Partei dementiert

„Zu wenig komplex“: IT-Lücken bei SPÖ-Befragung?

11.05.2023 18:27

Die SPÖ-Mitgliederbefragung ist um MItternacht zu Ende gegangen. Ein Ergebnis gibt es zwar noch nicht, dafür den Vorwurf eines Unternehmens, dass es im IT-Bereich Sicherheitslücken gab, unter anderem weil der Zugangscode zum Stimmzettel zu wenig komplex war. Die SPÖ weist dies „entschieden“ zurück.

Sicherheitsforscher des Unternehmens Certitude konnten laut eigenen Angaben zwei kritische Schwachstellen bei der SPÖ-Mitgliederbefragung identifizieren. Der Zugangscode war mit sieben Stellen und 36 unterschiedlichen Zeichen nicht komplex genug, um vor sogenannten Brute-Force-Angriffen zu schützen.

Sperre von IP-Adressen
Darüber hinaus konnte auch eine Sperre von IP-Adressen, mit der solche Attacken erschwert werden sollten, umgangen werden.

Durchschnittlich 100.000 Codes unverbraucht
Der Code bestand aus einer sieben-stelligen Kombination aus Kleinbuchstaben und Ziffern. Das bedeutet, ein Angreifer müsste 367 (=78.364.164.096) Codes probieren, um alle Möglichkeiten durchzuprobieren. Davon sind am Beginn der Befragung etwa 150.000 Codes gültig (Annahme, Anzahl der stimmberechtigten Personen) und bei Annahme einer Wahlbeteiligung von zwei Drittel am Ende noch 50.000 Stimmen gültig. Über den Zeitraum der Mitgliederbefragung sind also durchschnittlich 100.000 Codes unverbraucht. Die Wahrscheinlichkeit bei einem Versuch eine gültige Stimme zu erraten wäre damit 100.000/367.

(Bild: Sy_Sarayut - stock.adobe.com)

Technische Schwachstellen
Um die Anzahl der Versuche zu beschränken, waren lediglich fünf Versuche pro IP-Adresse innerhalb von zehn Minuten erlaubt. Jedoch konnte Certitude nach eigenem Bekunden eine weitere technische Schwachstelle finden, um diese Beschränkung zu umgehen. Durch das Setzen eines X-Forwarded-For HTTP-Request-Headers konnten beliebige IP-Adressen vorgetäuscht werden.

Certitude: 1900 Stimmen hätten manipuliert werden können
Verfügt ein Angreifer über einen mäßig performanten Rechner sowie eine schnelle Internetverbindung, ist die Anzahl der pro Sekunde probierbaren Zugangscodes daher nur durch die Rechenkapazität des Servers begrenzt. Bei 17 Tagen mit je 86.400 Sekunden und einer Annahme von 10 Requests pro Sekunde wäre dies ein Erwartungswert von etwa 19 erratenen Zugangscodes im gesamten Befragungszeitraum. Unter der Annahme, dass der Server 1000 Anfragen pro Sekunde verarbeiten kann, konnte ein Angreifer etwa 1900 Stimmen manipulieren, rechnet das Unternehmen vor.

SPÖ-Pressedienst dementiert Vorwürfe
Der SPÖ-Pressedienst betont in einer Reaktion, dass die SPÖ mit ihren IT-Experten bereits im Vorfeld der Befragung eine Reihe von Sicherheitsmechanismen eingerichtet habe, um das Erraten von Abstimmungscodes zu verhindern bzw. zu erschweren. Sollte jemand die angeführte Methode einsetzen, griffen weitere Sicherheitsmechanismen, die das Raten von Zugangsschlüsseln nach kurzer Zeit unterbinden würden.

Lesen Sie auch:

Kopietz galt als Wahlleiter nicht als unumstritten - die Partei einigte sich schließlich darauf, die Mitgliederbefragung von einem Notar beaufsichtigen zu lassen. (Bild: APA/ROLAND SCHLAGER)

Mit sofortiger Wirkung

SPÖ-Wahlleiter zieht sich überraschend zurück

Polit-Analyse zur SPÖ

„Kanzler Andi Babler ist dann doch zu vollmundig“

Wer macht das Rennen um den SPÖ-Vorsitz: Doskozil, Rendi-Wagner oder Babler? (Bild: APA Krone KREATIV,)

Interne Unruhen

SPÖ-Kommission auf Geheimvisite: Doskozil vorne?

Ein Gutachten eines zertifizierten Sachverständigen halte fest: Es sei „für Unbefugte auch statistisch nahezu ausgeschlossen, selbst bei Kenntnis des Internetlinks einen Abstimmungscode zu erraten und so unbefugt anstelle einer anderen Person teilzunehmen“. Ein maschineller Eindringversuch, der innerhalb kurzer Zeit unterschiedliche Codes durchprobiert, würde schon durch gewöhnliche Securitymaßnahmen der SPÖ-IT abgeblockt werden.