US-Wahlmaschinen: Alte Betriebssoftware birgt Sicherheitsgefahren

5. Dezember, 2019
US-Wahlmaschinen: Alte Betriebssoftware birgt Sicherheitsgefahren

Betriebssysteme in US Wahlkreise veraltet

Die New Yorker Presse Agentur Associated Press ließ die Betriebssysteme aller US-Wahlkreise kürzlich auf Aktualität überprüfen. Das Ergebnis: Die meisten Wahlmaschinen laufen mit Windows 7 oder noch älterer Betriebssoftware. Das Problem: Microsoft plant, den Support für Windows 7 schon im Januar 2020 einzustellen. Im Herbst 2020 finden jedoch die US-Präsidentschaftswahlen statt und System-Upgrades müssen behördlich zertifiziert werden.

Nur Aktualisierungen gegen Gebühr

Obwohl Microsoft gegen Gebühr weiterhin bis 2023 Updates zur Verfügung stellen wird, ist die Sicherheit der 10.000 US-Wahlmaschinen derzeit ein heißes Thema. Der US-Geheimdienst hatte festgestellt, dass russische Hacker 2016 die Finger im Spiel hatten und dem Präsidentschaftskandidaten Donald Trump seinerzeit zum Sieg verhalfen. Die privaten Unternehmen, die die Wahlsysteme an die US-Wahlbezirke verkaufen, sind für ihr Sicherheitsniveau verantwortlich. Sie müssten Microsoft die Update-Gebühr bezahlen, die recht teuer ist. Ob kleinere Anbieter das stemmen können, ist daher fraglich. Die Unternehmen berichten zwar über ihre konsequent durchgeführten Sicherheitsverbesserungen. Allerdings müsste alles immer von den US-Bundesbehörden abgesegnet werden. Die Kosten dafür liegen im 6-stelligen Bereich. Das ist auch die Hürde dafür, dass die Wahlsysteme nicht einfach mal schnell auf Windows 10 aktualisiert werden könnten. Eines der drei großen Unternehmen, das US-Wahlsysteme vertreibt erwartet beispielsweise, dass sein System für Windows 10 bis zum Herbst 2019 zertifiziert werden wird.

SANS IT-Security Experte Lee Neely sprach ebenfalls davon, dass es hier nicht so einfach sei, wie das simple Aktualisieren auf Windows 10:

„Die modernisierten Systeme müssen eine bundesstaatliche Zertifizierung bestehen. Das dauert mehr als ein Jahr und verursacht erhebliche Kosten. Außerdem stammen einige dieser Wahlsysteme leider von Unternehmen, die bereits nicht mehr im Geschäft sind. Die einzige Option ist dann, ein Ersatzsystem zu kaufen, möglichst noch vor dem geplanten Lebenszyklusdatum. Bleibt nur die Risikominimierung von nicht aktualisierbaren Betriebssystemen durch Isolation und verstärkte Überwachung. Das könnte die älteren Systeme vor unangemessenen Zugriffsversuchen schützen“,

erklärte er.

Sein Kollege, John Pescatore beleuchtet das Thema aus einem anderen Blickwinkel: Seiner Meinung nach sind Millionen von Einzweckrechnern im Einsatz, die seit Jahren unter Windows 7 laufen. Auch wenn Anbieter darauf drängen werden, neue Geräte zu beschaffen, sei schlecht geschriebene neue Software unter Windows 10, nicht unbedingt sicherer als geprüfte und getestete Software, die unter Windows 7. Einige Bundesstaaten, wie Washington, testen bei den diesjährigen Wahlen schon neue Systeme. Aber viele andere müssen noch darum kämpfen, dass ihre Anbieter die Windows 7-Supportlizenzen bezahlen.

J. Alex Halderman, Professor an der University of Michigan und Experte für Wahlsicherheit, sieht das als eine sehr ernste Angelegenheit. Haldermann sagte, dass die USA

„Fehler wiederholen könnte, die in den letzten 10 oder 15 Jahren gemacht wurden, als Bundesstaaten Wahlautomaten kauften, aber deren Software nicht auf dem neuesten Stand hielten und es dafür keine ernsthaften gesetzlichen Bestimmungen gab“.

