Fucking Friday. Fake-News und Social-Bots und russische Hacker könnten die Bundestagswahl am 24. September 2017 beeinflussen, warnt der Verfassungsschutzbericht 2016:
Insbesondere mit Blick auf die bevorstehende Bundestagswahl 2017 ist davon auszugehen, dass staatliche russische Stellen zudem versuchen, verstärkt Einfluss auf Parteien, Politiker und die öffentliche Meinung zu nehmen.
[ VSB 2016 (pdf, 270p) ]
So präsentieren sich Bundesinnenminister Dr. Thomas de Maizière und der Präsidenten des Bundesamtes für Verfassungsschutz Dr. Hans-Georg Maaßen noch im Juli 2017 in Berlin [ 4.7 ]. Jetzt kommt allerdings heraus, das die Software zur Auswertung der Bundestagswahl unsicher und angreifbar ist, und zwar ohne Verfassungsschutz und ohne russische Hacker, sondern einfach aus sich heraus. Wegen der Inkompetenz ihrer Entwickler bei PC-Wahl.
Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen. Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien.
[ Linus Neumann, an der Analyse beteiligter Sprecher des CCC ]
Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr als zwanzig Seiten umfassenden Bericht [ PDF ]. Die technischen Details und die zum Ausnutzen der Schwächen verfasste Software können in einem Repository eingesehen und zeitsouverän nachgespielt werden [ github.com ].
Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte Update-Mechanismus von „PC-Wahl“ ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert. [ ccc.de ].
< update />
zeit.de: Die Bundestagswahl kann manipuliert werden. Bundeswahlleiter und BSI sind alarmiert.