Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 18 2017

14:36

September 17 2017

14:25

September 16 2017

05:59

September 15 2017

11:34

September 14 2017

12:56
04:34
04:34

iX kompakt: Virtualisierung und Container

iX kompakt: Virtualisierung und Container Virtualisierung und Container sind in der IT selbstverständlich geworden. Das neue iX-Sonderheft beschreibt die aktuellen Entwicklungen und liefert Nutzern viel Know-how zum Einsatz in der Praxis.

September 13 2017

13:56

Der Desktop für Ubuntu 17.10: Gnome 3.26

Der Desktop für Ubuntu 17.10: Gnome 3.26 Zu den Highlights der jüngsten Gnome-Version zählen ein neues Kontrollzentrum und eine verbesserte Suche. Für teilweise hitzige Diskussionen sorgte die Entscheidung, keine Tray Icons mehr anzuzeigen.
13:08

S3, aber im eigenen Haus: Objektspeichersoftware im Vergleich

S3, aber im eigenen Haus: Objektspeichersoftware im Vergleich Trotz seines Erfolgs wollen viele Unternehmen Amazons Objektspeicherdienst S3 nicht alle internen Daten anvertrauen. In der aktuellen iX können Systemverwalter nachvollziehen, welche freien, aber kompatiblen Alternativen es gibt.
12:30

BlueBorne: Android, Linux und Windows über Bluetooth angreifbar

BlueBorne: Android, Linux und Windows über Bluetooth angreifbar Millionen, vielleicht sogar Milliarden, von Geräten mit Bluetooth können vom Opfer unbemerkt über das Funkprotokoll angegriffen werden. Android- und Linux-Geräte können auf diese Weise gar komplett übernommen werden.
12:26

Kampagne Public Code: Software für die Verwaltung soll frei sein

Kampagne Public Code: Software für die Verwaltung soll frei sein 31 Organisationen fordern, dass mit Steuergeldern finanzierte Programme als freie Software beziehungsweise Open Source veröffentlicht werden müssen. Dies sei günstiger und sicherer. NSA-Whistleblower Edward Snowden unterstützt die Aktion.
10:11

Java EE soll unter dem Dach der Eclipse Foundation landen

Java EE soll unter dem Dach der Eclipse Foundation landen Nach Gesprächen vor allem mit IBM und Red Hat veröffentlicht Oracle konkrete Pläne für die Zukunft von Java EE. So sollen unter anderem Referenzimplementierungen und Technology Compatibility Kits künftig an die Eclipse Foundation relizenziert werden.
10:07

Adobe stopft Sicherheitslücken in Flash, ColdFusion und RoboHelp

Adobe stopft Sicherheitslücken in Flash, ColdFusion und RoboHelp Auch bei Adobe ist wieder Patchday und der Tradition entsprechend patcht die Firma zu dieser Gelegenheit wieder einmal kritische Lücken im Flash Player. Auch ColdFusion und RoboHelp erhalten Updates.

September 12 2017

21:25

Offener Brief: Public Money? Public Code!

Die digitalen Dienste, die öffentliche Verwaltungen anbieten und benutzen, sind die kritische Infrastruktur demokratischer Nationen des 21. Jahrhunderts. Um Vertrauen in jene Systeme aufzubauen, die das Herzstück unserer digitalen Infrastruktur sind, müssen Behörden die volle Kontrolle über sie haben. Aufgrund restriktiver Softwarelizenzen ist dies jedoch selten der Fall. Heute veröffentlichen 31 Organisationen einen offenen Brief, [1] in welchem sie Abgeordnete dazu aufrufen, für die rechtlichen Grundlagen zu sorgen, die es bei der Beschaffung von eigens für die öffentliche Hand entwickelter Software erfordern, dass diese unter einer Freie-Software- und Open-Source-Lizenz veröffentlicht werden muss. Die Erstunterzeichner – darunter CCC, EDRi, Free Software Foundation Europe, KDE, Open Knowledge Foundation Deutschland, Wikimedia Deutschland und viele mehr – rufen sowohl einzelne Personen als auch Organisationen dazu auf, den offenen Brief zu unterzeichnen. Der offene Brief wird anschließend an die Kandidaten zur Bundestagswahl und, im Verlauf der nächsten Monate bis zur Europawahl 2019, an Europaabgeordnete und andere Abgeordnete aus EU-Mitgliedsstaaten versendet. Öffentliche Einrichtungen geben jedes Jahr Millionen Euro für die Entwicklung von auf ihre Bedürfnisse zugeschnittene Software aus. Die öffentliche Auftragsvergabe hat einen großen Einfluss darauf, welche Unternehmen hierbei im Wettbewerb stehen können und welche Software letztendlich durch Steuergelder gefördert wird. Öffentliche Verwaltungen auf allen Ebenen haben häufig Schwierigkeiten, den Quellcode untereinander weiterzugeben, obwohl dieser komplett durch sie finanziert wurde. Auch sensible Bürgerdaten sind einem Risiko ausgesetzt, wenn unabhängige Dritte nicht die Möglichkeit haben, Code-Audits durchzuführen und den Code anderweitig auf Sicherheitslücken zu überprüfen. Deshalb rufen die Unterzeichner Parlamentarier in ganz Europa dazu auf, die digitale öffentliche Infrastruktur zu modernisieren, um es so öffentlichen Verwaltungen, Unternehmen und Individuen zu erlauben, öffentlich finanzierte Software frei zu verwenden, zu verstehen, zu verteilen und zu verbessern. Dies schützt öffentliche Verwaltungen davor, an die Dienstleistungen einzelner Hersteller gebunden zu sein, und stellt sicher, dass der Quellcode verfügbar ist, so dass Hintertüren und Sicherheitslücken unabhängig von einem einzigen Dienstleister geschlossen werden können. Links: [1] Offener Brief
21:25

Offener Brief: Public Money? Public Code!

Die digitalen Dienste, die öffentliche Verwaltungen anbieten und benutzen, sind die kritische Infrastruktur demokratischer Nationen des 21. Jahrhunderts. Um Vertrauen in jene Systeme aufzubauen, die das Herzstück unserer digitalen Infrastruktur sind, müssen Behörden die volle Kontrolle über sie haben. Aufgrund restriktiver Softwarelizenzen ist dies jedoch selten der Fall. Heute veröffentlichen 31 Organisationen einen offenen Brief, [1] in welchem sie Abgeordnete dazu aufrufen, für die rechtlichen Grundlagen zu sorgen, die es bei der Beschaffung von eigens für die öffentliche Hand entwickelter Software erfordern, dass diese unter einer Freie-Software- und Open-Source-Lizenz veröffentlicht werden muss. Die Erstunterzeichner – darunter CCC, EDRi, Free Software Foundation Europe, KDE, Open Knowledge Foundation Deutschland, Wikimedia Deutschland und viele mehr – rufen sowohl einzelne Personen als auch Organisationen dazu auf, den offenen Brief zu unterzeichnen. Der offene Brief wird anschließend an die Kandidaten zur Bundestagswahl und, im Verlauf der nächsten Monate bis zur Europawahl 2019, an Europaabgeordnete und andere Abgeordnete aus EU-Mitgliedsstaaten versendet. Öffentliche Einrichtungen geben jedes Jahr Millionen Euro für die Entwicklung von auf ihre Bedürfnisse zugeschnittene Software aus. Die öffentliche Auftragsvergabe hat einen großen Einfluss darauf, welche Unternehmen hierbei im Wettbewerb stehen können und welche Software letztendlich durch Steuergelder gefördert wird. Öffentliche Verwaltungen auf allen Ebenen haben häufig Schwierigkeiten, den Quellcode untereinander weiterzugeben, obwohl dieser komplett durch sie finanziert wurde. Auch sensible Bürgerdaten sind einem Risiko ausgesetzt, wenn unabhängige Dritte nicht die Möglichkeit haben, Code-Audits durchzuführen und den Code anderweitig auf Sicherheitslücken zu überprüfen. Deshalb rufen die Unterzeichner Parlamentarier in ganz Europa dazu auf, die digitale öffentliche Infrastruktur zu modernisieren, um es so öffentlichen Verwaltungen, Unternehmen und Individuen zu erlauben, öffentlich finanzierte Software frei zu verwenden, zu verstehen, zu verteilen und zu verbessern. Dies schützt öffentliche Verwaltungen davor, an die Dienstleistungen einzelner Hersteller gebunden zu sein, und stellt sicher, dass der Quellcode verfügbar ist, so dass Hintertüren und Sicherheitslücken unabhängig von einem einzigen Dienstleister geschlossen werden können. Links: [1] Offener Brief
16:11

3D-Paket Blender 2.79 mit besserer AMD-Unterstützung

3D-Paket Blender 2.79 mit besserer AMD-Unterstützung Das Open-Source-3D-Paket Blender ist in der Version 2.79 erschienen. Sie soll den Abschluss der 2.7x-Serie bilden. Die Entwickler arbeiten parallel bereits an Version 2.8, die aber erst in einigen Monaten fertig sein wird.
09:11

Service Pack 3 für SUSE Linux Enterprise Server 12 erschienen

Service Pack 3 für SUSE Linux Enterprise Server 12 erschienen SUSE aktualisiert seinen Enterprise Linux Server. Service Pack 3 läuft mit Kernel 4.4. Das verlängert die Liste kompatibler Hardware. Unter anderem bietet es neue Zugriffsmöglichkeiten für nicht-flüchtigen Speicher.

September 08 2017

09:30

AS/400 heute: Linux und Open Source mit IBMs Midrange-Server

AS/400 heute: Linux und Open Source mit IBMs Midrange-Server Seit Jahrzehnten verrichten IBMs Midrange-Server meist zuverlässig und unauffällig ihren Dienst. Doch mittlerweile hat sich einiges getan: Der Konzern setzt für sein Power System i inzwischen stärker auf Linux und Open Source.

