Gefahren im Cyberraum machen auch Wahlergebnisse angreifbar. Doch wie können sich Städte und Gemeinden bei der Europawahl im Mai vor Angriffen schützen? Eine Bund-Länder-Arbeitsgruppe hat ein Maßnahmenpaket zur Informationssicherheit bei der Europawahl erarbeitet. Damit lassen sich die Wahlergebnisse sicher er- und übermitteln.
Fake News, Bots, Propaganda aus dem Ausland: Europaweit gibt es große Befürchtungen, dass es im Vorfeld der Europawahl zu massiver digitaler Desinformation kommt. Daran können Städte und Gemeinden, die die Wahl abwickeln, kaum etwas ändern. Doch dort, wo sie Einfluss haben, sollen sie ihn auch nutzen und die Wahlen sicher machen: bei der Ermittlung und der Übermittlung der Wahlergebnisse.
Darauf zielen die Maßnahmen, die eine Bund-Länder-Arbeitsgruppe unter Federführung des Bundesamts für Informationssicherheit (BSI) erarbeitet hat. Sie betreffen die Ergebniszusammenstellung und -übermittlung ab dem Wahlraum nach der Auszählung der Stimmzettel. Verbindlich vorgeschrieben sind die Maßnahmen nicht; sie werden jedoch vom Bundeswahlleiter und den Landeswahlleitern empfohlen.
Das bayerische Landesamt für Sicherheit in der Informationstechnik (LSI) bietet bayerischen Kommunen Beratung an und hat außerdem die folgenden Hinweise zur Umsetzung der Maßnahmen bereitgestellt:
- Benennung eines/einer Informationssicherheitsbeauftragten: Diese Stelle koordiniert und steuert die Umsetzung notwendiger Maßnahmen für die Informationssicherheit. Die Aufgaben können auch von einer dritten Stelle wahrgenommen werden.
- Bereitstellung von ausreichenden personellen Ressourcen: Es muss sichergestellt werden, dass für Organisation und Durchführung der Ergebnisermittlung ausreichend Personal und praktikable Vertretungsregelungen vorhanden sind.
- Zutrittskontrolle für relevante Räume: Für alle Räume mit Ausnahme des Wahlraums (Brief, Urne), die unmittelbar im Zusammenhang mit der Ergebniszusammenstellung und -übermittlung benutzt werden, müssen wirksame physische Zutrittskontrollen eingerichtet werden, um sicherzustellen, dass nur für autorisiertes Personal ein Zutritt möglich ist.
- Zugriffskontrolle für Wahlanwendungen innerhalb der jeweiligen Ebene: Für den Zugriff auf alle IT-Anwendungen, die für die Ergebniszusammenstellung innerhalb der jeweiligen Ebene eingesetzt werden, muss eine vorherige Authentisierung (Besitz oder Passwort) erfolgen. Hierfür wird vorausgesetzt, dass eine wirksame physische Zutrittskontrolle für die unter 3. genannten Räumlichkeiten etabliert ist, um sicherzustellen, dass nur für autorisiertes Personal ein Zugriff möglich ist. Falls eine wirksame physische Zutrittskontrolle nicht etabliert werden kann, sollte eine Zwei-Faktor-Authentisierung (Besitz + Passwort) für den Zugriff auf IT-Anwendungen erfolgen.
- Authentische Bezugsquellen für die Software: Software oder Software-Updates, die im Zusammenhang mit der Ergebniszusammenstellung und -übermittlung benötigt werden, sollten nur aus authentischen Quellen, vorzugsweise vom Hersteller selbst, bezogen werden. Die Software oder Software-Updates müssen vor der Installation auf ihre Authentizität und Integrität überprüft werden. Hierzu sollten mindestens Prüfsummen, vorzugsweise digitale Signaturen, verifiziert werden.
- Spezifische Nutzung der IT-Systeme: Es wird empfohlen, auf den eingesetzten IT-Systemen nur Software zu installieren, die für die Ergebniszusammenstellung und -übermittlung benötigt wird. Nicht benötigte Dienste und Funktionen des Betriebssystems sollten deaktiviert werden.
- Schutz vor Schadprogrammen und Viren: Auf allen PCs oder Serversystemen, die für die Ergebniszusammenstellung und -übermittlung eingesetzt werden, muss eine Antivirensoftware (AV) mit aktuellen Signaturen eingesetzt werden. Reputationsdienste der AV-Hersteller sollten zur Verbesserung der Detektionsleistung der Virenschutzprogramme genutzt werden. Nach Möglichkeit sollte eine lokal replizierte Datenbank des Reputationsdienstes in eigener Verantwortung betrieben werden. In Office-Programmen sollte die Makroausführung deaktiviert werden, es sei denn, ein Makro ist für die Ergebniszusammenstellung erforderlich. Im Webbrowser sollte die Ausführung von aktiven Inhalten (z.B. JavaScript) deaktiviert werden, es sei denn, aktive Inhalte werden für die Ergebniszusammenstellung oder -übermittlung benötigt. Digitale Daten, die von einem externen Datenträger (z.B. USB-Stick oder CD) gelesen werden, müssen vor dem Öffnen auf Schadsoftware überprüft werden. Eine Schnittstellenkontrolle für USB-Ports sollte aktiv sein, um zu verhindern, dass unautorisierte USB-Sticks in das System eingebunden werden können.
- Einschränkung und Kontrolle der Cloud-Nutzung: In allen IT-Anwendungen, die für die Ergebniszusammenstellung und -übermittlung eingesetzt werden, sollten integrierte Cloud-Speicherfunktionen deaktiviert werden. Hierzu zählen in erster Linie Office-Programme. Mit dieser Maßnahme soll verhindert werden, dass Wahldaten in Cloud-Speicher gelangen und dort manipuliert werden können. Eine Ausnahme bilden Antivirenprogramme.
- Patch-Management und Sicherheits-Updates: Herstellerseitig bereitgestellte Sicherheits-Updates müssen nach notwendigen Testläufen unverzüglich eingespielt werden.
- Absicherung der Fernwartungszugänge für lokale IT-Systeme: Für den engeren Zeitraum der Ergebniszusammenstellung und -übermittlung müssen Fernwartungszugänge grundsätzlich deaktiviert sein. Im Falle einer unabweisbar notwendigen Fernwartung in diesem Zeitraum sollte die/der Wahlverantwortliche der jeweiligen Ebene informiert werden. Für die Aktivierung des Fernwartungszugriffs muss eine Initiierung und Freischaltung aus den lokalen IT-Systemen heraus erfolgen. Für die Authentisierung durch den Fernwartungspartner sollte ein Zwei-Faktor-Verfahren eingesetzt werden. Nach dem Ende der Fernwartung müssen alle aktivierten Fernwartungszugänge wieder deaktiviert werden. Die Fernwartung sollte nur über ein besonders gesichertes Fernwartungsgateway erfolgen, das in einer Sicherheitszone (DMZ) betrieben wird. Für die Fernwartung sollte nur Personal zum Einsatz kommen, welches sowohl vom Auftraggeber als auch vom Fernwartungsdienstleister für diese Aufgabe autorisiert worden ist.
- Absicherung der Netzübergänge durch Firewalls/Sicherheitsgateways: Die für die Ergebniszusammenstellung eingesetzten IT-Systeme müssen durch eine wirksame Firewall-Struktur von externen Netzen (z.B. Internet, Kommunalnetz, Landesnetz) getrennt werden. Jeder ein- und ausgehende Datenverkehr muss durch die Firewall-Struktur geleitet werden. Eine wirksame Firewall-Struktur sollte mindestens aus einer zustandsbehafteten Stateful-Inspection-Firewall bestehen. Eine Struktur aus Paketfilter, Application Gateway, Paketfilter (P-A-P) wird empfohlen.
- Schaffung von Redundanz für IT-Systeme und Übertragungswege: Für den Fall einer Fehlfunktion oder eines Ausfalls der für die Ergebniszusammenstellung und -übermittlung eingesetzten IT-Systeme oder Übertragungswege sollten redundante Systeme und Wege im Vorfeld organisiert werden. Hierzu können zählen: ein Laptop mit UMTS-Modem oder die Vorbereitung einer telefonischen Übertragung (Handy/Smartphone) zum Beispiel mit Passwort-Authentisierung. Mit diesen mobilen und batteriebetriebenen Geräten kann die Verfügbarkeit auch bei einem lokalen Ausfall der Stromversorgung gewährleistet werden.
- Phishing-Schutz und Verhinderung von Datendiebstahl: Für den Zugang zu einem zentralen Wahlfachverfahren über den Browser sollte die verwendete URL nur manuell eingegeben oder über ein Lesezeichen im Browser aufgerufen werden. Damit kann der irrtümlichen Eingabe von Wahlergebnissen auf gefälschten Webseiten vorgebeugt werden.
-
- Authentisierung bei Übermittlung per Telefon, Fax oder Boten: Bei der Übermittlung von Wahlergebnissen per Telefon, Fax oder Boten muss eine Authentisierung zum Beispiel über ein Passwort erfolgen, das im Vorfeld vereinbart wurde. So kann verhindert werden, dass unbefugte Personen eine Übermittlung von Wahldaten vornehmen. Im Nachgang sollten die übermittelten Wahlergebnisse ab der Gemeindeebene aufwärts über einen authentisierten zweiten Kanal verifiziert werden (z.B. Telefon mit Passwort).
- Authentisierung vor Datenübermittlung (Client-Server): Vor der Übermittlung von Wahlergebnissen über öffentliche elektronische Kommunikationsleitungen (z.B. Internet) sollte eine Zwei-Faktor-Authentisierung (Besitz + Passwort), soweit vorhanden, eingesetzt werden.
- Verschlüsselung für die Datenübermittlung (Client-Server): Bei der Übermittlung von Wahlergebnissen über öffentliche elektronische Kommunikationsleitungen (z.B. Internet) müssen Verschlüsselungsverfahren nach dem Stand der Technik eingesetzt werden. Hierzu zählen aktuell z.B. TLS 1.2 für die Kommunikation zwischen Webbrowser und Webserver.
