Wahlfälschung! Deutsche Wahlcomputer unsicher.

Nedap-Wahlcomputer gehackt

Chaos Computer Club fordert Verbot von Wahlcomputern in Deutschland

gefunden bei http://www.andreas.org/blog/?p=271
und http://www.ccc.de/updates/2006/wahlcomputer

05. Oktober 2006 (erdgeist)
Der Chaos Computer Club hat in enger Kooperation mit der niederländischen Kampagne "Wir vertrauen Wahlcomputern nicht" (wijvertrouwenstemcomputersniet.nl) Wahlcomputer der Firma Nedap auf Schwachstellen untersucht. Die Ergebnisse dieser Untersuchung wurden heute publiziert. Sie zeigen eine grundsätzliche Nichteignung von Computersystemen für Wahlen. Der CCC fordert daher ein vollständiges Verbot von Wahlcomputern für Bundes-, Landtags- und Kommunalwahlen.

Die holländische Initiative “Wij vertrouwen stemcomputers niet” (”Wir vertrauen Wahlcomputern nicht”) kämpft in Holland gegen den Einsatz von Wahlcomputern zur bevorstehenden Parlamentswahl im November. Es ist der Organisation gelungen, eine Nedap ES3B zu beschaffen, das Modell Wahlcomputer, das in den Niederlanden nahezu flächendeckend eingesetzt wird, und das im Wesentlichen baugleich zu den auch in Deutschland bei der letzten Bundestagswahl eingesetzten Geräten vom Typ Nedap ESD1 ist.

In Zusammenarbeit mit einigen Mitgliedern des Chaos Computer Club, meine Wenigkeit eingeschlossen, ist eine Sicherheitsanalyse des Gerätes entstanden, wie die PTB, oder ihr holländisches Gegenstück, die TNO, staatlich beauftragt mit der Überprüfung der Geräte, sie eigentlich hätte schreiben müssen. Das Ergebnis ist desaströs. Die Sicherheitsbehauptungen von Hersteller, Prüfinstitutionen und Innenministerien haben sich als nicht haltbar herausgestellt. Insbesondere ist es dem Team von Wij vertrouwen stemcomputers niet gelungen, einen Patch zur gezielten Manipulation der Wahl zu entwickeln. Damit ist weder die Sicherheit der Stimmabgabe, noch die Vertraulichkeit der Wahl beim Einsatz von Wahlcomputern gewährleistet.

Ach ja, Schach spielt die Nedap jetzt auch.

Einen Fernsehbeitrag über den Hack aus dem niederländischen Fernsehen gibt es hier, mehr Informationen über das Gerät und den vorläufigen Prüfbericht gibt es ab morgen auf der Webseite der Initiative.

---

Computer entscheiden den Ausgang der US-Wahlen

Jede Stimme zählt – möglicherweise

Um das Stimmen-Gezerre der letzten Präsidentschaftswahl diesmal zu vermeiden, werden in
den USA – schon seit zwei Jahren – in denWahlkabinen spezielle Computer eingesetzt, die die
Stimmabgabe über einen interaktiven Berührungsbildschirm erfassen und automatisch zählen.
Nur hat man sich mit dieserTechnik weitaus gravierendere Probleme und Befürchtungen einge-
handelt. (http://www.why-war.com/features/2003/10/diebold.html)

Von Tim Frohschütz www.gazette.at/Archiv2/Gazette3/Frohschuetz.pdf

Der Auftrag war klar: Kein zweites Florida! Nie wieder diese unklar ausgestanztenWahlzettel,„Schmetterlinge“ genannt, bei denen auch noch die Nachzählung immer nur neue Fragen aufwarf.
Die offenbare Lösung war eine zeitgemäße Technologie: ein Computerbildschirm, bei dem man nur noch das gewünschte Feld mit dem Finger zu berühren brauchte, und nach der üblichen Kontrollfrage, ob man das auch wirklich so gemeint habe, war die abgegebene Stimme fehlerfrei erfasst. In der Mehrzahl der US-Bundesstaaten werden die Maschinen seit 2002 eingesetzt.
Daraufhin geschahen rätselhafte Dinge. Einige Beispiele: Im November 2002 wurde Chuck Hagel, der Chef einer Produktionsfirma vonWahlcomputern,mit einem schier diktaturverdächtigen Ergebnis von 83 Prozent zum Senator von Nebraska gewählt.
Im gleichen Monat, in Georgia, gaben dieVorhersagen dem demokratischen Senatskandidaten (49 Prozent) einen deutlichenVorsprung gegenüber seinem Rivalen (44 Prozent). Nach derWahl errechneten dieWahlmaschinen für diesen einen Stimmenanteil von 53 Prozent, für den demokratischen Kandidaten blieben nur noch 46 Prozent.
In Atlanta verschwanden 67 Speicherkarten und wurden erst zehn Tage später gefunden. Zehn andere Speicherkarten wurden aus Maschinen entnommen, die angeblich zusammengebrochen waren. Ob die Stimmen auf diesen Karten gezählt wurden, war nicht zu ermitteln.