Noch ältere Betriebssysteme in Einsatz

Die überwiegende Mehrheit der US-Wahlbezirke verwendet übrigens Betriebssysteme, die noch älter sind als Windows 7. Solche werden für die Stimmzettelerstellung, Programmierung von Wahlmaschinen und der Stimmauszählung eingesetzt. Und ohne technischen Support und „Patchfixes“ wären diese Systeme natürlich auch anfällig für Cyberangriffe, stellte die Associated Press mit ihrer Analyse fest. Die Associated Press bezweifelt auch, dass aktualisierte Betriebssysteme rechtzeitig zu den US-Wahlen 2020 zertifiziert und freigegeben werden können. Die Analyse fand heraus, dass viele wichtige Wahlkreise wie Arizona, Florida, Indiana, Iowa, North Carolina, Pennsylvania und Wisconsin mit alten Betriebssystemen laufen würden. Bundesstaaten wie Michigan und Georgia hätten aber bereits neue Wahlsysteme erworben, hieß es. Und einige Wahlbezirke in den Bundesstaaten Delaware, South Carolina und South Dakota wären noch am Prüfen, ob ein Neuerwerb in Frage käme.

3 Wahlsysteme beherrschen den Markt

Drei Unternehmen verkaufen 92 % der US-weit eingesetzten Wahlsysteme: Election Systems and Software LLC, Dominion Voting Systems Inc. sowie Hart InterCivic Inc. Nur die neueren Systeme von Dominion Voting Systems Inc. sind dabei nicht von bevorstehenden Windows-Softwareupdates betroffen. Die Wahlmaschinen von Hart InterCivic Inc. laufen mit einer Windows-Version, die am 13. Oktober 2020 ausläuft. Wenige Wochen später beginnt die US-Wahl. Election Systems and Software LLC geht davon aus, dass sie ein Wahlsystem mit Windows 10 bis zum Herbst zur Verfügung stellen könnten. Schon im April dieses Jahres forderte der oberste US-Wahlbeamte alle Wahlbezirke auf, ihre Systeme zu aktualisieren. Bis jetzt haben fast 60 % der Wahlbezirke seine Forderungen umgesetzt. Unterstützt wurden sie mit 14,15 Millionen US-Dollar, hauptsächlich aus Bundesmitteln. Damit wurden nagelneue Wahlsysteme gekauft. Das Problem dabei: Die Wahlbezirke kaufen zwar neuen Systeme, aber die meisten davon laufen noch auf der alten Windows 7 Software.

Ob das ein schlechter Witz sei, fragte Marilyn Marks, Exekutivdirektorin der Coalition for Good Governance, einer Organisation zur Förderung der Wahlintegrität, als sie darüber erfuhr. Ihre Organisation verklagte den Bundesstaat Georgia, der seine Wahlautomaten entsorgen und ein sichereres System einführen sollte. Georgia hatte kürzlich Windows 7 auf einem Wahlsystem getestet, das die Behörden für gut befanden. Sie macht es aber klar:

„Wenn Georgia ein Wahlsystem kauft, das noch auf Windows 7 läuft, werden wir vor Gericht gehen, um den Kauf zu verhindern.“

Es geht noch schlimmer

Und als ob das Thema nicht schon erschreckend genug sei, haben Forscher neues aufgedeckt. Sie fanden heraus, dass einige Back-End-Wahlsysteme mit dem Internet verbunden sind. Sie sprechen von 30 Systemen in 10 US-Bundesstaaten. Manche seien seit über einem Jahr mit dem Internet verbunden. Die Forscher meldeten ihre Funde den zuständigen Behörden. Daraufhin nahmen ein paar Wahlbezirke ihre Systeme vom Netz, aber nicht alle. Laut Auskunft einiger Wahlbeamte, seien ihre Wahlsysteme nicht mit dem Internet verbunden, weil ihre Verkäufer sie installiert hatten und die Behörden die Installation nicht überwacht hätten.

SANS IT-Security Experte John Pescatore sieht hier Parallelen:

“Wir haben das vor 20 Jahren schon durchgemacht, als die Energiewirtschaft behauptete, dass SCADA-Systeme und dergleichen nie mit dem Internet verbunden waren. Aber jeder Penetrationstest bestätige damals das Gegenteil. Das beängstigende und vielsagendste Zitat hierzu kommt vom ES&S VP of Engineering, das sagt, dass die Systeme „…nicht ping- oder adressierbar seien aus dem öffentlichen Internet “ und daher „unsichtbar seien für Hacker oder unbefugte Benutzer“. Jetzt wissen wir also, dass der ES&S-Ansatz für sichere Wahlsysteme auf dem gleichen Niveau liegt, wie der von Menschen, die ihre Brieftaschen in ihre Turnschuhe am Strand ablegen, wenn sie schwimmen gehen.

Artikel von thehill.com, 13.07.2019: Thousands of election systems running software that will soon be outdated: report
Artikel von meritalk.com, 15.07.2019: Most Election Systems Run on Outdated Systems, AP Reports
Artikel von apnews.com, 13.07.2019: AP Exclusive: New election systems use vulnerable software
Artikel von vice.com, 08.08.2019: Exclusive: Critical U.S. Election Systems Have Been Left Exposed Online Despite Official Denials

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen