Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen Manipulationen. Doch auch wenn es für Cyber-Kriminelle kaum möglich ist, die Wahl direkt zu beeinflussen, gibt es im Vorfeld und im Nachgang Gefahren. Julian Totzek-Hallhuber, Principal Solution Architect bei Veracode, zeigt auf, wo Hacker die Integrität der politischen Willensbildung gefährden könnten.
Die „Klassiker“: Fake News, Trolle und Bots
Obwohl es hierbei zugegebenermaßen nicht um echte Cyber-Kriminalität geht, und um Fake News zu verbreiten, muss man auch noch kein Hacker sein, doch mit ein wenig IT-Kenntnissen und krimineller Energie lässt sich die Wirkung der Falschbehauptungen natürlich deutlich steigern. Das beginnt bei gekauften Likes und Followern und geht über Trollfarmen bis hin zu Bots.
Gibt es gegen letztere recht wirksame technische Mittel, ist der Kampf gegen menschliche Trolle schwieriger, hier bleibt eigentlich nur: Immer wachsam bleiben, Informationen hinterfragen, Quellen prüfen und einen alten Internet-Grundsatz befolgen: „Don’t feed the Troll!“.
Wie bereits bei der letzten Wahl geht auch dieses Mal der Bundeswahlleiter gegen Fake News vor. Auf dessen Website werden beispielsweise verbreitete Falschbehauptungen gesammelt und widerlegt.
Politische Ransomware
Ransomware kennt man eigentlich als eine digitale Form der Erpressung, mit dem Ziel eines Lösegeldes – daher schließlich auch der englische Begriff. Die Angriffsvektoren und die verwendete Verschlüsselungssoftware ließe sich aber ebenso gegen Parteien oder Institutionen einsetzen. Nur wäre dann das vorrangige Ziel eben kein Lösegeld, sondern beispielsweise das Lahmlegen des generischen Wahlkampfes.
Um Verschlüsselungssoftware einzuschleusen ist natürlich erst einmal ein Zugang nötig. Den versuchen Hacker in der Regel mittels Phishing zu erlangen. Vor der US-Wahl 2016 sollen sich russische Cyber-Kriminelle so Zugang zu E-Mails von Hillary Clintons Wahlkampfmanager verschafft haben. Es wird auch von Phishing-Angriffen gegen Bundestagsabgeordnete berichtet, glücklicherweise hat allerdings nur eine kleine Zahl der Politiker diese Mails überhaupt geöffnet.
Identitätsdiebstahl
Identitätsdiebstahl ist ein enormes Problem im Internet, vor dem auch Politiker nicht gefeit sind, Berichte darüber gibt es immer wieder. Oft bleibt es dabei bei „einfachen“ Betrügereien, die auch jeden anderen Bürger treffen können. Es gibt aber auch Fälle, in denen die Täter keine finanziellen Ziele verfolgen, sondern ihre Opfer öffentlich diskreditieren wollen.
Das geschah beispielsweise dieses Frühjahr in Polen: Hacker verschafften sich Zugang zum Twitter-Account von Marek Suski. Dort veröffentlichten sie falsche Tweets und freizügige Fotos einer Politikerin – mit dem offensichtlichen Ziel, Suski in ein schlechtes Licht zu stellen.
Schwachstellen in Anwendungen
Bei der Bundestagswahl 2017 sollte das Programm „PC-Wahl“ zum Einsatz kommen, das damals noch mehrere Bundesländer zur Verwaltung von Wahlergebnissen nutzen, obwohl es bereits als veraltet galt. Der Chaos Computer Club konnte damals eklatante Schwachstellen in der Anwendung aufdecken.
Beispielsweise war dort die Übertragung der Wahlergebnisse zunächst gar nicht verschlüsselt, wodurch eine Man-in-the-Middle-Attacke ein leichtes Unterfangen gewesen wäre. Die Hersteller besserten das Programm bis zur Wahl nach und Angriffe gab es glücklicherweise auf diesem Weg keine.
2017 wurde bereits eine unabhängige Zertifizierung von Wahlsoftware gefordert, doch passiert ist bis heute nichts. Auch der Nachfolger von PC-Wahl „Votemanager“ wurde nicht zertifiziert und wies nach Meinung von Experten immer noch Schwachstellen auf. Dieses Programm wurde dennoch bei Kommunalwahlen eingesetzt.
Mittlerweile sollen die Fehler laut Hersteller behoben sein und viele Kommunen werden bei der Bundestagswahl auf Votemanager setzen. Laut dem aktuellen State of Software Security Report schneidet der öffentliche Sektor im Vergleich zu allen anderen untersuchten Industrien allerdings am schlechtesten ab:
Software, die im öffentlichen Sektor und in Behörden eingesetzt wird, weist die meisten Schwachstellen auf. Auch die Zeit, die benötigt wird, um Schwachstellen zu beheben, dauert im öffentlichen Sektor vergleichsweise lang.
Fazit
Den einen, großen „Wahl-Hack“ im Stil eines James-Bond-Bösewichts wird es mit ziemlicher Sicherheit nicht geben. Manipulation von Wahlen und Politik im Allgemeinen spielt sich in der digitalen Welt von heute wesentlich subtiler ab und ist deshalb vielleicht umso gefährlicher.
Hacker, die Wahlen manipulieren oder Politiker diskreditieren wollen, werden sich auf bekannte und „praxiserprobte“ Angriffsvektoren und Methoden verlassen. Dazu gehört Identitätsdiebstahl mittels Phishing, das leider immer noch viel zu oft funktioniert. Mit durch Phishing erbeuteten Zugangsdaten können Kriminelle auch weiteres Unheil anrichten, etwa sensible Daten veröffentlichen oder wichtige Informationen verschlüsseln oder löschen.
Daneben werden Hacker auch immer gezielt nach Schwachstellen in Software suchen, die bei Wahlen zum Einsatz kommt – egal ob sie direkt der Stimmabgabe oder nur der Auszählung, beziehungsweise Übermittlung der Stimmen dient.
Um sich zu schützen kann man Politikern und Parteien eigentlich auch nur den gleichen Rat geben, wie Privatpersonen und Unternehmen: Alle Accounts und Netzwerkezugänge sollten mit Multifaktor-Authentifizierung gesichert werden und IT-Beauftragte müssen regelmäßig über Gefahren und aktuelle Praktiken der Kriminellen aufklären.
Anwendungssicherheit spielt auch im politischen Betrieb eine wesentliche Rolle und Institutionen sollten jede Software auf Sicherheitslücken prüfen und sicherstellen, dass Schwachstellen schnell behoben werden.