Aktuelles, Branche - geschrieben von am Dienstag, September 21, 2021 21:22 - noch keine Kommentare

Bundestagswahl 2021: Angreifbarkeit im Umfeld

Julian Totzek-Hallhuber nimmt Stellung zu den Bedrohungen der Integrität der nächsten Bundestagswahl am 26. September 2021

[datensicherheit.de, 21.09.2021] Am 26. September 2021 findet die nächste Bundestagswahl statt. Obwohl aufgrund des analogen Wahl- und Auszählungsverfahrens diese Wahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker gilt, sollte beachtet werden, dass auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, es im Umfeld Gefahren gebe. Julian Totzek-Hallhuber, „Solution Architect“ bei Veracode, beschreibt in seiner aktuellen Stellungnahme, wie Hacker die Wahl dennoch beeinflussen könnten. Um sich zu schützen, könne man Politikern und Parteien eigentlich auch nur den gleichen Rat geben, wie Privatpersonen und Unternehmen: „Alle Accounts und Netzwerkzugänge sollten mit Multifaktor-Authentifizierung gesichert werden und IT-Beauftragte müssen regelmäßig über Gefahren und aktuelle Praktiken der Kriminellen aufklären.“ Anwendungssicherheit spiele auch im politischen Betrieb eine wesentliche Rolle und Institutionen sollten jede Software auf Sicherheitslücken prüfen und sicherstellen, dass Schwachstellen schnell behoben werden.

Fake News: Bundestagswahl im Visier von Trollen

Totzek-Hallhuber erläutert: „Obwohl es hierbei zugegebenermaßen nicht um echte Cyber-Kriminalität geht, und um ,Fake News‘ zu verbreiten, muss man auch noch kein Hacker sein, doch mit ein wenig IT-Kenntnissen und krimineller Energie lässt sich die Wirkung der Falschbehauptungen natürlich deutlich steigern.“
Dies beginne bei gekauften „Likes“ und „Followers“ und gehe über „Troll-Farmen“ bis hin zu „Bots“. „Gibt es gegen letztere recht wirksame technische Mittel, ist der Kampf gegen menschliche ,Trolle‘ schwieriger, hier bleibt eigentlich nur: Immer wachsam bleiben, Informationen hinterfragen, Quellen prüfen und einen alten Internet-Grundsatz befolgen: ,Don’t feed the Troll!‘, rät Totzek-Hallhuber.

Nicht nur zur Bundestagswahl: Politische Ransomware könnte Politiker und Parteien bedrohen

Ransomware kenne man eigentlich als eine digitale Form der Erpressung, mit dem Ziel der Vereinnahmung eines Lösegeldes – daher schließlich auch der englische Begriff. Die Angriffsvektoren und die verwendete Verschlüsselungssoftware ließe sich aber ebenso gegen Parteien oder Institutionen einsetzen. Nur wäre dann das vorrangige Ziel eben kein Lösegeld, sondern beispielsweise das Lahmlegen des gegnerischen Wahlkampfes.
„Um Verschlüsselungssoftware einzuschleusen ist natürlich erst einmal ein Zugang nötig. Den versuchen Hacker in der Regel mittels Phishing zu erlangen“, warnt Totzek-Hallhuber. Es werde z.B. von Phishing-Angriffen gegen Bundestagsabgeordnete berichtet, glücklicherweise habe allerdings nur eine kleine Zahl der Politiker diese E-Mails überhaupt geöffnet.

Identitätsdiebstahl als möglicher Angriffsvektor im Umfeld der Bundestagswahl

Identitätsdiebstahl sei ein enormes Problem im Internet, vor dem auch Politiker nicht gefeit seien – Berichte darüber gebe es immer wieder. Oft bleibe es dabei bei „einfachen“ Betrügereien, welche auch jeden anderen Bürger treffen könnten.
Es gebe aber auch Fälle, in denen die Täter keine finanziellen Ziele verfolgten, sondern ihre Opfer öffentlich diskreditieren wollten. Dies sei beispielsweise im Frühjahr 2021 in Polen geschehen: Hacker hätten sich Zugang zu einem Twitter-Account verschafft, um dort falsche „Tweets“ und freizügige Fotos zu veröffentlichen – mit dem offensichtlichen Ziel, den Konto-Inhaber in ein schlechtes Licht zu rücken.

