Die Uni­ver­si­ty of Ca­li­for­nia hat drei elek­tro­ni­sche Wahl­sys­te­me nam­haf­ter Her­stel­ler auf ihre Si­cher­heit hin über­prüft. In Kennt­nis von tech­ni­schen Do­ku­men­ta­tio­nen und der Quell­tex­te der Soft­ware ver­such­ten die For­scher, als "proof of con­cept" die Sys­te­me zu kom­pro­mit­tie­ren - was ihnen auch bei allen Sys­te­men ge­lang (Be­richt hier). Das La­men­tie­ren der Her­stel­ler ließ na­tür­lich nicht lange auf sich war­ten.

Die Ge­rä­te stamm­ten von den Fir­men Die­bold (be­reits be­kannt durch die Un­re­gel­mä­ßig­kei­ten bei ver­gan­ge­nen Wah­len), Hart In­ter­ci­vic und Se­quoia. Der Markt­füh­rer ES&S trat beim Test nicht mit an - die Firma sah sich außer Stan­de, recht­zei­tig ein Test­ge­rät zur Ver­fü­gung zu stel­len... ein Schelm, der Arges dabei denkt.
Die­bold und Se­quoia stell­ten nach Be­kannt­ga­be der Er­geb­nis­se deren Si­gni­fi­kanz in Frage: "Wenn man Ha­ckern Quell­codes sowie sämt­li­che Do­ku­men­ta­tio­nen zur Ver­fü­gung stel­le und ihnen un­ge­hin­der­ten Zu­griff auf die Ge­rä­te er­mög­li­che, dann sei dies so, als hän­di­ge man einem Ein­bre­cher den Haus­tür­schlüs­sel aus und frage ihn, ob es ihm ge­lin­ge, hin­ein zu kom­men."
Es bleibt zu hof­fen, daß diese "Se­cu­ri­ty-by-Ob­scu­ri­ty"-Ar­gu­men­ta­ti­on un­ge­hört ver­hallt. Falls nicht, läßt sich aber sogar diese Ana­lo­gie fort­füh­ren: Ein Ge­le­gen­heits­ein­bre­cher mag kei­nen Zu­griff auf den Haus­tür­schlüs­sel haben - ein ent­schlos­se­ner Ein­bre­cher, der ge­zielt auf eine dicke Beute aus ist, wird hin­ge­gen sei­nen Ein­bruch sehr sorg­fäl­tig vor­be­rei­ten; und dazu dürf­ten durch­aus das Be­sor­gen von Grund­riss­plä­nen oder das An­fer­ti­gen von Nach­schlüs­seln ge­hö­ren. Und je­mand, der eine Wahl si­gni­fi­kant be­ein­flus­sen möch­te, dürf­te si­cher­lich zu der Grup­pe der ent­schlos­se­nen und pro­fes­sio­nel­len Täter zäh­len...

(via Heise News)