- Authentisierung für die Datenübermittlung per E-Mail: Bei der Übermittlung von Wahlergebnissen per E-Mail über öffentliche elektronische Kommunikationsleitungen (z.B. Internet) sollten Verfahren für Authentisierung und Integritätssicherung nach dem Stand der Technik eingesetzt werden. Hierzu zählen aktuell z.B. OpenPGP bzw. S/MIME. Bei der Nutzung von OpenPGP oder S/MIME signiert man E-Mail-Nachrichten vor dem Versenden mit dem nicht-öffentlichen Schlüssel des Absenders (sog. Private-Key). Der Empfänger verifiziert die Signatur der empfangenen E-Mail-Nachricht anhand des öffentlichen Schlüssels des Absenders (sog. Public-Key).
- Monitoring der eingesetzten IT-Systeme und Anwendungen: Die für die Ergebniszusammenstellung und -übermittlung eingesetzten IT-Systeme, insbesondere Server-Komponenten, sollten über eine geeignete Systemüberwachungs- bzw. Monitoring-Lösung eingebunden werden, welche den Systemzustand und die Funktionsfähigkeit des IT-Systems und der darauf betriebenen Dienste und Anwendungen überwachen. Fehlerzustände sowie die Überschreitung definierter Grenzwerte sollten an das Betriebspersonal gemeldet werden.
- Überprüfung der Notfallmaßnahmen: Für Sicherheitsvorfälle im engeren Zeitraum der Wahl sollten rechtzeitig Notfallmaßnahmen vorbereitet werden. Bereits vorhandene Maßnahmen sollten überprüft und getestet werden (z.B. Akkulaufzeit von Laptop oder Smartphone). Insbesondere müssen geeignete Melde- und Alarmierungswege festgelegt und dokumentiert sein. Sicherheitsrelevante Ereignisse sind an die/den Wahl-Verantwortliche/n der jeweiligen übergeordneten Ebene zu melden. Für die richtige Reaktion auf sicherheitsrelevante Ereignisse sollten kompetente Stellen eingebunden werden (z.B. Sicherheitsteam im kommunalen RZ-Dienstleister).
-
- Anti-DDoS-Maßnahmen für exponierte Web- und DNS-Server: Die folgenden drei Schwerpunkte betreffen primär externe Server und Dienste, die für die Ergebniszusammenstellung und -übermittlung eine direkte oder mittelbare Rolle spielen und aus dem Internet oder aus Landesnetzen sichtbar/kontaktierbar sind („exponierte Server“). Um Denial-of-Service-Angriffe (DDoS) im engeren Zeitraum der Wahl erkennen zu können, müssen exponierte Web- und DNS-Server verstärkt überwacht werden. Des Weiteren müssen notwendige Basismaßnahmen umgesetzt werden. Um DDoS-Angriffe mit sehr hohen Datenraten abwehren zu können, sollten externe Dienstleister eingebunden werden. Sofern exponierte Server nur in gesicherten Landesnetzen sichtbar/kontaktierbar sind, sollten Basismaßnahmen ausreichen.
- Prüfung der Software-Aktualität auf exponierten Web- und DNS-Servern: Exponierte Web- und DNS-Server müssen rechtzeitig vor dem Wahlzeitraum auf das Vorhandensein eines aktuellen Patch-/Software-Standes überprüft oder getestet werden. Sofern diese Server-Dienstleistungen über einen externen Hoster/Provider bezogen werden, sollten die entsprechenden Kontrollfragen an diesen externen Hoster/Provider gestellt werden.
- Prüfung der Eingabe-/Ausgabe-Validierung auf exponierten Webservern: Rechtzeitig vor dem engeren Wahlzeitraum sollte ein Test oder eine Überprüfung durchgeführt werden, ob eine wirksame Eingabe-Ausgabe-Validierung implementiert ist, welche durch folgende Mechanismen gekennzeichnet ist: Für alle ankommenden Daten/Zeichenketten muss die Wahl-/Web-Anwendung eine wirksame Eingabekontrolle (sog. Validierung) ausführen, um missbräuchlich eingeschleuste Zeichenketten zu erkennen und zu verwerfen. Die Validierung kann auch durch ein vorgeschaltetes Sicherheitsgateway erfolgen. Vorzugsweise sollte eine Validierung nach einem Whitelisting-Verfahren erfolgen, d.h. nur diejenigen Zeichenketten, die gemäß einer Positivliste aus Zeichenkettenmustern erwartet werden, dürfen die Validierung erfolgreich passieren.
- Prüfung der Umsetzung dieser Maßnahmen: Die Informationssicherheitsbeauftragten müssen nach Abschluss der Wahlvorbereitungen die Umsetzung dieser Maßnahmen überprüfen. Das Ergebnis muss dokumentiert und dem/der Wahlverantwortlichen der jeweiligen Ebene berichtet werden.