Elektronische Wahlmaschinen in einigen US-Bundesstaaten © Electronic Products Magazine

US-Wahlen: Russen sollen von Wahlskandal ablenken

Red. / 06. Sep 2016 - Infosperber hat über US-Wahlmaschinen berichtet: Veraltete Hardware, uralte Betriebssysteme, schlechter Code.

Um von skandalösen Zuständen in US-Wahllokalen abzulenken, titeln US-Medien sowie die NZZ «Russische Hacker in Amerikas Wahlregistern».

NZZ vom 31. August 2016

Im Kleingedruckten räumt dann die NZZ ein, die Urheberschaft sei «in jedem Fall schwer zu beweisen». Die elektronischen Wählerregister würden «eklatante Schwachstellen» aufweisen. Zudem könnten 16 US-Bundesstaaten bei Verdacht auf Manipulation das Wahlresultat nicht einmal nachprüfen, weil das Wahlverhalten auf keinem Papier festgehalten sei. Im Bundesstaat Illinois hätten Hacker 200'000 Datensätze von Wählerinnen und Wählern kopiert. Das FBI äusserte sich nicht dazu, wer die Hacker sein könnten. «Experten» verbreiteten die Vermutung, Russland könnte dahinter stecken.

Sogar US-Studenten konnten Abstimmung manipulieren

Ausgeschlossen ist dies nicht. Doch zur Manipulation von veralteten Wahlmaschinen braucht es keine russischen Spezialisten. Das löchrige System ist geradezu eine Einladung zum Manipulieren. Darin besteht der eigentliche Skandal. Infosperber hatte am 21. August unter dem Titel «Cyber-Angriff nur eine Frage der Zeit» ausführlich wie folgt darüber berichtet:

Zwei Jugendliche und ein etwas älterer Mann sitzen in einem Büro an einem Tisch und tippen heftig auf ihren Tastaturen. Stundenlang ändert sich sonst nichts in dem privaten Video vom 01. Oktober 2010. Dann kommt der Satz, der jeden IT-Sicherheitsexperten den Atem anhalten lässt: «Mein Gott. Ich habe eine Shell», sagt einer. «Wir sind drin», bestätigt ein anderer.

Auf einer Tafel an der Wand hinter dem kleinen Schreibtisch aus Buchenholz stehen Punkte wie «Alte Wahl ersetzen», und «bereit machen, die neue Abstimmung zu ersetzen».

Die Wahlmaschinen in Washington D.C., erfahren Sicherheitsverantwortliche wenig später, spielen Brass-Band-Songs, wenn eine Stimme abgegeben wird, die Namen der Kandidaten lauten auf einmal Bender und Hal.

Angriff auf das US-Wahlsystem ist wahrscheinliches Szenario

Zwei Sicherheitsleute stürmen den Serverraum. Dass sie dabei beobachtet werden, wissen sie nicht: durch die Sicherheitskameras verfolgen die Hacker jede Bewegung. Auf einem Bildschirm grüsst sie das Gesicht von Alex Haldermann.

Halderman, inzwischen Professor an der Universität von Michigan, von dem das Video stammt, unterdrückt heute noch das Grinsen, wenn er an diese Szene denkt. Hacker mit wirklich üblen Absichten würden sich kaum so auffällig verhalten.

Der Angriff auf die Wahlmaschinen im Disctrict Columbia war nur ein Test, den Halderman mit zwei Studenten durchgeführt hatte. Dass US-Wahlmaschinen Opfer eines Hackerangriffs werden, ist jedoch ein sehr wahrscheinliches Szenario, berichtet das Online-Magazin «Politico».

Gelernt hat Haldeman sein Handwerk bei einem, der es wissen muss: Andrew Appel, Professor an der renommierten Princeton University, der sich seit den 1990er-Jahren mit der Hard- und Software von US-Wahlmaschinen beschäftigt.

Ein Wahlautomat, der nur noch PacMan spielt

Zusammen mit seinem Kollegen Ed Felten, Wissenschafts- und Technologieexperte des Weissen Hauses, sowie seinen Studenten hackt der Princeton-Professor seit 2002 Wahlmaschinen. Appels Team hat etliche von ihnen mit selbstduplizierender Schadsoftware infiziert. Seine Studenten haben entdeckt, dass die Schlüssel für die Gerätegehäuse auf Ebay ersteigert werden können und etliches mehr.

Einen Wahlautomaten reprogrammierte die «Princeton-Gruppe» so, dass er nur noch PacMan spielen konnte. Einen anderen liess sie eine fiktive Wahl zwischen Benedict Arnold und George Washington austragen, durch ein Programm, das in Sekundenschnelle andere Wahlmaschinen infizierte.

Der «Cyber-Akademiker» Appel warnt seit Jahren dringend vor unzähligen Sicherheitslücken der Wahlmaschinen, besonders bei Touch-Screen-Modellen. Etliche von Appels ehemaligen Studenten halten mittlerweile Professuren an grossen US-Universitäten.

Ein Cyber-Angriff auf eine US-Wahl ist keine verrückte Hypothese

Nordkoreanische Hacker, die eine US-Wahl manipulieren, China, das gerne einen anderen Wahlausgang hätte, oder eine Hackergruppe, die einfach Spass am Chaos hat: das klingt heute nicht mehr nach dem Stoff eines irren ScFi-Romans.

Einen bewiesenen Cyber-Angriff auf eine US-Wahl hat es bisher noch nie gegeben. Bis eine elektronische Wahl Ziel eines Hackerangriffes werde, prognostizieren Felten und Appel, sei es jedoch nur eine Frage der Zeit. Bisher interessierten Appels Studien nur Fachleute. Nach dem Cyberangriff auf die Demokratische Partei der USA, bei dem interne Emails öffentlich wurden, wird er nun endlich gehört.

Ein Cyber-Angriff «ist keine verrückte Hypothese mehr», bestätigt Dan Wallach, einer der Schüler von Felten sowie Appel und inzwischen Professor für Computerwissenschaften an der bekannten Rice-Universität in Texas. «Diese Maschinen funktionieren schon in einem nicht aggressiven Umfeld kaum».

Vom ersten Tag an machten die Touch-Screen-Modelle Probleme

«Ein iPhone ist wahrscheinlich sicherer als die meisten dieser Wahlmaschinen», sagt Ari Feldman, ein weiterer Schüler Appels und Professor an der Universität von Chicago. Die Standards der grossen IT-Konzerne wie Apple, Google, Facebook seien höher als die der US-Wahlmaschinen.

Das hat mehrere Gründe. Die Investitionspolitik nach den Chaos-Wahlen in 2000, bei denen in Florida etliche Stimmen nochmals ausgezählt werden mussten, beispielsweise. Mit dem «Help America Vote Act» wurden danach 4 Milliarden Dollar für den Ausbau der Wahlinfrastruktur vom Kongress gesprochen.

Investiert wurden sie in jene modernen Touch-Screen-Maschinen, vor denen Appel und viele andere nun warnen. Funktioniert hätten sie noch nie wirklich, schreibt «Politico». Vom ersten Tag an habe es Probleme mit den Touch-Screen-Geräten gegeben.

Sie fielen aus (in Florida), zählten bis zu einem Viertel der Stimmen bei den Vorwahlen nicht (in Albuquerque), vergassen jede hundertste Stimme (in Virginia) oder lieferten unerklärliche Wahlergebnisse (New Jersey). 2006 gingen in Florida 18‘000 Wählerstimmen verloren – bei einer Wahl, die mit einer Mehrheit von 400 Stimmen entschieden wurde.

Keine Sicherheitsrichtlinien, wenig Transparenz

Ein anderes Problem liegt in der föderalen Struktur der USA. Der Angriff auf die Mailserver der Demokraten hat auch die Schwächen der US-Regulierung offen gelegt: Es gibt kein nationales Gremium, das Sicherheitsfragen rund um die US-Wahlen behandelt. Jeder Staat regelt das für sich. Verbindliche technische Standards gibt es nicht. Das Einhalten einer Standardisierungsrichtlinie des «National Institute of Standards and Technology» und der Wahlunterstützungskommission ist freiwillig. Dazu unterscheidet sich die Durchführung der Wahlen in jedem County.

Einen Zertifizierungsprozess gibt es zwar, dieser ist jedoch freiwillig und wurde bereits mehrmals wegen fehlender Transparenz kritisiert. Die Testlaboratorien werden von den Herstellern bezahlt. 2008 wurden von fünf akkreditierten Testlabors zwei aus Qualitätsgründen ausgeschlossen.

IT-Sicherheitsexperten, die versuchten, die Maschinen zu durchleuchten, stiessen auf ein weiteres Hindernis: Die darauf verwendete Software wird von den Produktionsfirmen als intellektuelles Eigentum behandelt und ist geheim.

Mieses Coding, fehlendes Sicherheitsverständnis, uralte Systeme

2003 wurde versehentlich der Code einer Touch-Screen-Maschine des Typs «Diebold AccuVote TS» öffentlich. Experten waren entsetzt über Anzahl und Ausmass der Sicherheitslücken. Schlecht gecoded, mies verschlüsselt, gegen Manipulation durch Angestellte des Wahlbüros kaum geschützt – das waren nur einige der Urteile, die Fachleute abgaben.

«Einen Studenten, der einen solchen Code schreibt, würde ich durchrasseln lassen», so der Computerexperte Avi Rubin, Professor an der John Hopkins Universität, der diesen mit untersucht hat. Die Fehler seien nicht nur schlimm, sagt er, sondern «inakzeptabel». Der Hersteller Diebold reagierte mit einer Mitteilung, in welcher der Code als obsolet bezeichnet wurde.

Auch die Handhabung der Geräte lässt mehr als zu wünschen übrig, listet «Politico» auf. In Virginia werden sie bis 2020 verboten sein – der Erfolg eines Kampfes, den der Computerwissenschaftler Jeremy Epstein jahrelang führte. Begonnen hat er 2002, als Epstein sich im Wählerbüro über das schlechte Design der Touch-Screens des Modells «WINVote» beschweren wollte, was in einen dreizehnjährigen Kreuzzug gegen ihren Einsatz mündete.

«Wenn diese Maschinen nicht gehackt wurden, dann nur, weil es keiner versucht hat»

Die Maschinen hatten WiFi-Zugang, arbeiteten mit uralten Windows-Versionen und waren teilweise seit Jahren nicht gewartet worden, stellt Epstein fest. «Wenn diese Maschinen oder die Wahlen, bei denen sie eingesetzt wurden, nicht gehackt wurden, dann nur deshalb, weil es keiner versucht hat», sagt er.

Nicht einmal die Hardware hält einem Angriff stand. Andrew Appel hat das eindrucksvoll bewiesen: Statt sich auf Schleichwegen in eine Maschine einzuloggen, bestellte er einfach eine online. Für 82 Dollar wurde das 113 Kilogramm schwere Gerät in seinem Büro abgeladen.

In ein paar Sekunden hatte ein Student das Geräteschloss geknackt. Wenige Minuten später waren auch die ROM-Chips ausgetauscht. Normalerweise sind diese auf der Platine verlötet, hier waren sie es nicht. Mit den neuen Chips und einer darauf installierten passenden Firmware liesse sich nun jede Maschine beliebig manipulieren – auch ohne Zugang von aussen.

Larry Norden, der Autor einer Studie über die Sicherheit der Wahl-Systeme, die im September 2015 veröffentlicht wurde, verweist auf ein YouTube-Video, in dem festgehalten ist, wie Wähler eine Stelle auf dem Touch-Screen berühren, aber ein völlig anderer Kandidat ausgewählt wird. Das sei nicht das Werk eines feindlichen Hackers, sondern ein Zeichen dafür, dass sich der Kleber hinter dem Schirm löse, sagt er.

Ein einziger veralteter Rechner genügt

Die Begeisterung für digitale Wahlsysteme hat in den USA seit 2007 merklich abgenommen. Dennoch sind Hunderte davon im Einsatz. Wie viele es genau sind, weiss niemand. In 13 Staaten sind papierlose Verfahren im Einsatz, in fünf Staaten wird komplett papierlos gewählt. Aus IT-Sicht ist die abnehmende Zahl der angreifbaren Maschinen keine Entwarnung. Ein veralteter Rechner genügt, um ein ganzes Netzwerk zu infizieren.

Und die Princeton-Gruppe warnt vor weiteren Sicherheitsrisiken. So könnten Hacker die Ergebnisse der US-Vorwahlen manipulieren, in die Software eingreifen, noch bevor sie fertig entwickelt ist, oder die Software beim Versand an die lokalen Wahlbüros abfangen. Welches Chaos eine Veränderung der Datenbanken zur Folge haben könnte, in denen die Wähler registriert sind, liess sich bei den Vorwahlen in New York vor Kurzem erahnen (Infosperber berichtete).

Ohne physische Belege geht es derzeit (noch) nicht

Also zurück zum Papier? Vorschläge aus der Cyberwelt, die Wahlen komplett digital zu machen, die Resultate mit verschlüsselten Wählernamen dann öffentlich auszustellen und sie so vor Manipulation zu schützen, sind eher Zukunftsmusik. Etwas realistischer ist die Idee, den Wählerinnen und Wählern nach der Wahl zumindest eine gedruckte Quittung mitzugeben.

Derzeit ist «OpScan» die bestmögliche Option. 2012 wählten bereits 56 Prozent der US-Wähler mit einer Wahlkarte, die in einem optischen Scanner eingelesen wird. Wesentlich besser als die papierlose Wahl, sagt Appel, auch wenn die kumulierten Daten zur Stimmabgabe trotzdem digital vorgehalten werden, was sie wieder angreifbar macht. Zumindest gebe es mit den Wahlkarten physische Belege der Stimmabgabe, führt er an. Diese könnten in Form von Stichproben oder im Ganzen ausgezählt werden.

Was wäre wenn?

Eine eher hypothetische Annahme. Sollte sich ein Verdacht erhärten, dass die US-Präsidentschaftswahlen manipuliert werden, würde das politisch wie organisatorisch für ein enormes Chaos sorgen. Einen Plan für diesen Fall gibt es nicht.

_

Diesen Beitrag hat Daniela Gschweng aufgrund eines Berichts der Zeitung «Politico» erstellt.

Themenbezogene Interessen (-bindung) der Autorin/des Autors

Keine

Meinungen / Ihre Meinung eingeben

Ähnliche Artikel dank Ihrer Spende

Möchten Sie weitere solche Beiträge lesen? Ihre Spende macht es möglich:

Mit Kreditkarte oder Paypal - oder direkt aufs Spendenkonto für Stiftung SSUI, Jurablickstr. 69, 3095 Spiegel BE
IBAN CH0309000000604575581 (SSUI)
BIC/SWIFT POFICHBEXXX, Clearing: 09000

Ihre Spenden können Sie bei den Steuern abziehen.

Einzahlungsschein anfordern: kontakt@infosperber.ch (Postadresse angeben!)

2 Meinungen

Martin Kilians Artikel «Chirurgische Präzision gegen Afroamerikaner» im TA vom7.09.2016 hat zwar einen guten Titel, doch unterlässt es Kilian, die einzelnen, zitierten Meldungen kritisch zu hinterfragen.
Schon im Untertitel «Nicht nur russische Hacker könnten die Rechtmässigkeit der US-Wahlen infrage stellen» bedient er das Klischee. Die „Gefahr der Russischen Hackerangriffe“ wird weiter verfestigt, ohne irgendwelche kritische Hinterfragung «X beschuldigt ...», «US-Dienste sind laut Medienberichten überzeugt ...», die «Washington Post befürchtet ...» doch eine kritische Analyse, ob tatsächlich Russische Hacker am Werk waren, fehlt gänzlich.

Ganzer Artikel hier:
https://thieblog.wordpress.com/2016/09/09/auch-der-ta-betreibt-eine-unterschwellige-propaganda/
Thierry Blanc, am 09. September 2016 um 10:24 Uhr
wohl wie üblich werden auch diese Wahlen manipuliert und man sogar noch praktischerweise einen Schuldigen, den man auch noch mit einem Krieg «bestrafen» (Clinton) kann.
Hermann K.J. Fritsche, am 11. September 2016 um 12:41 Uhr

Ihre Meinung

Loggen Sie sich ein, um Ihre Meinung unter Ihrem richtigen Namen zu äussern. Wir gestatten keine Meinungseinträge anonymer User, um Missbräuche zu vermeiden. Hier können Sie sich registrieren.
Sollten Sie ihr Passwort vergessen haben, können Sie es neu anfordern. Achtung: Die Länge der Einträge ist beschränkt und wir erlauben nicht, zwei Meinungseinträge unmittelbar hintereinander zu platzieren. Unnötig herabsetzende Formulierungen ändern oder löschen wir ohne Korrespondenz.