US-Wahlcomputer: Gravierende Sicherheitslücken in Georgia gefunden

(Bild: kgroovy, CC BY-SA 2.0 )

Schon vor der US-Präsidentschaftswahl hat ein Forscher eine riesige Lücke bei einem für die Wahlcomputer wichtigen Institut in Georgia gefunden. Sie hätte gravierende Manipulationen der Wahlcomputer und der Wahlen erlaubt.

Ein für die Wahlcomputer im US-Bundesstaat zentrales Institut hatte offenbar jahrelang schwere Sicherheitsmängel auf seiner Internetseite, die Angreifern verschiedene Einfallstore geboten hat. Das berichtet das Politikmagazin Politico unter Berufung auf den 29-jährigen Sicherheitsforscher Logan Lamb, der die Mängel schon im Herbst 2016 entdeckt und gemeldet habe. Demnach hat er bei einer automatisierten Suche auf der Seite des Kennesaw State University?s Center for Election Systems mehrere Gigabyte an Daten gefunden, darunter auch viele höchst vertraulicher Dokumente. Trotz seines Hinweises habe er im März 2017 immer noch auf die Dokumente zugreifen können.

Daten über Daten

Zu den öffentlich einsehbaren und bereits von Google indizierten Dokumenten gehörte demnach eine Liste mit den Daten aller 6,7 Millionen in Georgia registrierten Wähler. Darüber hinaus habe er PDFs mit Anleitungen und Passwörtern gefunden, die Wahlhelfer am Tag der US-Präsidentschaftswahl fürs Einloggen in den zentralen Server brauchten. Weiterhin habe er Software gefunden, die auf jenen Geräten läuft, mit denen Wahlhelfer prüfen, ob ein potenzieller Wähler auch registriert ist und wählen darf. Als wäre das nicht genug gab es offenbar auch Datenbanken, auf deren Basis die Wahlcomputer programmiert werden. Schließlich lief die Seite auf einer veralteten Version von Drupal und war demnach immer noch anfällig für eine 2014 geschlossene Lücke namens “Drupageddon”.

Mit den Daten hätten Angreifer auf verschiedene Arten Einfluss auf die Wahlen in dem US-Bundesstaat nehmen können, wissend dass die Wahlcomputer dort keine Spuren auf Papier hinterlassen. Beispielsweise hätten Angreifer die Seite übernehmen und darüber die Computer von Wahlhelfern infizieren können. Oder aber die Daten für die Wahlcomputer würden verändert, sodass etwa Stimmen für bestimmte Kandidaten für deren Kontrahenten gezählt würden ? ohne dass jemand dies hätte bemerken können. Angreifer könnten demnach auch die Wählerlisten derart manipulieren, dass Menschen in ihrem Wahllokal abgewiesen würden. Durch einen Bug sei ähnliches in kleinem Umfang sogar passiert.

Halbherzige Reaktion

Angesichts des weitgehenden Zugangs seien auch noch andere Szenarien denkbar, die angesichts der Berichte über russische Versuche der Einflussnahme nicht aus der Luft gegriffen wirken. Nachdem Lamb die Lücken der zuständigen Universität gemeldet hatte, habe die aber nicht genug unternommen. So sei die Drupal-Lücke für Zugriffe über HTTPS geschlossen worden, aber die HTTP-Seite sei noch bis nach der US-Präsidentschaftswahl angreifbar geblieben. Schließlich habe das FBI die Ermittlungen übernommen und schwere Mängel bei der Arbeit des Zentrums festgestellt. Obwohl das für die Wahlen in Georgia von zentraler Bedeutung sei, hätten dort nur wenige Menschen gearbeitet, von denen einige keinen technischen Hintergrund hätten.

Die Mängel haben aber auch über die US-Präsidentschaftswahl und die Debatten über Manipulationsversuche hinaus weitergehende Bedeutung. So finden in Georgia kommende Woche Nachwahlen statt, die landesweit interessiert beobachtet werden, weil die Republikaner hier einen noch vor kurzem unangreifbar erscheinenden Wahlbezirk verlieren könnten. Außerdem wird das Kennesaw State University?s Center for Election Systems landesweit als Beispiel für gutes Wahlmanagment angeführt, schreibt Politico. Dabei gibt es in Georgia noch weitere gravierende Probleme mit den Wahlcomputern. So wurde die Software darauf zuletzt 2005 zertifiziert und zumindest zur Präsidentschaftswahl lief darauf noch Windows 2000. (mho)

aktuelle Nachrichten weitere aktuelle Nachrichten

  • Karlsruher SC: Stoppelkamp wechselt nach Duisburg

    ?Ich freue mich sehr, dass mit Moritz Stoppelkamp ein Spieler mit großer Qualität zu uns kommt?, sagte MSV-Trainer Ilia Gruev. Der gebürtige Duisburger Stoppelkamp, der bislang 71 Bundesliga- und 165 Zweitligaspiele bestritt und dabei unter anderem für den SC Paderborn, 1860 München und Hannover 96 spielte, erhält beim Aufsteiger Duisburg ?einen Zweijahresvertrag plus Option?, teilte […]

  • US-Wahl: Facebooks versteckter Fingerzeig auf Russland

    Inhalt Seite 1 ? Facebooks versteckter Fingerzeig auf Russland Seite 2 ? 30.000 Konten in Frankreich gesperrt Auf einer Seite lesen Ein Diplomat ist Alex Stamos wahrlich nicht. Als er noch Chief Information Security Officer von Yahoo war, legte er sich mal auf offener Bühne mit NSA-Direktor Michael Rogers an, und auch sonst gilt er […]

  • Staatstrojaner: Lieber verwanz’ ich als G20

    In seiner letzten Sitzung vor der Sommerpause hat der Bundesrat die Änderungen der Strafprozessordnung passieren lassen, mit denen der Einsatz von Staatstrojanern zur Strafverfolgung legitimiert wird. Der federführende Innenausschuss hatte erwartungsgemäß keine Bedenken gegen den Entwurf, schließlich hatten die Innenminister der Länder die polizeiliche Lizenz zum Hacken von Computern und Smartphones explizit gefordert. Sobald die […]

  • Patchday: Google sichert Android von KitKat bis Nougat ab

    (Bild: claudia.rahanmetan, CC BY 2.0 ) Neuen Android-Versionen für Googles Nexus- und Pixel-Serie beinhalten Sicherheitsupdates für zum Teil kritische Schwachstellen. Google hat mehrere Sicherheitslücken in verschiedenen Android-Versionen für seine im Support befindlichen Nexus- und Pixel-Serien geschlossen. Bei der ältesten mit den Sicherheitsupdates versorgten Ausgabe handelt es sich um Android 4.4.4 (KitKat). Am Patchday im Mai sind […]

  • Smartphone-Akkus im Test: Akku-Flop oder Dauerläufer?

    Saturn-Schnäppchen: Zum Angebots-Check! Instagram Direct: Mit Bildern auf Storys antworten Telekom-Werbeanrufe: Nach Vertragsende unzulässig Gratis laden: Software-Tipp des Tages Raketenabwehr: GPS-Signal in Hamburg gestört Besser suchen: 32 clevere Suchtricks für Google Nike: Schuhverkauf bald via Instagram Aktuelle News Marathon-Modelle: Die Smartphone-Akkus im Test Medion Erazer X57425: Gaming-Monitor im Test Panasonic EXW784: Brillanter Fernseher im Test […]