IT-Sicherheit So unsicher sind die US-Wahlen

  • Wahlen gelten in den USA seit 2017 als "kritische Infrastruktur". Dafür zu sorgen, dass sie vor Hackerangriffen geschützt werden, hat also höchste Priorität.
  • Doch nach wie vor sind Wahlrechner schlecht geschützt. Wenige Firmen kontrollieren den Markt - und ärgern sich, wenn IT-Sicherheitsforscher auf technische Schwachstellen hinweisen.
  • Die eingesetzten Systeme sind teilweise so alt, dass sie zu langsam für Wähler sind - und diese unnötig verwirren.
Von Hakan Tanriverdi

Dass die Russen kommen, ist ziemlich unwahrscheinlich geworden. Von jenen Propagandatricks, die mehr als 100 Millionen Facebook-Nutzer in den USA vor der Präsidentschaftswahl 2016 zu Gesicht bekommen hatten, ist vor den Zwischenwahlen an diesem Dienstag wenig zu sehen.

"Wo sind die Russen?", fragte die New York Times also kürzlich und gab selbst eine Antwort. "Viele Experten gehen davon aus, dass der russische Präsident Wladimir Putin diese Wahl aussitzt." Zu komplex seien die midterms, um sie zielgenau zu manipulieren.

Das Wall Street Journal schrieb, dass die USA viele Lektionen aus der Wahlkampf-Manipulation 2016 gezogen hätten. Cybersicherheits-Trainings gehören dazu ebenso wie ein reger Austausch über das Thema zwischen 1300 der Personen, die auf lokaler Ebene für Wahlen zuständig sind. Eine weitere Lektion: Wahlen gelten in den USA seit 2017 als "kritische Infrastruktur". Dafür zu sorgen, dass sie vor Hackerangriffen geschützt werden, hat also höchste Priorität. Die Zeitung Boston Globe berichtete, dass es 160 Vorfälle seit 1. August gegeben habe, die als election meddling bezeichnet werden, als Einmischung also. Doch die Zahlen seien auch deshalb so hoch, weil die Verteidigung so gut sei, merkte ein Pressesprecher des Ministeriums für Heimatschutz an. Die Angriffe seien schließlich aufgefallen.

Zwei Wege, um eine Wahl zu manipulieren

Allerdings, merkt Shane Huntley an, gebe es auch keinen Grund, die midterms mit der bereits bekannten Strategie anzugreifen. Zu diesen Methoden gehörte es, ohnehin schon bestehende Meinungsdifferenzen durch gezielte Werbekampagnen in sozialen Netzwerken zu befeuern. Dieser Kampf sei schließlich schon geführt worden, sagt der Mann, der bei Google das Team leitet, das Hackerangriffe analysiert. Auch Google habe "erstaunlich wenig" Versuche von Hackern gesehen, die midterms anzugreifen, sagte Huntley kürzlich auf einer Konferenz (ab Minute 6:10). Das heißt: Sollte es zu einem Angriff kommen, könnte dieser ganz anders ablaufen. Hackerangriffe sind besonders dann erfolgreich, wenn man sich nicht über Jahre hinweg auf sie vorbereiten kann.

IT-Sicherheit Das brisante Geschäft mit der Jagd auf Hacker
IT-Sicherheit

Das brisante Geschäft mit der Jagd auf Hacker

IT-Sicherheitsfirmen enttarnen digitale Angriffe, über die Attackierte und Geheimdienste lieber schweigen würden. Die Berichte können politische Erschütterungen auslösen - und sollen den Unternehmen neue Kunden bringen.   Von Hakan Tanriverdi

Die US-Präsidentschaftswahl 2016 zeigte, dass es zwei Wege gibt, auf denen ein fremder Staat einen Wahlprozess manipulieren kann. Erstens: Er versucht, die Öffentlichkeit zu beeinflussen, indem er Fake-Accounts aufsetzt und über Monate hinweg all jene Themen aufgreift, die in einem Land ohnehin Konflikte anheizen. Hauptsache, der Hass im Zielland lodert.

Darum geht es auch in einer Anklage des US-Justizministeriums gegen eine russische Staatsbürgerin von Ende September. Sie habe durch das "Projekt Lakhta" versucht, die Gesellschaft der USA zu spalten und das Vertrauen in das US-Wahlsystem zu schmälern. Der Anklage zufolge bediente sie sich zwischen Januar 2016 und Juni 2018 aus einem Budget von insgesamt 35 Millionen US-Dollar. Das Geld kam nach Angaben des Justizministeriums von Jewgeni Wiktorowitsch Prigoschin, genannt "Putins Koch". Damit habe sie unter anderem Webseiten angemietet, politische Werbung auf sozialen Netzwerken entweder eingekauft oder aber über Fake-Accounts teilen lassen.

Noch sind die Wahlen sehr schlecht abgesichert

Ein Staat, der in einen fremden Wahlkampf eingreift, kann auch einen zweiten Weg wählen, den technischen. Dabei greift er die Infrastruktur direkt an; findet Schwachstellen in den Webseiten, auf denen die Ergebnisse verkündet werden oder versucht, die Stimmabgabe und das Verarbeiten der Stimmzettel zu manipulieren. Das US-Nachrichtenportal Vox zitiert einen Sicherheitsexperten anonym: "Auf einer Skala von 1 bis 10, bei der 10 die Sicherheitsmechanismen sind, die das Pentagon einsetzt, haben wir uns bei der Absicherung von Wahlen von Stufe 2 auf Stufe 3 bewegt." Die eingesetzten Systeme und Maßnahmen seien anfällig für Hacker.

