NIST findet Sicherheitsprobleme mit Übersee-E-Voting

Bemühungen, Mitgliedern des US-Militärs und anderen ausländischen Wählern Stimmzettel per E-Mail oder im Internet zu geben, sind laut einem neuen US-Regierungsbericht mit ernsthaften Sicherheitsproblemen behaftet.

Auch wenn das Abstimmen per Standardpost zutrifft eigene Probleme, heißt es in dem Bericht des US-amerikanischen National Institute of Standards and Technology (NIST), dass die elektronische Übermittlung kompletter Stimmzettel, darunter auch Telefon und Fax, die Integrität der Wahlen erheblich gefährden.

Die USA Das Verteidigungsministerium experimentierte 2003 mit der Internetwahl, ließ aber im nächsten Jahr ein Pilotprogramm fallen, nachdem Sicherheitsbedenken aufgetaucht waren. Eine Handvoll Staaten haben 2008 mit Internetabstimmungen experimentiert, darunter Florida und Alabama, ausgelöst durch Bedenken, dass Militärpostabstimmungen nicht rechtzeitig zugestellt werden.

Der US-Wahlhilfe-Wahlgesetz von 2002 (HAVA) Die Hilfskommission (EAC), um Methoden der Überseewahl zu studieren, und der NIST-Bericht ist Teil dieser Bemühungen. "IT-Sicherheit ist ein wichtiger Aspekt dieses Themas. Deshalb hat das EAC das NIST gebeten, eine Studie durchzuführen, die die Sicherheitsbedrohungen potenzieller elektronischer Technologien für die Abstimmung in Übersee untersucht und mögliche Wege zur Minderung der Bedrohungen aufzeigt", sagte Nelson Hastings. Autor des Berichts.

Der NIST-Bericht besagt, dass es relativ sicher ist, ungefüllte Stimmzettel per Fax oder E-Mail zu übertragen oder ins Internet zu stellen, aber das Senden von ausgefüllten Stimmzetteln mit diesen Methoden Probleme mit der Sicherheit oder dem Datenschutz.

Die Abstimmung per Telefon würde PINs erfordern, und PINs können verloren gehen oder gestohlen werden, heißt es in dem Bericht. Darüber hinaus können Telefonanrufe abgefangen werden, insbesondere VoIP-Anrufe (Voice over Internet Protocol), heißt es im Bericht.

Faxübertragungen können relativ sicher sein, aber gefaxte Stimmzettel können "für mehrere Stunden unbeaufsichtigt bleiben", heißt es in dem Bericht. "Faxgeräte würden wahrscheinlich in einem Raum im Wahlbüro stehen und den ganzen Tag Faxe empfangen", heißt es in dem Bericht. "Dies gibt potentiellen Angreifern Zeit, vertrauliche persönliche Informationen einzusehen oder gültige Registrierungsformulare zu zerstören."

E-Mails können abgefangen oder blockiert werden, fügt der Bericht hinzu. "E-Mail bietet keine Garantie, dass der beabsichtigte Empfänger die Nachricht erhält", heißt es in dem Bericht. "Ein Angriff auf DNS [Domain Name System] -Server könnte E-Mails an eine angreifende Partei weiterleiten. Dies würde nicht nur zur Entrechtung der Wähler führen, sondern auch zum Verlust sensibler Wählerinformationen."

Es gibt keine Berichte darüber Wenn ein Angriff erfolgreich war, wurde eine neue Sicherheitslücke in DNS-Servern entdeckt, die für die Erstellung eines solchen Angriffs verwendet werden könnte.

Es gibt auch eine Reihe weniger ausgereifter Angriffe, die den E-Mail-Voting, den Bericht, stören könnten sagt. "Eine Denial-of-Service-Attacke könnte Wahlbeamte mit einer massiven Anzahl betrügerischer E-Mails überschwemmen", heißt es in dem Bericht. "Die Anzahl der E-Mails könnte den E-Mail-Server des Wahlbeamten schnell überfordern und legitime Registrierungsformulare daran hindern, Wahlbeamte zu erreichen."

Die webbasierte Abstimmung könnte Verschlüsselung verwenden, um Datenlecks zu verhindern, aber Denial-of-Service Angriffe durch Botnets sind immer noch ein potenzielles Problem. "Eine erfolgreiche Denial-of-Service-Attacke würde den Wahl-Webserver mit Datenverkehr überschwemmen und legitime Wähler davon abhalten, Registrierungs- und Stimmzettel-Anforderungsmaterialien zu senden", heißt es in dem Bericht. "Es ist sehr schwierig, gegen Denial-of-Service-Attacken von einem Angreifer mit einer großen Menge an Ressourcen zu schützen."

Mehrere Staaten verteilen bereits Stimmzettel per E-Mail oder Fax, und der NIST-Bericht empfiehlt der Wahlhilfekommission Richtlinien für so tun. Es bietet wenig Rat für Alternativen zu herkömmlichen Postsendungen zur Rückgabe von Stimmzetteln, jedoch müssen Verbesserungen in der Sicherheit überwacht werden.

"Fax, E-Mail und webbasierte Systeme könnten leere Stimmzettel schnell und zuverlässig an die Wähler verteilen, was die Stimmabgabezeiten für die Stimmabgabe an die Wähler erheblich reduziert und die … Wahlerfahrung für die Bürger in Übersee verbessert", heißt es in dem Bericht. "Darüber hinaus können Registrierungs- und Stimmzettelanfragen auch von diesen Verteilungsmethoden profitieren, aber es gibt mehr Bedrohungen beim Umgang mit persönlichen Informationen von Wählern. Die Wahlentscheidung bleibt ein schwieriger zu beantwortendes Thema."

NISTs Rolle in Wahlsystemen ist "rein technisch", sagte Co-Autor Andrew Regenscheid. "NIST legt keine politischen Entscheidungen fest oder empfiehlt sie", sagte er. "Es ist Aufgabe der staatlichen und lokalen Wahlbeamten, auf der Grundlage der von ihnen eingerichteten Verfahren und Kontrollen zu entscheiden, welches Risikoniveau sie bereit sind zu übernehmen."