Jedes digitale System kann gehackt werden. Da liegt die Vermutung nahe, dass die elektronischen Abstimmungsgeräte für die US-Wahlen längst betroffen sind.
Das Hacken eines elektronischen Abstimmungssystems ist für mich nichts Neues. Meiner Erfahrung nach sollte man sich nicht auf die Sicherheitsvorkehrungen für die Geräte selbst konzentrieren. Fakt ist: Jedes digitale System kann gehackt werden und jeder, der etwas anderes behauptet, lügt.
Während der Wahlen in Buenos Aires 2015 habe ich das selten genutzte E-Voting-System „Vot.ar“ gehackt, das auf Papierstimmzetteln mit integrierten RFID-Chips basierte. Der Quellcode von Vot.ar war im Internet aufgetaucht und meine Kollegen und ich hatten einen massiven Fehler in der Stimmauszählungsfunktion gefunden. Aufgrund dieser Schwachstelle hätten Hacker die Daten auf dem RFID-Chip manipulieren können, sodass für einen Stimmzettel mehrere Stimmen gezählt worden wären. Wir haben sofort den argentinischen Kongress informiert, damit dieser das Problem beheben konnte.
Im Zuge der diesjährigen Wahlen in den USA ist das Thema Hacking sehr präsent und brisant. Amerikanische Regierungsbeamte und Wissenschaftler machen russische Hacker für den Angriff auf die Abstimmungssysteme in Illinois und Arizona sowie den Hack von E-Mails des Democratic National Committee verantwortlich. Russland und andere mächtige Staaten scheinen staatlich unterstützte Hacker zu haben, die sehr kompetent sind. Was die meisten aber nicht verstehen ist, dass die anfälligen Wahlsysteme und Abstimmungsgeräte selbst nicht unbedingt das Problem sind.
Es gibt zahlreiche Möglichkeiten, Wahlsysteme zu manipulieren
Hacker können Wahlsysteme manipulieren, ohne dass Sie die Stimmzettel oder Abstimmungsgeräte jemals zu Gesicht bekommen. Eine Folge des Datendiebstahls kann Identitätsbetrug sein. Was meiner Erfahrung nach aber wahrscheinlicher ist, dass die Hacker sich für die Stimmabgabe in den Vorjahren interessieren und versuchen, zukünftige Wahlen mit Hilfe von Bestechung und Drohungen zu beeinflussen.
Bei Wahlen in den Niederlanden waren die elektronischen Abstimmungsgeräte nicht mit dem Internet verbunden. Dennoch wurden sie von Hackern aus 20 bis 30 Metern Entfernung mit Hilfe einer kleinen Antenne ausgespäht, womit sich Radiowellen abhören ließen. So ging die Anonymität der Wähler verloren. Bei dem Angriff auf die Abstimmungssysteme in Illinois haben Hacker persönliche Informationen von bis zu 200.000 Wählern erbeutet.
Ein anderes heimtückisches Ziel der Hacker besteht darin, die Abstände zwischen den Gewinnern und Verlierern der Wahlen zu verringern. Bei digitalen Systemen kann die Legitimität in Frage gestellt werden – insbesondere die Verliererseite könnte die Ergebnisse anzweifeln. Der republikanische Präsidentschaftskandidat Donald Trump hat schon häufig von Wahlmanipulation gesprochen und noch nicht bestätigt, dass er die Ergebnisse der bevorstehenden Wahl auch anerkennen wird. So bekommt man bereits jetzt leise Zweifel.
Man kann davon ausgehen, dass Wahlsysteme bereits gehackt wurden
Elektronische Wahlsysteme werden nicht erst am Wahltag gehackt. Angriffe werden von langer Hand geplant, Monate manchmal sogar Jahre vorher. Man kann also davon ausgehen, dass Wahlen bereits von einem Hack betroffen waren.
Die sicherste Variante wäre es, ganz auf digitale Lösungen zu verzichten. In den USA ist es vermutlich nicht möglich, komplett von elektronischen Abstimmungsgeräten abzurücken, aber man könnte beispielsweise Systeme mit Papierstimmzetteln als eine Art Backup einführen, die dann für Nachzählungen genutzt werden.
Als White Hat Hacker kann ich Ihnen eines mit auf den Weg geben: Die größte Gefahr besteht darin, dass Sicherheitsprobleme verharmlost und dann, sobald die Wahlen vorbei sind, vergessen werden. Eine Wahl zu hacken setzt nicht nur voraus, dass man ein Abstimmungsgerät angreift – die Passivität der Hackerziele spielt eine große Rolle.