Hadmut Danisch

Ansichten eines Informatikers

Sicherheitslöcher in Wahlsoftware

Hadmut
7.9.2017 22:15

Ich hatte heute reichlich Leserhinweise auf Sicherheitslöscher in der Bundestagswahlsoftware, gefunden vom CCC. Einige fragten mich nach einer Bewertung. [Nachtrag]

Der CCC hat einen Bericht über die gefundenen Schwächen in Software, mit Meldung, dazu dramatische Artikel darüber in der ZEIT, Golem, und andere.

Ich hab’s mal quergelesen, nicht in allen Details.

Wenn das stimmt, was der CCC da gefunden haben will (hab’s nicht nachgeprüft), wäre das nicht einfach nur „Sicherheitslöcher“, sondern massiver Pfusch auf Laienniveau. Was die da beschreiben, wäre haarsträubender Murks. Eine ganze Kette von Murks.

Da muss man ganz klar sagen, dass das Leute am Werk waren, die einfach keine Ahnung davon haben, was sie da machen.

In dieser Hinsicht kann man das, was die da gefunden haben, fast nicht schwer genug einstufen.

In der Bewertung weiche ich aber – auf den ersten Blick – grundsätzlich ab, weil eine Wahl wie die Bundestagswahl eigentlich so ausgelegt sein muss – oder sagen wir müsste, dass solche Softwarepfuschereien keine ernsthaften Folgen haben können, denn es geht ja nicht um Wahlsoftware, sondern nur um die Auswertung und Übermittlung.

  • Vertraulichkeit: Naja, eigentlich nicht. Denn nach dem Wahlgeheimnis sollte ab der Auszählung in den Wahlbezirken eigentlich nichts mehr geheim und sowieso alles öffentlich sein.
  • Integrität/Authentizität: Das ist natürlich übel, wenn da jemand Ergebnisse verändert oder falsche eingibt oder sonstwie das System stört. Zu mehr als peinlichen falschen Vorabergebnissen und falschen Fernsehgratulationen sollte das aber eigentlich nicht führen, denn es drängt sich eigentlich als Absicherung auf, dass die Wahlergebnisse zentral gesammelt und dann wieder veröffentlicht bzw. an die Wahlbezirke zürückverteilt und von denen überprüft werden müssen. Das ist eigentlich eine uralte Sicherheitstechnik, dass der Empfänger die Nachricht wiederholt und zurückschickt, und der Absender sie nochmal überprüfen muss. Und in diesem Fall auch alle an der Wahl stehenden Kandidaten und Parteien die Ergebnisse überprüfen, im eigenen Interesse.

So hochnotpeinlich und alarmierend die Pfuscherei in der Software ist, die Auswirkungen sollten sich in Grenzen halten, weil die Software letztlich nur dazu dient, die Ergebnisse schnell zu aggregieren, die 1-2 Tage bis zum „amtlichen Endergebnis“ aber nochmal mit traditionellen Methoden, Rückübermittlung und so weiter überprüft wird. Es mag jetzt etwas schräg klingen, aber bei gehöriger Organisation der Wahlabläufe sollte sich das Bedrohungspotential eigentlich eher flach halten.

Was mich dann aber mehr als der Softwarepfusch entsetzt, ist, was in der ZEIT dazu steht:

Der Landeswahlleiter von Hessen hat, aufgescheucht durch Tschirsichs Recherche, eine Anordnung an alle Wahlhelfer erlassen. Sie sollen am 24. September sämtliche mit PC-Wahl übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen, wo sie aufgelistet werden. Die Helfer sind angehalten, einen Ausdruck zu machen und diesen mit ihren Werten abzugleichen. Bei jeder Auffälligkeit sollen sich die Wahlhelfer telefonisch zu melden.

Äh, wie bitte!?

Die haben das jetzt erst angeordnet, nachdem die Lücken bekannt wurden? Ist es denn nicht eine absolute Selbstverständlichkeit und Unverzichtbarkeit, das immer so zu machen?

Dass man das offenbar nicht schon vorher als zwingend angesehen hat, halte ich eigentlich für den noch größeren Pfusch.

„Jeder kann programmieren“

Ich finde einen ganz anderen Aspekt daran aber noch viel schlimmer. Viel, viel schlimmer.

Ständig heißt es „Jeder kann programmieren“. Es wird immer so getan, als könne das jeder „Seiteneinsteiger“ und jedes Grundschulkind mit einem blinkenden Platinchen mal eben so lernen. Man redet gerne von der Bekämpfung des Fachkräftemangels und redet massenweise unbegabten Leuten ein, sie müssten nur „Diversität“ rufen und könnten sich Informatik-Professuren und so weiter gleich abholen.

Solcher Schrott ist eine unmittelbare Folge dessen, dass immer mehr Leute rumprogrammieren, die das nicht können. Programmieren ist eben nicht nur „Coden“, wie das heute so neumodisch heißt, sondern setzt Wissen, Können und das Verstehen der Problemstellung voraus. Der Zeitgeist ist aber, dass „Diversität“ das einzige Kriterium ist und jeder mit rumrühren kann, der will. Genau solche Effekte haben wir in der OpenSource-Szene, wo über den „Code of Conduct“ Entwickler erpresst werden, jeden Murks in den Code aufzunehmen, den irgendeine geschützte Minderheit abliefert. Jegliche Qualitätsanforderungen wurden systematisch zertrümmert.

Was ich ebenfalls grotesk finde, ist eine FAQ, die am Ende des CCC-Reports steht:

Insbesondere die Schwachstellen beim Upload der Daten sind durch die statistischen Landesämter vorgegeben und betreffen daher mit großer Wahrscheinlichkeit jede gemäß deren Vorgabe implementierte Software.

Symptom der notorischen Laienregierungen. Der gesamte öffentliche Dienst ist komplett durchseucht von political correctness, Quoten und politischer Korruption und Ämterpatronage. Die sind in großem Umfang zu reinen Versorgungsposten für politisch Korrekte, Parteifreunde, echte und vermeintliche Minderheiten und anderweitig nicht entsorgbare Geisteswissenschaftler geworden, die eigentlich nur noch technischen Schrott produzieren (vgl. De-Mail).

Ich finde es absurd, dass man einerseits ständig schreit, Putin oder irgendwelche Fake-Newser könnten die Wahl manipulieren wollen, und ständig eine Bedrohung von rechts skizziert, noch dazu eine riesen Cyberkrieger-Armee aufbauen will, gleichzeitig aber durch so massiven Pfusch an elementaren Funktionen den Staat so perforiert, dass es auf die Angreifer eigentlich schon gar nicht mehr ankommt.

Man muss sich klarmachen, dass hier nicht einfach (nur) ein Versagen irgendeiner kleinen Softwareklitsche vorliegt, sondern massives Versagen der Politik und Verwaltung.

Vor allem aber sollte man verstehen, dass die derzeitige Politik und der Zeitgeist, die darauf hinauslaufen, dass immer mehr Leute programmieren, dafür aber immer weniger können müssen und wollen, grotesk scheitert.

Und insofern muss sich auch der CCC fragen lassen, ob es nicht Heuchelei ist, gleichzeitig auf Fehler in Wahlsoftware hinzuweisen und mit der linken Politik, die solchen Pfusch befördert, ins Bett zu gehen.

Man sollte hier näher untersuchen, wie es zu solchen Fehlern kommen konnte, und zwar auch in den Landesämtern. Denn die haben hier offenbar viel vermurkst.

Nachtrag: Ein Leser empfiehlt mir dazu diesen Podcast, in dem das noch näher erklärt würde. Ich habe aber noch nicht reingehört.