US-Wahlcomputer mit vielen Manipulationsmöglichkeiten
Computerwissenschaftler haben in der Software für Diebold-Wahlterminals zahlreiche Sicherheitsmängel gefunden
Im Zentrum einer Demokratie steht die Wahl. Sie ist das primäre Mittel, mit dem die Bürger darüber entscheiden, wer ihre Geschicke lenken soll. Wahlen lassen sich manipulieren, Wahlbetrügereien sind bereits oft genug vorgekommen. Und mit dem Übergang zu digitalen Wahlmaschinen scheinen die Manipulationsmöglichkeiten zuzunehmen. Ein Gruppe von Wissenschaftlern der Johns Hopkins University haben sich das Programm eines in den USA bereits eingesetzten "Direct Recording Electronic" (DRE) Systems der Firma Diebold näher angeschaut.
Aufgekommen ist das Problem mit den Wahl-Computersystemen vor allem durch die Aktivitäten von Bev Harris, wie wir kürzlich berichtet hatten (Das Problem mit den elektronischen Wahlsystemen und der amerikanischen Demokratie). Sensibilisiert durch die Auszählprobleme bei der Präsidentschaftswahl im Jahr 2000, als Bush durch Gerichtsbeschluss zum Wahlsieger erklärt wurde, und durch Berichte über Probleme mit Wahl-Computersystemen bei den Wahlen im Jahr 2002, stieß sie bei der Nachforschung über DRE-Systeme von Diebold auf eine offen zugängliche FTP-Seite. Diebold ist ein weltweit führender Hersteller von Geldautomaten, SB-Systemen und Wahlterminals, aber auch von Sicherheitskonzepten und Softwarelösungen für Banken. Von dieser konnte sie Bedienungsanleitungen, Quellcode und Installationsversionen von Programmen sowie das Zählprogramm GEMS herunterladen.
Beim Testen des Programms für das Touchscreen Wahlterminal AccuVote-TS fiel Harris bereits auf, dass sich die Wahlergebnisse manipulieren ließen, und zwar so, dass die Manipulation im Prinzip nicht mehr entdeckt werden konnte. Überdies stellte Harrisneben weiteren Merkwürdigkeiten fest, dass für das Programm vor den Wahlen bei allen Diebold-Systemen in Georgia ein Patch aufgespielt wurde. DRE-Systeme von Diebold werden auch in weiteren Staaten verwendet. Durch das Bundesgesetz "Help America Vote Act" fördert trotz bekannter Sicherheitsrisiken die Bush-Regierung mit Milliarden von Dollar den Umstieg auf solche digitale Wahlsysteme. Im Juli hat Maryland 11.000 Diebold-Terminals für insgesamt 57 Millionen Dollar bestellt. Diebold geht, nachdem jetzt allmählich erst die Gelder des "Help America Vote Act" frei werden, von einer jährlichen Umsatzsteigerung mit Wahlsystemen von 15 bis 25 Prozent aus.
Weit unterhalb der minimalsten Sicherheitsanforderungen
Wie die Informatiker der Johns Hopkins University monieren, konnten bislang weder der Quellcode noch die Lizenzierungskontrollen durch Dritte öffentlich eingesehen werden, weil die Hersteller behaupten, dass Geheimhaltung für die Sicherheit nach der Devise "Security through obscurity" notwendig sei. Für ihre Analyse haben sie daher die einmalige Chance wahrgenommen, das von Harris von der mittlerweile geschlossenen Diebold-Website heruntergeladene Programm auf Sicherheitsrisiken zu untersuchen. Dabei haben sie sich auf Code beschränkt, der nicht verschlüsselt gewesen ist, auch wenn diese leicht zu knacken und Kennworte im Netz vorhanden gewesen wären, um nicht wegen des Verbots der Umgehung von Sicherheitssystemen nach dem Digital Millennium Copyright Act belangt werden zu können.
Trotz dieser Beschränkungen ist ihr Ergebnis für die amerikanischen Wähler höchst erschreckend und damit für die Demokratie gefährlich. Die Wähler müssen darauf vertrauen können, dass ihre Stimme so, wie sie abgegeben wurde, auch gezählt wird. Doch aufgrund der Analyse des Programms habe sich gezeigt, "dass dieses Wahlsystem weit unter den minimalsten Sicherheitsmaßstäben liegt, die in anderen Kontexten vorhanden sind". Möglich sind Manipulationen nicht nur durch Insider, sondern auch von Außenstehenden. Die Wissenschaftler betonen allerdings, dass die Aufdeckung der Manipulationsmöglichkeiten keineswegs bedeute, dass tatsächlich schon einmal Wahlergebnisse auf diese Weise verändert worden wären.
Auch der Wähler selbst kann das System nach Angaben der Wissenschaftler relativ leicht austricksen. In manchen Staaten müssen die Wähler nicht einmal im Wahllokal ihre Ausweise vorzeigen. Sie erhalten dort oder schon zuvor mit der Post eine PIN-Nummer oder eine Smartcard, die so groß wie eine Kreditkarte ist, um bei dem System über den Touchscreen ihre Wahlentscheidung eingeben zu können und dabei sicher zu stellen, dass jede Person nur einmal eine Stimme abgeben kann. Die Entscheidung wird dem Wähler zum Abschluss noch einmal präsentiert, um noch korrigiert oder bestätigt zu werden. Für den Wähler selbst vollzieht sich alles wie in einer Black Box, weswegen Harris den Prozess auch "blackbox voting" nannte, wenn nicht zusätzlich das Ergebnis beispielsweise ausgedruckt und für eine etwaige Nachzählung aufbewahrt wird.
Smartcards könnten beispielsweise leicht nachgemacht werden, um die gültigen Smartcards zu simulieren. Zur Authentifizierung der Karte wird keine Verschlüsselung verwendet, zudem muss die Karte nicht vom System authentifiziert werden. Das macht die Fälschung einfach, da die auf der Smartcard abgespeicherte Datei etwa mit einem tragbaren Lesegerät gelesen werden kann. Das ließe sich auch heimlich in der Wahlkabine machen. Ein Wähler könnte mit einer ebenfalls leicht fälschbaren Admin-Karte auch in das System selbst eingreifen. So könnte er Wahlergebnisse einsehen und die Wahl frühzeitig beenden, so dass dei Computer erst einmal blockiert wären. Vor allem aber könnte er mit solchen einfach herzustellenden Smartcards, die er mit in die Wahlkabine nimmt und anstatt der gültigen benutzt, mehrmals abstimmen, ohne dass dies bemerkbar würde. Dazu würde man nicht einmal irgendwelche Computerkenntnisse benötigen.
Wenn ein Angreifer direkt auf den Computer zugreifen kann, könnte er einige Dinge verändern, z.B. die Zahl der abgegebenen Stimmen manipulieren, die Anordnung der Kandidaten auf dem Menü des Bildschirms vertauschen, so dass die Stimmen für Kandidat 1 etwa Kandidat 2 zufallen, oder auch manipulierte Daten auf den Server übertragen, da auch die hierfür notwendigen Daten nicht verschlüsselt sind. Die abgegebenen Stimmen und die Audit-Logs werden zwar verschlüsselt abgespeichert, aber auch nicht auf sichere Weise.
Sowohl bei der Konfiguration des Terminals für eine Wahl, als auch bei der Überspielung der Daten an den Server im Wahlbezirk bestehen einige Manipulationsmöglichkeiten, angefangen vom Lahmlegen der Terminals oder Server am Wahltag bis hin zur Veränderung der Wahlergebnisse, die unverschlüsselt von den Terminals über das Internet an den Server übertragen werden. Veränderungen könnten auch über die Updates oder Patches vorgenommen werden, zudem besteht das Programm der Diebold-Systeme aus Programmen von anderen Firmen wie Windows 2000 oder Windows CE. Beide aber haben zahlreiche Sicherheitslöcher, wie die Autoren schreiben, zumal auch hier der Quellcode nicht einsehbar ist. All das verhindere schon eine vollständige Überprüfung und Entfernung von Bugs. Im Code von den Programmierern eingebaute Kommentare weisen darauf hin, dass eigentlich noch Verbesserungen vorgenommen werden sollten ("This is a bit of a hack for now"). An Verbesserungen hinsichtlich der Sicherheit aber sei kaum gearbeitet worden.
Besondere Sorgfalt für den "Code, der unsere Demokratie schützt", erforderlich
Allgemein rügen die Autoren die Existenz von zahlreiche Sicherheitslöchern bei einem Programm für Wahlcomputer, die bereits verwendet werden. Es fehle offensichtlich an wirklicher Kontrolle hinsichtlich der Sicherheit. Sie fordern, dass entweder offener Quellcode verwendet wird, weil dadurch Sicherheit und Qualität entscheidend verbessert werden könnten, oder dass zumindest die Stimme nicht nur digital gespeichert, sondern auch sicherheitshalber auf Papier ausgedruckt wird: "Das Modell, bei dem einzelne Firmen proprietären Code zur Durchführung unserer Wahlen schreiben, scheint unzuverlässig zu sein. Und wenn wir nicht den Gestaltungsprozess unserer Wahlsysteme verändern, werden wir nicht das Vertrauen haben, dass unsere Wahlergebnisse den Willen der Wähler wiedergeben."
Joe Richardson, ein Sprecher von Diebold, sagte gegenüber der New York Times, dass man den Bericht noch nicht gelesen habe. Das Programm sei aber bereits ein Jahr alt. Wenn es Sicherheitslücken gegeben hätte, wären diese in der Zwischenzeit bereits behoben worden. Diebold würde ihre Software einer strengen Prüfung unterziehen. Adam Stubblefield, einer der Autoren des Berichts, räumte zwar ein, dass bei einer ähnlichen Analyse in jeder Software Mängel entdeckt würden, doch hier würden die Maßstäbe besonders hoch angesetzt werden müssen, weil es sich nicht um eine Verkaufsmaschine handelt, sondern weil "dies der Code ist, der unsere Demokratie schützt".
Bedenklicher freilich ist, was Douglas Jones, Computerwissenschaftler der University of Iowa, berichtet. Er sei schockiert über die Ergebnisse der Analyse, weil er einige der Sicherheitslücken, die diese aufgedeckt hat, den Systementwicklern bereits 5 Jahr zuvor mitgeteilt habe.