Zu der SSL-Sache: Wenn wir findings dieser Art mit aufgenommen hätten, wären wir nie fertig geworden. Ein auf signierten Updates basierender Update-Prozess könnte aber übrigens auch über HTTP stattfinden, deshalb ist das desaströs kaputte SSL auch kaum der Rede wert in Anbetracht der anderen nuklearen Krater.
Mhh, sowas hatte ich mir schon gedacht. Dennoch vielen Dank für die Recherche, Analyse und natürlich den schönen Podcast :-)
Letztes Jahr habe ich mal hier an der Landtagswahl als Helfer mitgewirkt. Das Ganze erschien mir damals schon haarsträubend und auch die mangelhafte Organisation und Einweisung (auch abseits von IT) waren für mich Gründe, in Zukunft so nicht mehr an unserer Demokratie mitzuwirken.
Was mir technisch damals aufgefallen ist, dass die Schnellmeldung über private Handys, ohne Losung oder Authentifizierung erfolgten. Auch das Zusammentragen, Transportieren und Lagern der Wahlzettel war ohne Legitimation und quasi auf Zuruf. Sollte da jemand wirklich Lust haben für Verzerrungen zu sorgen, erschien mir das definitiv nicht ausgeschlossen und das trotz des ganzen Aufwandes und Bamboriums drumherum :-/
a) Lob steht oben genug. Gute Arbeit, sehr wichtig, jeden Baustein eines möglichen eVoting schon vorher zu entzaubern.
b) Kritik: Ihr macht IMHO nicht deutlich genug, dass das benutzte IT-System für die *Schnellmeldung* am Abend benutzt wird. Daraus wird das vorläufige amtliche Endergebnis berechnet, das es dann am späten Abend gibt. Das *amtliche Endergebnis* wird aber anders erstellt und das dauert ein paar Tage, unter anderem, weil dieses Verfahren langsam und sehr altmodisch und IMHO auch komplett auf Papier durchgeführt wird. Spätestens dabei wäre jeder Hackversuch des Schnellmeldesystems aufgefallen. Zumindest verstehe ich das so, lasse mich aber auch gerne korrigieren.
Die Unterscheidung zwischen Schnellmeldung und amtlichem Endergebnis wurde doch mehrmals genannt. Zudam wurde auf den Vertrauensverlust verwiesen, den ein manipuliertes vorläufiges Ergebnis nach sich ziehen würde und es wurde erklärt, dass Wahlniederschriften (bei der Errechnung des amtlichen Endergebnisses) auch mit Daten auch PC-Wahl gefüttert und ausgedruckt werden.
WDR 5 Politikum: (07.09.2017)
https://overcast.fm/+EEdc-BGeQ/14:48
Das ist aber NICHT Tim Pritlove vom CCC o.O
Die Wiedergabegeschwindigkeit zu variieren ist echt super, dann kann man schön zeit sparen.
Siehe (höre) auch zum Thema:
HR Info Wissenswert – Wissenswert: Umfragen, Trends, Prognosen vom 08.09.2017, 30 Min.
“Beschreibung: Wenn an einem Wahltag sofort nach Schließung der Wahllokale die ersten Prognosen oft schon verblüffend nah am späteren Endergebnis liegen, fragen sich viele, wie diese Zahlen zustande kommen. In Wissenswert gehen wir dieser Frage nach und beschäftigen uns mit dem Thema Wahlforschung.”
online hören / mp3 download:
http://www.hr-online.de/website/radio/hr2/index.jsp?key=standard_podcasting_hr2_wissenswert&rubrik=28184
Sehr großes Opening, das hat mir schwer gefallen! Wer jetzt kein Haus hat, baut sich keins mehr: pc-wahl.de. Und Ihr habt das Niveau bis zum Ende gehalten. Vielen Dank.
Ein Angriffsziel nur die „Schnellmeldung“ zu hacken sind Börsenspekulationen. Man Stelle sich vor, 18:02 verkündet die ARD ein Ergebnis von 50% Grüne/AFD. Das dürfte für eine ordentliche Bewegung an den Börsen reichen
Die Zahlen um 18:00 sind die Prognosen der Meinungsforschungsinstitute. Die basieren nicht auf den Schnellmeldungen.
An sowas merkt man, dass die Börse keine Relevanz haben sollte. Wie kann man eine Firma die einen Personalabbau beschliesst mit einem steigendem Kurs belohnen?? Die Börsen sie soweit von der Wirklichkeit entfernt.
Pressemitteilung Bundeswahlleiter: „Verhinderung von Manipulation der Wahlergebnisse hat für Bundeswahlleiter höchste Priorität“
https://bundeswahlleiter.de/info/presse/mitteilungen/bundestagswahl-2017/17_17_manipulation.html
Ich fasse zusammen:
Mit PGP-signierten Excel-Tabellen und einer halbwegs vernünftigen Schlüssel-Signaturkette wären wir deutlich besser dran.
Sorry, PGP ist dafür einfach nicht geeignet.
Genau für solche Signaturketten gibt es PKIs & x.509.
Wie wäre es mit Aufrufen/ Reaktionen/ Forderungen an dieser Stelle:
https://service.bundeswahlleiter.de/bundeswahlleiter-online-formulare/de/kontakt
?
Nur so als Idee, ich habe mich grade schon um einen Text bemüht…
Betrifft: Dringende Aufforderung zur Korrektur des Wahlprozesses
Sehr geehrte Damen und Herren, sehr geehrter Herr Sarreither,
mein Vertrauen in die Vorgänge der Wahlen in unserem Land ist nach den neuesten Berichten des Chaos Computer Clubs (CCC) vom 7.9.2017 (s.[1] und [2]) schwer erschüttert! Es bedarf aus meiner Sicht zur möglichen, wenn auch nicht einfachen Wiederherstellung dieses Vertrauens einer sofortigen Beendigung des Einsatzes der bisherigen Software (auch nach künftigen Updates – s.u.!) sowie einer umfassenden Offenlegung ALLER Prozesse von der Urne bis zum Endergebnis. Diese sollten möglichst einfach zu verstehenden sein und OHNE TEILHABE PRIVATER FIRMEN, sondern ausschließlich mit Werkzeugen die von öffentlichen von Bund und Ländern finanzierten Stellen erzeugt sind, erfolgen. Dies schließt selbstverständlich auch den Einsatz von Software ein, die also, wie Sprecher des CCC nachvollziehbar argumentieren, außerdem quelloffen sein muss, um (neben den dargelegten Sicherheitsaspekten), die Nachprüfbarkeit zu gewährleisten.
Nach Darstellung des CCC sind selbst nach mehrfacher Überarbeitung der Software durch den Hersteller weiterhin gravierende Unsicherheiten darin enthalten, was neben dem durch den CCC dargestellten Verhalten und der Einstellung zu Sicherheitskonzepten der Hersteller dieser Software, selbige AUCH NACH ZUKÜNFTIGEN UPDATES nach meinem Verständnis ausschließt, da sich die Hersteller mehrfach als nicht kompetent bis fahrlässig handelnd erwiesen haben.
Auch dass Sie als „Auftraggeber“ bisher solche äußerst mangelhafte Software eingesetzt haben und sie offenbar zukünftig einsetzen wollen [3], trägt maßgeblich zu meinem tiefgreifenden Vertrauensverlust bei und halte ich für unverantwortlich.
Ich fordere Sie als Bundeswahlleiter und die weiteren Verantwortlichen daher mit Nachdruck dazu auf, die Nutzung jeglicher bisher im Wahlprozess genutzter Software sofort zu beenden und zu untersagen!
Mir ist bewusst, dass die Software „nur“ die vorläufigen Ergebnisse verarbeitet, bzw. nur dafür vorgesehen ist (manche Berichte von Wahlhelfern lassen mich Schlimmeres nicht ausschließen). Durch den Einsatz dieser absolut mangelhaften Software ist dennoch mein Vertrauen in die Prozesse und Seriosität der (Bundestags-)Wahlen in Deutschland tief erschüttert. Strenge Vorgaben oder deren Einhaltung nützen nichts, wenn sie die falschen Prozesse betreffen, bzw. andere wichtige nicht berücksichtigen.
Diese Aufforderung behalte ich mir vor auch öffentlich zu machen. Bzw. werde ich diese Diskussion in Bekannten- Freundes- und weiterem Umfeld führen.
In der Hoffnung auf eine positive Entwicklung und verantwortungsvollen Umgang mit dem demokratischen Prozess,
verbleibe ich mit herzlichen Grüßen,
Timm Schürmann
Fußnoten:
[1] https://logbuch-netzpolitik.de/lnp228-interessierte-buerger
[2] https://ccc.de/de/updates/2017/pc-wahl
[3] https://bundeswahlleiter.de/info/presse/mitteilungen/bundestagswahl-2017/17_17_manipulation.html
Erstmal Danke für eure Mühe der Analyse und der Aufarbeitung der Sachverhalte.
Folgende Fragen stelle ich mir noch:
Warum bedarf es noch einer lokal installierten Anwendung für die Dateneingabe von doch einer sehr überschaubaren Anzahl an Werten, die anschließend per Internet übertragen werden? Wäre eine Web-Anwendung auf Landes-/Bundesservern nicht einfacher?
Die Wahlleiter benötigen eigentlich keine extra Singnaturkarte. Sie haben zum größten Teil doch schon Eine. Könnte man nicht den neuen Personalausweis mit Qualifizierter elektronischer Signatur dafür nutzen?
Gibt es neben der technischen auch eine finanzielle Analyse?
Was hat der Haufen Schrott denn gekostet?!
Verdammt, jetzt habt ihr Merkels Wiederwahl versaut! :P
Ich habe eben noch mit einer Person aus den Komunen gesprochen, der bei der Evaluation von Wahlsoftware dabei war. Dabei hat er mir gesagt, dass ein Tool so schwach gewesen sein soll, dass man damit nur mittels Passwort und Nutzername die Ergebnisse anderer Bezirke oder Wahllokale zu ändern (man hat sich dort dann gegen dieses Tool entschieden, PC-Wahl sei nach deren Aussage übrigens noch eines der besseren). Den Namen des Tools konnte er mir leider nicht mehr sagen.
Kennt wer diesen Fall?
Mein Gott, nicht Korrektur gelesen. Asche aufs Haupt! Hier nochmal sauber:
Ich habe eben noch mit einer Person aus den Komunen gesprochen, die bei der Evaluation von Wahlsoftware dabei war. Dabei hat er mir gesagt, dass ein Tool so schwach gewesen sein soll, dass man damit nur mittels Passwort und Nutzername die Ergebnisse anderer Bezirke oder Wahllokale ändern konnte (man hat sich dort dann gegen dieses Tool entschieden, PC-Wahl sei nach deren Aussage übrigens noch eines der besseren). Den Namen des Tools konnte er mir leider nicht mehr sagen.
Kennt wer diesen Fall?
Angeblich war es dieses Tool:
https://www.kdo.de/download-kdo-wahlen.php
Gehört jetzt auch zur Vote-IT.
Wo Linus hier so stolz erzählt, dass er schon lang kein Wahllokal mehr gesehen hat, weil er immer Briefwahl macht, sollte man ihn vielleicht einmal darauf hinweisen, dass die Briefwahl aus demokratischer Sicht fast genau problematisch ist wie Wahlcomputer. Philip Banse hat die Gründe in der letzten Lage der Nation sehr schön erklärt: https://www.kuechenstud.io/lagedernation/2017/09/10/ldn065-wahlkampf-tv-duell-nordkorea-mobilitaetsfond-g20-dunkle-anzeigen/
Berninger war der Support Mann, ja? Hier hilft der der Chef noch selbst, von der vote IT Website:
Die vote iT GmbH wurde zum 1.1.2016 aus der ehemaligen Berninger Software GmbH und den votemanager-Mitarbeitern der regio iT gebildet. Die erfolgreichen Produkte votemanager und PC-Wahl werden wie bisher weiterentwickelt und gepflegt. Insgesamt haben 2.700 Behörden die Produkte von vote iT lizenziert. Damit werden für rund 66 % der Einwohner Deutschlands die Wahlen mit unseren Produkten organisiert und präsentiert.
Wir nehmen mal an, Wahlen hätten etwas mit Demokratie zu tun. Sie wären ganz wichtig. Trotzdem ist das Vertrauen in Politiker jeder Coleur niedriger, als das in Gebrauchtwagenverkäufer.
Jetzt habt ihr massenhaft Mängel in der offiziellen Wahlsoftware gefunden. Was die zu machen scheint, sollte sogar Excel können. Excel hat sogar eine Rotdrei – Verschlüsselung, knackt jeder. Aber im Neuland, das lassen wir mal.
Was spräche dagegen, wenn ihr selbst eine Wahlsoftware schreibt, die meinetwegen als freie Software für alle zugänglich macht und dem BSI gebt? Die hätte ja diese Mängel bestimmt nicht. Nebenbei müssen diese Software Leute bedienen können, die sowas wie freiwillige Helfer sind.
Die eben keine studierten Informatiker sind, für die das Neuland so neu ist, dass sie nicht einmal ansatzweise begreifen, was ihnen Merkel, die Miesere und das Maaslos an Gesetzen untergejubelt haben.
Danke für dieses große Kino!
Die Folge hab ich mir gleich zweimal anhören müssen. Vielen Dank für eure tolle Arbeit und die unterhaltsame Präsentation.
Ihr habt es im Auftrag der Zeit bearbeitet? steht in Spiegel Online
„weil der Informatiker Martin Tschirsich und Hacker des CCC darin gravierende Sicherheitslücken entdeckt hatten. Der CCC hatte sich im Auftrag der „Zeit“ mit dem Programm beschäftigt.“
Wundert mich, dass ihr es im Podcast gar nicht erwähnt habt. Eigentlich wurde da immer wieder betont, dass es in der Freizeit und völlig kostenlos passiert ist. Ich unterstelle jetzt mal einen Irrtum der aufgeklärt werden sollte.