Bei den Vorwahlen in Orange County, Kalifornien, im März dieses Jahres wurden, wie die Los Angeles Times berichtete, in 21 Wahlbezirken 7.000 Stimmen mehr abgegeben, als überhaupt Wähler registriert waren. Firmenvertreter erklärten die Pannen kurzerhand mit „Software-Defekten“.

Jetzt fragten beunruhigte Bürgerrechtsgruppen doch genauer nach: Wie werden die Stimmen eigentlich gezählt? Und landesweit addiert? Vielleicht übers Internet? Mit welcher Software? Und wie funktionieren diese Maschinen überhaupt?
An dieser Stelle war die besorgte Nachfrage aber auch schon wieder zu Ende.
Denn Regierungsstellen und Herstellerfirmen verweigerten jede Antwort mit dem Hinweis auf das Recht zur Geheimhaltung von Betriebsinterna: Die Software in den Wahlcomputern ist das geistige Eigentum der jeweiligen Firma und muss nicht zugänglich gemacht werden.
Wenn also einWählerfragt, wie er nachprüfen kann, ob seine Stimme richtig gezählt wurde, ist die Antwort sehr einfach: Er kann es nicht. Die Wahlmaschinen zeichnen sich ja gerade dadurch aus, dass sie kein Papier mehr ausgeben, das zur Nachzählung aufbewahrt werden könnte. Die gesamte Dokumentation der Stimmabgabe und die Stimmenzählung finden nur noch elektronisch statt, in Computern. Es gibt keinen paper trail mehr, keinen auf Papier festgehaltenen Beweis. Unverschlüsselt werden die Daten an ein Rechenzentrum der Computerfirma Diebold geschickt, wo drei Kopien der Daten angelegt werden: eine als Basis-datei und eine zweite zur Kontrolle. Kein Mensch hat bis jetzt herausbekommen, wofür Diebold die dritte Kopie anfertigt. Der demokratische Wahlvorgang ist zu einem Geschäftsgeheimnis geworden. Die öffentliche Kontrolle derWahl liegt in den Händen eines Privatunternehmens.

Das strapazierte Vertrauen in die maschinelle Stimmenzählung wurde nicht gerade gefördert, als einige der geheim gehaltenen Interna doch bekannt wurden. Sie betrafen vor allem die Firma Diebold, die neben Sequoia und Elections Systems & Software dieWahllokale in 38 Staaten der USA mitWahlmaschinen bestückt. Der E-Mail-Verkehr zwischen den Software-Entwicklern der Firma wurde der Website www.why-war.com zugespielt, die von der Bürgerrechtlerin Beverley Harris betrieben wird. Und da ließen sich in aller Offenheit die Kommentare der frustrierten Programmierer nachlesen: „Das funktioniert wirklich nicht“, stand da, und: „Nicht gerade eine vertrauensbildende Maßnahme, oder?“ Auch eine E-Mail des Vize-Chefs von Diebold, Talbot Ireland, wurde öffentlich. Ireland verlangte ausdrücklich, nicht weiter von der Verwendung des manipulationsanfälligen Betriebssystems WinCE 3.0 zu sprechen, weil man damit bei der offiziellen Prüfstelle, denWyle-Labors, nur schlafende Hunde wecken würde.

Noch bedenklicher aber war die Reparatur erkannter Fehler.
Im Prinzip müssen alle Wahlcomputer von einer Prüfstelle wie den Wyle-Labors kontrolliert werden. Erst nach dieser Endabnahme erhalten die Geräte, jedes einzeln, ein staatliches Zertifikat, und erst dann können sie eingesetzt werden.

Dieser offizielle Vorgang wurde jedoch von Diebold gezielt unterlaufen.

Die Firma stellte nämlich bei bereits zertifizierten, also freigegebenen Geräten eine ganze Reihe von Funktionsstörungen fest. Also wurden die Geräte in eine Lagerhalle transportiert, eine unbewachte Lagerhalle. War dies nur eine gefährliche Sorglosigkeit, so war der nächste Schritt ein gewollter Verstoß gegen das Prüfverfahren: Diebold ließ sogenannte patches programmieren, kleine Reparaturprogramme, die auf die Geräte aufgespielt werden und den Fehler beheben sollten. Diese patches waren jedoch nie durch das offizielle Prüfverfahren gegangen. Ihre Verwendung in den bereits freigegebenen Maschinen war mithin illegal. Und nicht nur dies: Die patch-Daeien standen zum Herunterladen durch die Reparateure in einem Datei-Server im Internet, wo nicht nur jeder sie einsehen, sondern auch nach Belieben manipulieren konnte. Die unkontrollierten, nicht zertifizierten patches wurden in die Wahlmaschinen installiert und diese dann in die Wahllokale geliefert.

Beverley Harris hat Rob, einen der Reparateure, ausfindig gemacht und interviewt: „Bei meinen Recherchen sagte mir jeder, sie würden keinen Rob in Georgia kennen. Aber dann bekam ich eine E-Mail: ‚Ich denke, ich bin vielleicht der Rob in [der Datei] rob-georgia.’ Und jetzt weiß ich, warum sie nicht wollten, dass wir ihn interviewen. Denn hier erfährt man endlich, was da wirklich ablief. Das Wort hat Rob Behler.“

Beverley Harris: Was ist eigentlich rob-georgia?

Rob Behler: Ich glaube, diese Datei war für – also da gab es eine Unmasse von Lücken in diesen Programmen in den Wählmaschinen. Als sie alle ins Lagerhaus reinkamen, machte ich erst einmal eine Qualitätskontrolle. Das machte ich an einem Samstag. Ich fand heraus, das 25 Prozent der Maschinen den KSU-Test nicht bestehen würden. [...]

Was ist ein KSU-Test?

Der Kennesaw-State-University-Test. Wir wussten ziemlich genau, welche Tests da bevorstanden, und der Trick bestand nun darin, die Maschinen so herzurichten, dass sie denTest bestehen konnten.Also untersuchte ich eine Palette und fand heraus, sie war nicht in Ordnung. Dann checkte ich eine zweite und noch eine, und da wusste ich, wir hatten ein Problem.

Das waren Sie und James Rellinger?

James kümmerte sich um das Netzwerk und ich mich um den Berührungsbildschirm.

Was für Probleme fanden Sie da?

Eine Sache, die nicht klappte, war das Datum; es blieb nicht stehen in seinem Windows-CE-Fenster. Die Echtzeituhr holte sich das Datum von der Hauptplatine, und da steckte ein falsches Jahr drin, 1974 oder so etwas, und dann überprüfte die Maschine es wieder. Jedes Mal fand sie dabei ein falsches Datum, und da hängte sie sich auf.Also mussten sie uns ein Update-Programm schicken, um überall das Datum zu korrigieren. Im Lagerhaus ging das so, dass sie uns alle Updates über das Internet zuspielten, einen FTP-Server. James lud sich die Datei herunter und spielte sie auf die Speicher-Karten auf. Weil alles, was man sich herunterlädt, durch die PCMCIA-Karten geht. Man fährt damit den Computer hoch, und die
Karte holt sich die neue Software. So machten wir das im Lagerhaus. In anderthalb Tagen haben wir 1.800 Maschinen zum Laufen gebracht. Ich weiß noch, der alte Rusty und ich, wir holten jede Maschine von der Palette, fuhren sie hoch, spielten das Update auf, und wir waren gerade mit hundert oder zweihundert Maschinen fertig, als schon wieder ein neues Update amTelefon hereinkam.

Meinen Sie per Modem? Oder durch einen Telefonanruf?

Einen Telefonanruf. Sie sagten uns: Nein, nein, so wie ihr das macht, kann das nicht funktionieren, ihr müsst es so und so machen. Na schön, wir hatten ja erst ein paar hundert Maschinen repariert – aber am Ende haben wir’s dann doch hingekriegt.

Haben Sie jemals etwas von dem FTP-Server heruntergeladen?

