Vor dem Hintergrund der immer näher rückenden Wahlen in den USA haben wir bereits über verschiedene Aspekte der Sicherheit bei Wahlen gesprochen. In früheren Beiträgen haben wir erläutert, warum Wahlen nicht online verwaltet werden, und sichere Wahlmethoden vorgestellt. Heute beschäftigen wir uns mit Vertrauenswürdigkeitsindikatoren bei der Kommunikation rund um Wahlen und beleuchten unter anderem, wie man Phishing unterbindet und Wählerdaten schützt.
Vertrauen in legitime Wahlen ist der Grundstein für jede Demokratie. Nur wenn die Wähler dem Wahlverfahren vertrauen, sind sie von der Glaubwürdigkeit des Wahlergebnisses überzeugt, und nur so kann es sichere Wahlen geben. Dazu gehört auch die Gewissheit, dass die Wählerdaten sowie E-Mails und Websites zu Wahlen für den Benutzer sicher sind.
Kürzlich klagte das US-Justizministerium wegen ihrer Mitwirkung an weltweiten Cyberangriffen an. Die mutmaßlichen Täter sollen sich unter anderem in die US-Wahlen 2016, die französischen Präsidentschaftswahlen 2017 und die Olympischen Winterspiele 2018 eingemischt haben. Angesichts dieses Gefährdungspotenzials ist es umso wichtiger, Websites zu schützen, da Hacker jede Sicherheitslücke ausnutzen werden, die sie finden können. Bei einem Angriff sind jedoch nicht nur die Daten von Staat und Wählern in Gefahr, sondern auch das Vertrauen der Wähler ist schnell zerstört.
Hier sind ein paar Tipps, wie die Wähler selbst als auch Regierungsbehörden bei Wahlen für den Schutz ihrer Daten sorgen können.
In den USA beispielsweise müssen sich Bürger vor einer Wahl selbst ins Wählerverzeichnis eintragen. Kaum auszudenken, was passieren würde, wenn die Datenbanken mit Wählerregistrierungsdaten gehackt oder manipuliert würden, sodass die betroffenen Bürger ihr Wahlrecht nicht ausüben könnten. Erst kürzlich stürzte am letzten Tag der Wählerregistrierung ab. Und die Wählerregistrierungswebsite Floridas war so überlastet, dass sie seit ihrer Bereitstellung . In anderen Fällen konnten Hacker auf Wählerdaten zugreifen: Aufgrund eines Datenbankfehlers wurden 2018 offengelegt.
Dies zeigt, wie wichtig es ist, in Schutzmaßnahmen für Wählerregistrierungswebsites zu investieren, um die Integrität von Wahlen zu gewährleisten und die Verfügbarkeit der Websites sicherzustellen. Sämtliche vertraulichen Informationen wie Wählerdaten, die erfasst werden, müssen verschlüsselt werden, sowohl im Speicher als auch bei der Übertragung. Benutzer achten zunehmend auf Datenschutz und Verschlüsselung ist ein Baustein in dem Bollwerk, das ihre Daten schützend umgibt. Eine Public Key Infrastructure (PKI) ist eine bewährte Technologie zur Verschlüsselung und Authentifizierung von Benutzern und Geräten und gewährleistet die Integrität der Datenübertragung. PKI werden bereits seit Jahrzehnten zum Schutz von Benutzerdaten eingesetzt und sind ebenso für Wählerdaten geeignet.
Phishing-Angreifer nutzen jede sich bietende Gelegenheit, um private Daten auszuspähen oder Malware zu verbreiten, und Wahlen sind ein echtes Filetstück, denn sie sind das beherrschende Thema in den Medien. Da ist es ein Leichtes, im Wahlkampf per Phishing Daten abzugreifen. Selbst hinter absolut seriös anmutenden E-Mails können sich Angreifer verstecken, die versuchen, an persönliche Daten zu gelangen oder Falschinformationen zu verbreiten.