September 07 2017

03:11

Software zur Auswertung der Bundestagswahl unsicher und angreifbar

Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse ergab eine Vielzahl von Schwachstellen und mehrere praktikable Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die untersuchte Software „PC-Wahl“ wird seit mehreren Jahrzehnten für die Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes- und Kommunalebene eingesetzt. Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr als zwanzig Seiten umfassenden Bericht. [0] Die technischen Details und die zum Ausnutzen der Schwächen verfasste Software können in einem Repository eingesehen und zeitsouverän nachgespielt werden. [1] „Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus Neumann, an der Analyse beteiligter Sprecher des CCC. Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte Update-Mechanismus von „PC-Wahl“ ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen werden, dass die Schwachstellen nicht allein dem CCC bekannt waren. „Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien“, so Neumann weiter. Die Software kann bereits zur Erfassung der Auszählungsergebnisse in Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den Landeswahlleiter zu übermitteln. Auch dort kommt in einigen Bundesländern erneut „PC-Wahl“ zum Einsatz. Die dokumentierten Angriffe haben das Potential, das Vertrauen in den demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion auf die Schwachstellen verändert: Im Bundesland Hessen wird nun vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels „PC-Wahl“ parallel auf unabhängigem Weg geprüft wird. Die dargestellten Angriffsmöglichkeiten und der frappierend schlechte Allgemeinzustand der Software werfen die Frage auf, wie es um konkurrierende, ebenfalls im Einsatz befindliche Wahlsoftware-Pakete steht. Ein anderes Produkt, IVU.elect, das in Deutschland im Einsatz ist, wurde von Sjoerd van der Hoorn und Sijmen Ruwhof in der in den Niederlanden verwendeten Version betrachtet – mit verheerenden Ergebnissen. [2] „Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine Anwendung finden.“ Eine Regierung, die sich „Industrie 4.0“ und „Crypto made in Germany“ auf die Fahnen schreibt, sollte zusehen, dass sie quelloffene Software für die digitale Unterstützung bei demokratischen Wahlen fördert und nutzt. [3] Bevor sich die Wahlleiter in die Abhängigkeit von Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels moderner Technologie voranzutreiben. Der traurige Zustand dieses Stücks kritischer Wahlinfrastruktur zeigt exemplarisch für die staatlich genutzte IT, dass sich an dessen Vergabepolitik von Software-Aufträgen dringend etwas ändern muss. Ziel der Sicherheitsanalyse war es, vor allem die Sinne der Verantwortlichen zu schärfen. Eine plumpe Manipulation über die mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten Sensibilität unwahrscheinlicher geworden sein. Zumindest für die Bundestagswahl 2017 darf und soll die Aufdeckung der Schwachstellen daher keine Ausrede sein, nicht mit Stift und Papier wählen zu gehen! Der Chaos Computer Club fordert für den Einsatz von Auswertungssoftware bei Wahlen: Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben. Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon. Die Wähler selbst müssen alle Resultate überprüfen können. Alle Verfahrensschritte müssen durch Software-unabhängige Prozeduren geprüft werden. Abhängigkeiten, bei denen manipulierte Software oder manipulierte Computer das Wahlergebnis beeinflussen können, sind zu vermeiden. Parallele, Software-unabhängige Zähl-Prozeduren und eine nochmalige zwingende Handauszählung bei Diskrepanz zwischen elektronisch unterstützter Auswertung und manueller Zählung müssen vorgeschrieben werden. Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen beteiligt ist, darf geheim gehalten werden. Jegliche Wahlhilfsmittel-Software muss mindestens als published Source mit öffentlichem Lese-Zugang auf die verwendeten Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die Sicherheit der Software muss die Veröffentlichung unerheblich sein, was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der Fall wäre. Berichte über die Audits der eingesetzten Software und Systeme müssen öffentlich sein. Dies schließt die Hardwarekomponenten und elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt werden. Alle Systemkomponenten müssen vor dem Einsatz einer unabhängigen Analyse unterzogen werden. Vorab-Angriffe gegen die für die Wahl eingesetzen Computer müssen durch Einsatz von vorher nicht anderweitig verwendeten Systemen erschwert werden. Noch verwendete Oldtimer-Software muss in modernen, sichereren Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit dem Quellcode publiziert werden. Lokale Sonderlösungen bei elektronischen Zählhilfen müssen minimiert werden. Es bedarf festgeschriebener Standards auf aktuellem Stand der Technik für alle verwendeten Rechner und deren Konfiguration sowie für alle System- und Netzwerkkomponenten. Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen. Bedienfehler und Fehler in der Software müssen von vorneherein mitbedacht werden. Möglichst detaillierte Publikation von Auswertungsdaten und deren Änderungsverlauf für eine öffentliche Prüfung. Dabei bedarf es einer Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche Einsatz der Software in Augenschein genommen werden kann, um das Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu erlauben. Links: [0] Bericht: Analyse einer Wahlsoftware https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf [1] Software-Repository: PC-Wahl Angriffstools https://github.com/devio/Walruss [2] Sijmen Ruwhof: https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections [3] Projekte wie der vom BMWi finanzierte „Prototype Fund“ vergeben erfolgreich Fördermittel für die Entwicklung von Open-Source-Software: https://prototypefund.de/ [4] Die Hörversion der Analyse bei Logbuch:Netzpolitik: https://logbuch-netzpolitik.de/lnp228-interessierte-buerger [5] Der Artikel zur Geschichte der Analyse bei Zeit Online Bebilderung: Das Bild zeigt das tatsächliche Logo der Software „PC-Wahl“ der Version 10.  
03:11

Software zur Auswertung der Bundestagswahl unsicher und angreifbar

Hacker des Chaos Computer Clubs (CCC) haben eine in mehreren Bundesländern zur Erfassung und Auswertung der kommenden Bundestagswahl verwendete Software auf Angriffsmöglichkeiten untersucht. Die Analyse ergab eine Vielzahl von Schwachstellen und mehrere praktikable Angriffsszenarien. Diese erlauben die Manipulation von Wahlergebnissen auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. Die untersuchte Software „PC-Wahl“ wird seit mehreren Jahrzehnten für die Erfassung, Auswertung und Präsentation von Wahlen auf Bundes-, Landes- und Kommunalebene eingesetzt. Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt. Der CCC veröffentlicht die Ergebnisse in einem mehr als zwanzig Seiten umfassenden Bericht. [0] Die technischen Details und die zum Ausnutzen der Schwächen verfasste Software können in einem Repository eingesehen und zeitsouverän nachgespielt werden. [1] „Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen“, sagte Linus Neumann, an der Analyse beteiligter Sprecher des CCC. Ein niederschmetterndes Ergebnis der Analyse ist, dass es gar kein vielbeschworenes staatlich finanziertes Hacker-Team braucht, um den vollständigen Auswertungsvorgang zu übernehmen. Der fehlerhafte Update-Mechanismus von „PC-Wahl“ ermöglicht eine one-click-Kompromittierung, die gepaart mit der mangelhaften Absicherung des Update-Servers eine komplette Übernahme erleichtert. Aufgrund der überraschend trivialen Natur der Angriffe muss zudem davon ausgegangen werden, dass die Schwachstellen nicht allein dem CCC bekannt waren. „Eine ganze Kette aus eklatanten Schwachstellen vom Update-Server des Herstellers, über die Software selbst bis hin zu den exportierten Wahlergebnissen, ermöglicht uns die Demonstration von gleich drei praktisch relevanten Angriffsszenarien“, so Neumann weiter. Die Software kann bereits zur Erfassung der Auszählungsergebnisse in Wahllokalen und zu deren Übertragung an die jeweiligen Gemeinden verwendet werden. Auf Ebene der Kreiswahlleiter wird dieselbe Software verwendet, um die Ergebnisse zusammenzurechnen und dann wiederum an den Landeswahlleiter zu übermitteln. Auch dort kommt in einigen Bundesländern erneut „PC-Wahl“ zum Einsatz. Die dokumentierten Angriffe haben das Potential, das Vertrauen in den demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde. Ob und wann eine softwaregestützte Wahlfälschung überhaupt entdeckt wird, hängt von den konkreten Wahlerlassen der jeweiligen Bundesländer ab – zum Zeitpunkt dieser Veröffentlichung wurden diese teilweise als Reaktion auf die Schwachstellen verändert: Im Bundesland Hessen wird nun vorgeschrieben, dass jeder einzelne Übertragungsschritt mittels „PC-Wahl“ parallel auf unabhängigem Weg geprüft wird. Die dargestellten Angriffsmöglichkeiten und der frappierend schlechte Allgemeinzustand der Software werfen die Frage auf, wie es um konkurrierende, ebenfalls im Einsatz befindliche Wahlsoftware-Pakete steht. Ein anderes Produkt, IVU.elect, das in Deutschland im Einsatz ist, wurde von Sjoerd van der Hoorn und Sijmen Ruwhof in der in den Niederlanden verwendeten Version betrachtet – mit verheerenden Ergebnissen. [2] „Es ist einfach nicht das richtige Bundestagswahljahrtausend, um in Fragen der IT-Sicherheit bei Wahlen ein Auge zuzudrücken“, sagte Linus Neumann. „Wirksame technische Schutzmaßnahmen sind teilweise seit Jahrzehnten verfügbar. Es ist nicht nachvollziehbar, warum diese keine Anwendung finden.