Das war meistens James, glaube ich. Ich hatte meinen Laptop angeschlossen, und dann kam James oder auch einer der Ingenieure, lud sich das Programm herunter auf eine Karte, machte Kopien von der Karte, und damit haben wir dann die Maschinen repariert.

Also einer lud das Programm herunter, und dann machte er Kopien davon?

Mit meinem Laptop. Der war auch nicht gesichert. Sie nahmen zum Kopieren einfach meinen Laptop. Die Firma Diebold gab uns nie etwas mit einem PCM-CIA-Schlitz, sie sagten uns einfach: Ladet das doch herunter! Also mussten wir unseren eigenen Laptop dazu hernehmen.

Erinnern Sie sich an irgendwelche Namen aus der Firma Diebold?

Ian. Ich erinnere mich an einen der Leute, Ian. Seinen Familiennamen weiß ich nicht mehr. Ian war einer der wichtigeren Leute, mit denen wir zu tun hatten. Er war schon mit dem Design der Hauptplatine befasst gewesen. Dann hatte er vor allem damit zu tun, deren Probleme in den Griff zu kriegen. Also schickten sie uns die Updates, aber als wir sie installiert hatten, fielen die Maschinen immer noch beim KSU-Test durch.

Soweit ich das verstehe, hat man die Maschinen in die Wyle-Labors zur offiziellen Abnahme und Zertifizierung geschickt, auch zu Cyber, um die Software testen zu lassen.

Aber nach dem, wie Sie das beschreiben, verstehe ich überhaupt nicht, wie die Maschinen durch die angeblich „strengen Tests“ durchgekommen sein sollen.

Ich sehe das so: Sie haben am Ende herausbekommen, dass die Karten, auf die wir das Reparatur-Update draufgeladen haben, überhaupt nie getestet wurden; die Leute sagten uns einfach: Oh, da haben wir ein Problem, jetzt geht hin und macht es weg.

Was ist Ihre Meinung zu den Tests vor der Zertifizierung?

Darum geht’s ja gar nicht. Niemand hat die Dinger je getestet. Als ich das herausfand – ich meine, man kann doch ein Reparaturprogramm nicht ohne Test rausgehen lassen –, da arbeitete ich noch für eine Inkassofirma, und die hätten mich doch sofort rausgeworfen, wenn ich einen patch ohne vorherigen Test verwendet hätte. Man muss doch sicherstellen, dass der patch nicht an anderer Stelle etwas kaputtmacht.Aber die haben die Programme nicht ein einziges Mal getestet, bevor sie uns gesagt haben, wir sollten sie installieren. Stellen Sie sich vor,
wir installieren die Dinger, und 50, 60 Prozent der Bildschirme bleiben einfach
stehen! Man schaltet die Maschine ein und bekommt ein Bild. Man schaltet sie
aus und wieder ein und bekommt ein ganz anderes Bild. Sechsmal, und man be-
kommt sechs verschiedene Ergebnisse.

Können Sie mir ein Beispiel solcher verschiedener Ergebnisse geben?

Das heißt, die Maschine macht jedes Mal, wenn man sie hochfährt, etwas anderes falsch. Einmal bleibt der Bildschirm stehen, und das nächste Mal lädt die Maschine zwar das GEMS-Programm, aber etwas völlig anderes ist falsch, sagen wir: Ein grauer Kasten sitzt in der Mitte des Bildschirms, oder man kann ein bestimmtes Feld überhaupt nicht ausfüllen.

Und an all dem ist die Echtzeituhr schuld?

Ich bin mir nicht sicher. Am Anfang haben die Maschinen so etwas nicht gemacht. Dann haben wir die Echtzeituhr repariert, und danach hätte eigentlich alles funktionieren sollen. Das Problem mit der Uhr war, dass sie an einem bestimmten Punkt den Batteriestand nicht anzeigte. Sie sollte entweder „schwach“ oder „voll“ oder „wird geladen“ anzeigen. Aber die kaputte Uhr zeigte beim Hochfahren der Maschine bloß an: „Keine Batterie“. Ich meine, das geht doch nicht, dass man eine Maschine am Netz hat, sie hochfährt, und dann sagt sie „keine Batterie“! Das ist ja, wie wenn ich sagen würde: Heute morgen stand ich auf und hatte kein Gehirn.
Und als wir schließlich die Software installierten, die das eigentlich reparieren sollte, benahmen sich die Maschinen immer noch ausgesprochen lächerlich. Ich sagte: So geht das nicht; wir brauchen Leute, die wissen, was das Ding genau tun soll, von McKinney, und zwar sofort! Hier weiß keiner, was diese Maschinen eigentlich tun sollen, also brauchen wir Leute, die das wissen. Da endlich haben sie uns dann schließlich vier Leute geschickt. Als die dann wieder weg waren, wussten sie immer noch nicht, warum die Dinger weiterhin nur sporadisch funktionierten. Ich vermute, dass sie in der Woche drauf noch einmal kamen, nachdem man mich schon weggeschickt hatte. Bei der Gelegenheit haben sie wahrscheinlich herausgefunden, woran es wirklich lag. Aber vorher hatten wir schon das Update-Programm auf Tausende von Maschinen aufgespielt.

Wie lief das ab: Hat Dr. Brit Williams die Maschinen zuerst für die Endabnahme geprüft, oder waren Sie vor ihm an den Maschinen?

Wenn die Maschinen ankamen, dann kamen sie zuerst zu uns. Da standen sie dann im Lagerhaus. Wir haben sie zusammengebaut. Ein Karton mit dem Berührungsbildschirm und ein zweiter Karton mit der Wahlkabine. Wir bauten die Maschine auf und machten ein paar Tests damit. Wir prüften das Netzkabel, fuhren die Maschine hoch, überprüften den Drucker, brachten einen Strichcode an, luden das Update fürWindows CE, und dann schickten wir sie zu Brit. Er hat dann den KSU-Test gemacht; die L&A-Prüfung [Logic & Accuracy] fand dann auf Kreisebene statt, unmittelbar vor derWahl.

Der L&A-Test fand also nicht bei der Zertifizierung statt?

Da war keine Zeit mehr dafür. Erst kurz vor der Wahl haben sie das gemacht.

Wie lange dauert ein L&A-Test?

Als wir die Updates machten, sagte man uns, das würde echt lange dauern. Aber sie hatten nicht bedacht, dass sich die Prüfvorgänge überlappen können. Man kann also eine ganze Gruppe Maschinen gleichzeitig updaten. Mit dem L&A-Test ist es dasselbe.

Nach Ihren Erfahrungen: Wie zuversichtlich sind Sie, dass die Wahlmaschinen korrekt funktionieren?

Wenn ich Ihnen sagen soll, wie genau meiner Meinung nach das Zählen der Stimmen abläuft, müsste ich Ihnen sagen: kein Kommentar. Weil ich, nach allem, was ich da gesehen habe, ein tiefes Misstrauen gegen die Maschinen habe. Ich war wirklich erstaunt, dass sie bei derWahl selbst funktioniert haben.


Rob Behlers Misstrauen gegen die Wahlcomputer hat inzwischen auch die staatlichen Stellen erreicht. In Kalifornien hat im April 2004 die zuständige Behörde die Genehmigungen für 14.000 Diebold-Geräte zurückgenommen.

Der Grund: die Verwendung nicht zertifizierter Software. Im Mai 2004 wurde der Einsatz des Diebold-Wahlcomputers AccuVote Tsx in ganz Kalifornien strikt verboten. Berührungsbildschirme dürfen nur noch eingesetzt werden, wenn dabei eine vom Wähler nachprüfbare Papier-Dokumentation angelegt wird. Keine Wählmaschine darf mit einer Telefonleitung oder mit dem Internet verbunden sein. Andere US-Bundesstaaten allerdings wollen die Geräte im November weiterverwenden. Unkontrolliert.

P.S. Glücksspieler sind in den USA offenbar verlässlicher vor Missbrauch geschützt als Wähler. Zu einer Spiel-Software hat der Staat unbeschränkten Zugang, und diese Software wird laufend in Stichprobenuntersuchungen geprüft.

Die Hersteller elektronischer Spielautomaten müssen sich peniblen Kontrollen unterwerfen, bevor sie ihre Hard- oder Software verbreiten dürfen. Und sollte es einmal eine Meinungsverschiedenheit geben, so hat der Spieler das Recht auf eine sofortige Überprüfung des Geräts. Aber hier geht es ja auch um Geld, nicht nur umWählerstimmen.


Weiteres Lesematerial:

http://fholzhauer.de/b/index.php/archives/2006/10/05/schachcomputer/

http://www.scoop.co.nz/stories/HL0307/S00102.htm