„Wahlen sind der ideale Vorwand für Kriminelle, Personen durch Phishing zu manipulieren, indem sie mit ihren Emotionen und Ängsten im Zusammenhang mit Wahlen spielen“, erläutert CEO von BH Consulting und früherer Sonderberater der Europol zum Thema Cybersicherheit. „Die Kriminellen nutzen das Thema Wahlen als Köder, zum Beispiel in Form einer gefälschten Sensationsmeldung über einen Kandidaten, um den Empfänger zum Anklicken eines Links zu verleiten. Manche tarnen auch ihre Nachricht als Spendenaufruf des vom Wähler bevorzugten Kandidaten oder geben vor, dass der Empfänger aus der Wählerregistrierungsliste gelöscht worden sei und sich deshalb erneut für die Wahl registrieren müsse.“
schreibt zu Themen der Informationssicherheit für IBMSecurity und Tripwire. Er erklärt, dass manche Betrüger versuchen, Bürger durch Falschinformationen am Wählen zu hindern. „Das ist insbesondere dann der Fall, wenn Angreifer dem Empfänger vortäuschen, dass sich das Wahllokal oder dessen Öffnungszeiten geändert hätten“, meint Bisson. „Wer Fragen zum Wahlverfahren hat, sollte sich direkt an die zuständige Wahlbehörde und/oder an Ansprechpartner der Gemeindeverwaltung wenden.“
Wahlberechtigte Bürger sollten Maßnahmen ergreifen, um Phishing und Fehlinformationskampagnen zu unterbinden, zum Beispiel:
Unternehmen und Regierungsbehörden können auch Best Practices für den Umgang mit E-Mails anwenden, zum Beispiel indem sie S/MIME aktivieren, eine Methode zum Versenden digital signierter und/oder verschlüsselter Nachrichten, und an der Einhaltung des DMARC-Standards arbeiten (Domain-based Message Authentication, Receiving and Conformance). Dieser stellt sicher, dass nur autorisierte E-Mails von Ihrer Domain aus gesendet werden können. So können die E-Mails Ihrer Organisation nicht manipuliert werden.
Bisson zufolge müssen auch die kommunalen und überregionalen Wahlorgane in Sicherheitsmaßnahmen investieren. „Die kommunalen und überregionalen Wahlbüros sollten im Kampf gegen Phishing in E-Mail-Sicherheitskontrollen investieren, die verdächtige Domains auf die Sperrliste setzen, unnötige Dateianhänge blockieren und bei externen E-Mails Warnmeldungen ausgeben. Es empfiehlt sich auch, die Wahlleiter zum Thema Phishing zu schulen und Simulationen durchzuspielen.“
Sämtliche Websites für Wahlkampagnen und staatliche Wahlseiten sollten durch ein TLS/SSL-Zertifikat geschützt sein, um zu gewährleisten, dass alle Daten verschlüsselt werden, und um Man-in-the-Middle-Angriffe zu verhindern.
Als Besucher einer Website sollten Sie auf Vertrauenswürdigkeitsindikatoren wie das Vorhängeschloss achten und nie persönliche Daten eingeben, wenn Sie an der Integrität der Website zweifeln und nicht wissen, ob Ihre Daten verschlüsselt werden.
Leider mangelt es vielen Wahlseiten im Internet an den grundlegendsten Schutzmaßnahmen. Laut einer Umfrage von McAfee zu den Wahlseiten von US-Wahlbezirken verfügen die wenigsten über eine .gov-Domain oder HTTPS. „fehlte es der Mehrheit an der offiziellen ‚.GOV‘-Websitevalidierung der US-Regierung und dem sicheren HTTPS-Kommunikationsprotokoll, die es Hackern erschweren, gefälschte Websites unter dem Tarnmantel einer offiziellen Website des Bezirks bereitzustellen.“
Dies ist hinsichtlich der notwendigen Integrität von Wahlen nicht hinnehmbar. Regierungsbehörden müssen in die Sicherheit ihrer Websites investieren, indem sie TLS installieren und HTTPS aktivieren. Nur so können Wähler vor Betrug und Täuschung geschützt werden.
Da es in diesem Jahr länger dauern könnte, bis das Wahlergebnis feststeht, müssen Wähler besonders wachsam sein und auf mögliche Falschinformationen oder Datendiebstahlversuche achten. Sowohl Bürger als auch die ö müssen genau prüfen, ob es sich bei Mitteilungen um einen Phishing-Angriff handeln könnte. Die Datenbanken mit den Wählerregistern und Websites im Zusammenhang mit den Wahlen müssen abgesichert werden. Nur so lässt sich das Vertrauen in den Wahlprozess stärken und Betrug verhindern.