Gerade Wahlcomputer bieten ein hervorragendes Ziel. Zum einen kommen mehr als 80 Prozent der eingesetzten Computer von drei Herstellern. Das Angebot ist also begrenzt, das macht es für Hacker einfacher, die Modelle genauer zu analysieren. Schließlich werden sie weiträumig eingesetzt. Forschern ist es immer wieder gelungen, Schwachstellen in Wahlrechnern zu finden. Die Hersteller gehen mit Kritik allerdings nicht souverän um.

Als IT-Sicherheitsforscher Schwachstellen in ihren Programmen auf einer Hackerveranstaltung technisch aushebelten (der Bericht als PDF), bedankten sich die Firmen nicht etwa bei den Forschern. Sie wollen vielmehr verhindern, dass sich IT-Sicherheitsforscher noch intensiver mit ihren Rechnern beschäftigen. Und das obwohl die Lücken jeder ausnutzen kann und sie offenzulegen und zu schließen deshalb die Sicherheit der Produkte erhöht.

Die Hürden für einen Angriff sind hoch

Wenn Hacker diese Rechner angreifen wollen, müssen sie vorher wissen, in welchem Wahlbezirk welches Modell von welcher Firma eingesetzt wird. In einem zweiten Schritt müssen sie die Maschinen hacken und dann auch noch unerkannt bleiben. Zudem sind die Rechner selbst nicht direkt mit dem Internet verbunden. Die Hürden für einen Angriff sind also hoch.

Zwar haben die US-Geheimdienste nach der Wahl 2016 wiederholt betont, dass es keine Manipulation der Maschinen gegeben habe. "Aber zur Wahrheit gehört auch, dass niemand wirklich nach Beweisen gesucht hat", wie die Journalistin Kim Zetter in einem Artikel für eine Titelgeschichte des Magazins der New York Times schrieb.

In ihrem Artikel listet Zetter verschiedene Möglichkeiten auf, mit denen Hacker eine Wahl manipulieren könnten. Neben dem Hacken eines Wahlcomputers sei denkbar, die Namen der Wähler von den Listen zu streichen, mit denen Helfer in Wahllokalen arbeiten. Einmal angekommen, müssen Bürger eventuell Stunden warten, bevor sie - und falls überhaupt - wählen dürfen.

Russische Hacker suchten nach Wähler-Datenbanken

Aus einer der Anklagen des Sonderermittlers Robert Mueller (PDF) geht hervor, dass es den russischen Hackern durchaus auch darum gegangen sei, an Datenbanken mit Wählerinformationen zu kommen. Allerdings sei dies erst zwischen Juni und August 2016 passiert. Weite Teile der Hacking-Operationen liefen zu diesem Zeitpunkt bereits seit mehreren Monaten. Die Idee, den Wahlvorgang als solchen ins Visier zu nehmen, könnte den Hackern also erst nachträglich gekommen sein. Die Anklage passt zu einem als geheim eingestuften NSA-Bericht, den die Whistleblowerin Reality Winner an The Intercept geschickt hatte. Winner wurde verurteilt, sie muss für mehr als fünf Jahre ins Gefängnis.

Als ein Großteil der Wahlrechner entwickelt wurde, ging es in erster Linie darum, Stimmen korrekt zu zählen, weniger darum, sie vor Hackerangriffen zu schützen. Die Geräte genügen deshalb nicht den Anforderungen der heutigen Zeit, sagte Jake Braun im Gespräch mit Vox, der unter Barack Obama als Kontaktperson von Weißem Haus und Heimatschutzministerium arbeitete. Heute geht es nicht mehr nur um das Zählen von Stimmen, es geht um die Integrität der Stimmabgabe an sich.

Wie alt die Geräte sind, zeigte sich Ende Oktober in Texas. Dort beschwerten sich einzelne Bürger, ihre Stimmen seien falsch gezählt worden. Der Computer ließ Demokraten Republikaner wählen - und umgekehrt. Die Behörden analysierten den Fall und stellten fest, dass die eingesetzten Maschinen sehr alt waren. In der Zeit, die die Maschinen brauchten, um den Wahlzettel zu laden, hatten die ungeduldigen Wähler längst noch einmal gedrückt - die Stimme wurde deshalb geändert. Die eingesetzten Systeme bieten also auch ohne Hacker jede Menge Grund zum Verzweifeln.

Der Informationswissenschaftler Matt Blaze hat die Sicherheit der Wahlrechner analysiert. Derzeit gebe es "organisierte Versuche durch Bots", Menschen daran zu hindern, ihre Stimme abzugeben, teilte Blaze auf Twitter mit. Die Bots streuten das Gerücht, dass alle Rechner manipuliert seien. Das sei "Quatsch". "Ich gebe meine Stimme ab, weil sie wichtig ist. Das solltet ihr auch tun."

IT-Sicherheit Der Spion, der aus dem Rechner kam

Russische Hacker

Der Spion, der aus dem Rechner kam

Kaum ein Land beherrscht die Kunst des Hackens so wie Russland. Dieser Wissensvorsprung hat eine Vorgeschichte, die in Deutschland beginnt.   Von Georg Mascolo und Hakan Tanriverdi