Bericht: Viele Kantone nutzen veraltete Software für die Stimmzählung

25. September 2020, 15:20
image

Laut Security-Forschern klaffen grosse Lücken in Software für die Ermittlung von Wahlergebnissen. Eine verbindliche Regulation existiert nicht.

Über die Hälfte der Schweizer Kantone verwende veraltete Software, um Wahl- und Abstimmungsergebnisse zu ermitteln. Handlungsbedarf sehe man seitens des Bundes aber nicht. Dies geht aus Recherchen der 'Republik' in Kooperation mit den zwei Security-Forschern Melchior Limacher und Christian Killer hervor.
Das Resultat der Nachforschungen: Mindestens 14 Kantone verwenden Software, die angreifbar ist. Zudem wurden Fälle von fehlkonfigurierten Servern, fehlenden Sicherheitsvorkehrungen und schwachen Verschlüsselungen entdeckt. Man habe ganze 10 Systeme aufgespürt, die im Internet erreichbar seien, erklärt Melchior Limacher auf Anfrage von inside-it.ch. Zu den möglichen Einfallstüren für Manipulation zählen neben Insiderattacken, das Überlisten schwacher Passwörter und Man-in-the-Middle-Angriffe.
Im Bericht wird die fehlende Regulierung für die kritische Infrastruktur des Abstimmungs-Prozesses moniert. Hinweise auf Angriffe gebe es nicht. Die beiden Sicherheitsforscher erklären dann auch, dass es sehr wahrscheinlich keine erfolgreichen Attacken gegeben habe.
Denn alle Kantone wenden Kontrollmechanismen an, die starke Fälschungen im Nachhinein aufdecken können. Zudem machten sich mehrere Kantone an die Behebung der aufgedeckten Lücken und einer der beschuldigten Software-Anbieter wolle ebenfalls Verbesserungen einführen, schreibt die 'Republik'.
In einem technischen Bericht werden die Schwachstellen geschildert:
  • Zur Lösung Wabsti von Abraxas, die in Zürich, St. Gallen und im Thurgau im Einsatz ist, lägen zu wenige Informationen vor, um die Sicherheit zu bestimmen, heisst es im Bericht. Die beiden Security-Experten kritisieren aber, dass die Daten auf Abraxas-Servern gespeichert werden. Dies sei aber letztlich eine politische Frage, so Limacher. Je solider die Protokolle und die technische Umsetzung, desto eher könne ohne nennenswerte Zusatzrisiken bei einem privaten Anbieter gehostet werden.
  • Sygev von Bedag wird in Fribourg und Neuenburg eingesetzt: In der Lösung wurden keine nennenswerten Mängel gefunden, die Informationen seien aber zu wenig detailliert, so die beiden Forscher. Der Berner IT-Dienstleister bietet auch die Software für den Heimkanton: Hier fanden die Forscher eine Lücke, die aber laut Bericht im Laufe des Jahres behoben worden ist.
  • Am weitesten verbreitet ist die Software Sesam Wahlen. Diese wird in den Kantonen Graubünden, Glarus, Uri, Baselland, Basel-Stadt, Luzern, Schaffhausen, Nidwalden und Obwalden eingesetzt. Hier wurde eine Anfälligkeit für Insider-Angriffe festgestellt: Es werde ein einzelnes Userkonto für die Datenbank verwendet, mit dem man umfassende Administrationsbefugnisse erhalte, so der Bericht. Das Default-Passwort für das System laute: "Wahlen". Sesam hat Verbesserungen angekündigt.
  • Aargau, Zug und neuerdings Solothurn arbeiten mit Vework, einer Software der Firma Sitrox. Bei der Untersuchung fanden die Forscher schwache Verschlüsselungsalgorithmen wie RC4, das veraltete Protokoll SSLv3 sowie das Fehlen von HSTS und von etablierten Standardmechanismen zum Schutz vor Session-Hijacking. Ausserdem operiere das System mit einem veralteten Applikationsserver, heisst es. Einige der Probleme wurden laut dem Bericht mittlerweile behoben.
  • Das Wallis nutzt die Software Votel der Firma Deeprod. Hier werde bei der Kommunikation zwischen Browser und Server auf eine unverschlüsselte Verbindung gesetzt, kritisieren die Security-Forscher. Dies macht Votel anfällig für Man-in-the-Middle-Attacken. Der Kanton will die Lücke beheben.
  • Im Tessin wird eine gleichnamige Lösung Votel, aber aus der Schmiede eines unbekannten Anbieters, eingesetzt. Sie weise diverse Lücken wie einen veralteten Verschlüsselungsalgorithmus (3DES) auf, heisst es.

Mangel an Basic-Security

Christoph Jaggi, selbständiger Security-Consultant, sagt auf Anfrage von inside-it.ch: "Wenn man sich nur schon an Standard-Security-Vorgaben gehalten hätte, wäre so was nicht vorgekommen." Einen umfassenden Überblick mit Kontrollfragen bietet etwa das IT-Grundschutz-Kompendium des Deutschen Bundesamtes für Sicherheit in der Informationstechnologie (BSI).
Derzeit werden von den Kantonen St. Gallen und Thurgau neue Systems für die Ermittlung von Wahl- und Abstimmungsergebnissen beschafft. In der Ausschreibung schreibt St. Gallen zu Wabasti, das seit 2003 eingesetzt wird: "Die Applikation erfüllt die gestiegenen Sicherheitsanforderungen für technische Applikationen im Bereich Wahlen und Abstimmungen aufgrund ihres fortgeschrittenen Alters nur noch bedingt." In einem Austausch mit Abraxas habe man die Weiterentwicklung geprüft und sei zum Schluss gekommen, dass ein solches Vorgehen nicht zielführend sei.
Deshalb die Suche nach einer neuen Lösung. Bei beiden Kantonen sind Wartungsarbeiten in den Verträgen vorgesehen, wie dies üblich ist. Dies sollte Hersteller verpflichten, die Software auf dem neusten Stand zu halten und bekannte Schwachstellen zu beseitigen. Der Verschlüsselungsalgorithmus RC4, der etwa in Vework noch bis im Frühling 2020 zum Einsatz kam, wurde bereits 2015 für die TLS-Verschlüsselung als zu unsicher klassifiziert.
Korrigenda (13.1.2021): Die Software SyGEV stammt nicht von Bedag. Diese Firma hat die Software BEWAS beim Kanton Bern störungsfrei im Einsatz. Wir entschuldigen uns für den Fehler.

Loading

Mehr zum Thema

image

Also will für bis zu 100 Millionen Euro Aktien zurückkaufen

Der Distributor lanciert einen Aktienrückkauf. Also-Konzernchef Möller-Hergt hält die Papiere derzeit für unterbewertet.

publiziert am 9.8.2022
image

Post erwirbt Mehrheit an EPD-Betreiber Axsana

Der Konzern erhofft sich mit dem Zukauf einen Schub für das elektronische Patientendossier und will eine einheitliche Infrastruktur schaffen.

publiziert am 9.8.2022
image

Slack gibt Passwort-Fehltritt zu

Fünf Jahre lang hätten böswillige Angreifer unter Umständen Passwörter abgreifen können.

publiziert am 9.8.2022
image

Google wird bald Nachbar von AWS am Zürcher Seeufer

Google baut seine Büro­räumlichkeiten in Zürich weiter aus und zieht demnächst im ehemaligen Schweizer IBM-Hauptsitz ein. In der Nähe hat sich bereits AWS eingerichtet.

publiziert am 8.8.2022