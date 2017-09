Nachdem der CCC gleich eine Reihe von Sicherheitslücken in der bei der Bundestagswahl genutzten Software „PC Wahl“ gefunden hat, haben die Hacker jetzt einen eigenen Patch veröffentlicht.

Chaos-Computer-Club spendet Patch für Wahlsoftware

Bei einer Untersuchung der Software „PC Wahl“ ist der Chaos-Computer-Club (CCC) auf eine ganze Reihe von Sicherheitslücken gestoßen. Obwohl der Hersteller zwischenzeitlich ein Update veröffentlicht hat, soll die Software, die auch bei der Bundestagswahl 2017 zum Einsatz kommt, noch immer nicht sicherer sein. „Resigniert stellen wir nun fest, dass es dem Hersteller nicht nur am Willen, sondern an Kompetenz und inzwischen auch an der notwendigen Zeit fehlt, seine Probleme nachhaltig in den Griff zu bekommen“, so CCC-Sprecher Linus Neumann.

Um dem Problem noch bis zum kommenden Sonntag Herr zu werden, haben sich Mitglieder des CCC jetzt selbst darum gekümmert und einen eigenen Patch auf Github veröffentlicht. Damit soll der Hersteller von „PC Wahl“ einen einfach in das bestehende Programm integrierbaren Mechanismus an die Hand bekommen, um den Update-Mechanismus der Software und die zu übertragenden Wahlergebnisse gegen mögliche Manipulationen abzusichern. Den unter einer Open-Source-Lizenz veröffentlichten Code sieht der CCC als Sachspende an den Hersteller an.

Bundestagswahl 2017: Der CCC greift dem Entwickler der Wahlsoftware „PC Wahl“ unter die Arme. (Screenshot: Chaos Computer Club)

Bundestagswahl: Diese Sicherheitslücken soll der CCC-Patch stopfen

Nach Ansicht der Sicherheitsexperten vom CCC liegen die größten Probleme bei „PC Wahl“ im Update-Mechanismus und in der Art und Weise, wie die Wahlergebnisse an den Wahlleiter übertragen werden. In beiden Fällen fehlt es an einer funktionierenden Methode, um die korrekte Herkunft der Daten sicherzustellen. Der Beispiel-Code des CCC soll jetzt zeigen, wie eine solche digitale Signierung möglich ist.

Auf Github weist CCC-Mitglied Thorsten Schroeder, der sich für den Patch verantwortlich zeichnet, darauf hin, dass für die Übertragung der Wahldaten eigentlich der Einsatz einer Public-Key-Infrastruktur nach dem X.509-Standard sinnvoller wäre. Allerdings würden Hersteller und Wahlleiter inzwischen aber nicht mehr über die notwendige Zeit verfügen, ein solches System aufzubauen.

In einer Pressemitteilung zu dem veröffentlichten Patch fordert der CCC, dass von öffentlicher Hand bezahlte Software auch öffentlich einsehbar sein sollte, um Probleme wie im Fall von „PC Wahl“ frühzeitig aufzudecken und auszubessern. „Hastige Anweisungen zur manuellen unabhängigen Kontrolle von digital weitergeleiteten Ergebnissen mögen eine kurzfristige Lösung sein. Nach der Wahl aber muss ein grundsätzliches Umdenken stattfinden“, so der CCC in seinem Statement.