Schwachstellen in Anwendungen könnten Ergebnisse der Bundestagswahl beeinflussen

„Bei der Bundestagswahl 2017 sollte das Programm ,PC-Wahl‘ zum Einsatz kommen, das damals noch mehrere Bundesländer zur Verwaltung von Wahlergebnissen nutzen, obwohl es bereits als veraltet galt“, berichtet Totzek-Hallhuber. Der Chaos Computer Club habe damals eklatante Schwachstellen in dieser Anwendung aufdecken können. Beispielsweise sei dort die Übertragung der Wahlergebnisse zunächst gar nicht verschlüsselt gewesen, wodurch eine „Man-in-the-Middle“-Attacke ein leichtes Unterfangen gewesen wäre. „Die Hersteller besserten das Programm bis zur Wahl nach und Angriffe gab es glücklicherweise auf diesem Weg keine.“
2017 sei bereits eine unabhängige Zertifizierung von Wahlsoftware gefordert worden, doch passiert sei bis heute nichts. Auch der Nachfolger von PC-Wahl, „Votemanager“, sei nicht zertifiziert worden und habe nach Meinung von Experten immer noch Schwachstellen aufgewiesen. „Dieses Programm wurde dennoch bei Kommunalwahlen eingesetzt. Mittlerweile sollen die Fehler laut Hersteller behoben sein und viele Kommunen werden bei der Bundestagswahl auf ,Votemanager‘ setzen.“ Laut dem aktuellen „State of Software Security Report“ schneide der öffentliche Sektor im Vergleich zu allen anderen untersuchten Industrien allerdings am schlechtesten ab: „Software, die im öffentlichen Sektor und in Behörden eingesetzt wird, weist die meisten Schwachstellen auf. Auch die Zeit, die benötigt wird, um Schwachstellen zu beheben, dauert im öffentlichen Sektor vergleichsweise lang“, so Totzek-Hallhuber.

Bundestagswahl. Auf subtile Manipulation achten!

Den einen, großen „Wahl-Hack“ im Stil eines James-Bond-Bösewichts werde es mit ziemlicher Sicherheit nicht geben. Manipulation von Wahlen und Politik im Allgemeinen spiele sich in der digitalen Welt von heute wesentlich subtiler ab und sei deshalb vielleicht umso gefährlicher. „Hacker, die Wahlen manipulieren oder Politiker diskreditieren wollen, werden sich auf bekannte und ,praxiserprobte‘ Angriffsvektoren und Methoden verlassen“, schätzt Totzek-Hallhuber.
Dazu gehöre Identitätsdiebstahl mittels Phishing, das leider immer noch viel zu oft funktioniere. Mit durch Phishing erbeuteten Zugangsdaten könnten Kriminelle auch weiteres Unheil anrichten, etwa sensible Daten veröffentlichen oder wichtige Informationen verschlüsseln oder löschen. Daneben würden Hacker auch immer gezielt nach Schwachstellen in Software suchen, welche bei Wahlen zum Einsatz komme – egal ob sie direkt der Stimmabgabe oder nur der Auszählung, beziehungsweise Übermittlung der Stimmen diene.

Weitere Informationen zum Thema:

Der Bundeswahlleiter
Bundestagswahl 2021 / Erkennen und Bekämpfen von Desinformation

Süddeutsche Zeitung, Constanze von Bullion, 14.07.2021
Bundestagswahl als Hacker-Ziel: Stimmzettel sind „old school“, aber sicher

c’t, Fabian A. Scherschel, 20/2017
Lachnummer PC-Wahl / Hacker knacken Bundestagswahl-Software

FrankfurterRundschau, Stefan Simon, 21.07.2021
Software für Hessenwahl ist fehlerhaft – Fachleute warnen: Ergebnisse lassen sich manipulieren

Kommune21, 14.6.2021
Fachverfahren: Wahlen sind hochsensibel

VERACODE
State of Software Security v11



Kommentieren

Kommentar

Theiners Talk

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung