Article (Lesedauer: 8 Min.)

Security in the spotlight as the US heads into elections

We can never guarantee to prevent all attacks. But at the very least, we need to be able to know when an attack has happened.

CSO

Anmerkung des Herausgebers:

Die Diskussion von CSO Online über Sicherheitsaspekte rund um Wahlen konzentriert sich weniger auf die Abstimmungssysteme als solche, sondern mehr auf die Sicherheit von Lokalbehörden. Sicherheitslücken bei Lokalbehörden sind weitverbreitet. Ein Problem, das bereits viel zu lange nicht angesprochen wurde. Viele Lokal-, Regional- und sogar Bundesbehörden arbeiten immer noch mit Windows XP auf veralteter Hardware, die aus Kostengründen nicht ersetzt oder modernisiert werden kann. 

CSO Online zufolge fallen solche Behördensysteme häufig Ransomware-Angriffen zum Opfer. Dies liegt oft daran, dass keine Patches für bekannte Schwachstellen eingesetzt und die Systeme von Personen, denen das Verständnis dafür fehlt, genutzt werden. Diesen Personen fällt es nicht auf, wenn sich etwas nicht ordnungsgemäß verhält oder nicht das ist, was es zu sein scheint.

Dies ist jedoch nur ein Teil des Problems in Sachen Wahlsicherheit. Wir können es uns nicht leisten, Schwachstellen der Infrastruktur, die zur Wahlzählung eingesetzt wird, zu ignorieren. Ebenso wie wir es uns nicht leisten können, Schwachstellen bei den Systemen, die die abgegebenen Stimmen verzeichnen, zu ignorieren.  In dieser Hinsicht haben sich elektronische Abstimmungssysteme (DRE-Systeme) wieder und wieder als beängstigend einfach zu knacken erwiesen.  Die Hersteller sperren sich in der Regel gegen externe Prüfungen ihres Codes. Allzu häufig reagieren sie auf von Wahlsicherheitsforschern gefundene Schwachstellen mit dem Versuch, die Schwachstellen unter den Tisch zu kehren, statt sie zu beheben.

Wenn ein DRE-System gefährdet ist, müssen alle von diesem System verzeichneten Stimmen als ungültig gewertet werden. Das liegt daran, dass die elektronische Aufzeichnung einer Stimme für sich alleine keine zuverlässige Option für den Nachvollzug der Stimmabgabe darstellt. Es fehlen Papierunterlagen, auf die man sich berufen kann.

Wahlforscher haben elektronische Wahlsysteme entworfen, mit denen Wähler überprüfen können, ob ihre Stimme korrekt gewertet und gezählt wurde, ohne dass die Bestreitbarkeit verloren ginge. (D. h. die Wähler können später nicht dazu gezwungen werden, offenzulegen, für wen sie gestimmt haben.)  Bislang kommen jedoch keine solchen Systeme zum Einsatz.  Wenn Wahlen mit bestehenden DRE-Systemen durchgeführt werden, müssen wir einfach blind den Datensätzen vertrauen, die das Gerät verzeichnet hat. Es gibt keine Möglichkeit, die Einträge mit den tatsächlichen Stimmzetteln abzugleichen, weil es keine solchen Papierstimmzettel gibt.

Wir können also nicht überprüfen, ob die gezählten Stimmen mit den abgegebenen Stimmen übereinstimmen. Das gilt unabhängig davon, ob der Angriff die Geräte zur Stimmverzeichnung oder die Behördensysteme für die Stimmzählung betrifft.  Ohne diese Garantie können wir nicht wissen, ob wir dem Wahlergebnis vertrauen können.  Und das ist heutzutage wirklich beängstigend.

Man wird nie alle Angriffe verhindern können.  Wir müssen jedoch zumindest feststellen können, wann sich ein Angriff ereignet hat.

– Phil Stracchino, Principal Architect

Beteiligen Sie sich am Gespräch: Finden Sie Solve auf Twitter and LinkedIn, oder folgen Sie über RSS.

Solve Strategy Series

Registrieren Sie sich für eine oder alle dieser globalen Veranstaltungen, an denen Branchen-Influencer, Experten, Technologen und Führungskräfte teilnehmen.

Jetzt registrieren