“ Eine Regierung, die sich „Industrie 4.0“ und „Crypto made in Germany“ auf die Fahnen schreibt, sollte zusehen, dass sie quelloffene Software für die digitale Unterstützung bei demokratischen Wahlen fördert und nutzt. [3] Bevor sich die Wahlleiter in die Abhängigkeit von Herstellern begeben, die noch auf Programmier- und Sicherheitskonzepte aus dem letzten Jahrtausend setzen, wäre es geboten, Transparenz und Sicherheit von Wahlauswertungssoftware durch Neuentwicklungen mittels moderner Technologie voranzutreiben. Der traurige Zustand dieses Stücks kritischer Wahlinfrastruktur zeigt exemplarisch für die staatlich genutzte IT, dass sich an dessen Vergabepolitik von Software-Aufträgen dringend etwas ändern muss. Ziel der Sicherheitsanalyse war es, vor allem die Sinne der Verantwortlichen zu schärfen. Eine plumpe Manipulation über die mangelhafte Software dürfte aufgrund der nun hoffentlich gesteigerten Sensibilität unwahrscheinlicher geworden sein. Zumindest für die Bundestagswahl 2017 darf und soll die Aufdeckung der Schwachstellen daher keine Ausrede sein, nicht mit Stift und Papier wählen zu gehen! Der Chaos Computer Club fordert für den Einsatz von Auswertungssoftware bei Wahlen: Beschleunigung der Vorgänge bei einer Wahl dürfen nicht das Primat vor Sicherheit, Korrektheit und Nachvollziehbarkeit haben. Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon. Die Wähler selbst müssen alle Resultate überprüfen können. Alle Verfahrensschritte müssen durch Software-unabhängige Prozeduren geprüft werden. Abhängigkeiten, bei denen manipulierte Software oder manipulierte Computer das Wahlergebnis beeinflussen können, sind zu vermeiden. Parallele, Software-unabhängige Zähl-Prozeduren und eine nochmalige zwingende Handauszählung bei Diskrepanz zwischen elektronisch unterstützter Auswertung und manueller Zählung müssen vorgeschrieben werden. Keine Software-Komponente, die am Wahlausgang oder den Wahlmeldungen beteiligt ist, darf geheim gehalten werden. Jegliche Wahlhilfsmittel-Software muss mindestens als published Source mit öffentlichem Lese-Zugang auf die verwendeten Source-Code-Revisioning-Systeme zur Verfügung stehen. Für die Sicherheit der Software muss die Veröffentlichung unerheblich sein, was bei Verwendung zeitgemäßer Sicherheitsverfahren problemlos der Fall wäre. Berichte über die Audits der eingesetzten Software und Systeme müssen öffentlich sein. Dies schließt die Hardwarekomponenten und elektronischen Zählmittel ein, wie sie etwa in Bayern benutzt werden. Alle Systemkomponenten müssen vor dem Einsatz einer unabhängigen Analyse unterzogen werden. Vorab-Angriffe gegen die für die Wahl eingesetzen Computer müssen durch Einsatz von vorher nicht anderweitig verwendeten Systemen erschwert werden. Noch verwendete Oldtimer-Software muss in modernen, sichereren Programmiersprachen mit zeitgemäßen Konzepten neugeschrieben und begleitend auditiert werden. Audit-Ergebnisse müssen parallel mit dem Quellcode publiziert werden. Lokale Sonderlösungen bei elektronischen Zählhilfen müssen minimiert werden. Es bedarf festgeschriebener Standards auf aktuellem Stand der Technik für alle verwendeten Rechner und deren Konfiguration sowie für alle System- und Netzwerkkomponenten. Schulungen der Nutzer hinsichtlich IT-Sicherheitsbedrohungen. Bedienfehler und Fehler in der Software müssen von vorneherein mitbedacht werden. Möglichst detaillierte Publikation von Auswertungsdaten und deren Änderungsverlauf für eine öffentliche Prüfung. Dabei bedarf es einer Kennzeichnung, ob es sich um ein per Hand ermitteltes Papierergebnis oder ein in Software erstelltes/verarbeitetes Datum handelt. Dies ermöglicht Wahlbeobachtungen in dem Sinne, dass der tatsächliche Einsatz der Software in Augenschein genommen werden kann, um das Nachvollziehen des Zustandekommens des elektronischen Ergebnisses zu erlauben. Links: [0] Bericht: Analyse einer Wahlsoftware https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf [1] Software-Repository: PC-Wahl Angriffstools https://github.com/devio/Walruss [2] Sijmen Ruwhof: https://sijmen.ruwhof.net/weblog/1166-how-to-hack-the-upcoming-dutch-elections [3] Projekte wie der vom BMWi finanzierte „Prototype Fund“ vergeben erfolgreich Fördermittel für die Entwicklung von Open-Source-Software: https://prototypefund.de/ [4] Die Hörversion der Analyse bei Logbuch:Netzpolitik: https://logbuch-netzpolitik.de/lnp228-interessierte-buerger [5] Der Artikel zur Geschichte der Analyse bei Zeit Online Bebilderung: Das Bild zeigt das tatsächliche Logo der Software „PC-Wahl“ der Version 10.  
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl