Wahlmanipulation bei SPÖ-Mitgliederbefragung möglich
Laut dem IT-Sicherheitsunternehmen Certitude wäre die Mitgliederbefragung der SPÖ leicht zu manipulieren gewesen. Besonders bei einem knappen Wahlausgang hätte man so die Chancen für einen Spitzenkandidaten bzw. eine Spitzenkandidatin verbessern können.
Der Vorwurf von Certitude: Der Zugangscode, mit dem sich die 150.000 SPÖ-Mitglieder für die Wahl anmelden konnten, war mit 7 Stellen und 36 unterschiedlichen Zeichen nicht komplex genug. Computer könnten den Code einfach erraten, indem sie alle möglichen Kombinationen nacheinander ausprobieren.
Sicherheitsmaßnahme leicht zu umgehen
Die verwendete Befragungssoftware versucht diese als "Brute Force" bezeichnete Methode zu verhindert, indem die Anmeldeversuche der Abstimmenden auf 5 Versuche pro 10 Minuten beschränkt werden. Laut den Expert*innen von Certitude konnte man diese Sicherheitsmaßnahme allerdings leicht umgehen.
Laut den Berechnungen von Certitude hätte man in der Zeit der Mitgliederbefragung von 24. April bis 10. Mai so insgesamt 1.900 Stimmen manipulieren können, also etwa 110 Stimmen pro Tag. "Wenn die Unterschiede zwischen dem Erst- und Zweitplatzierten unter 5 Prozent liegen, ist das relevant", sagt Certitude-Sprecher Marc Nimmerrichter zur futurezone.
Das Sicherheitsunternehmen geht dabei davon aus, dass die SPÖ-Server 1.000 Anfragen pro Sekunde bearbeiten hätten können. Bei schwächeren Servern seien entsprechend weniger manipulierbare Stimmen möglich. Dadurch steige allerdings auch die Angreifbarkeit für DOS-Attacken, die darauf abzielen, dass ein Dienst überlastet wird und nicht mehr genutzt werden kann.
LimeSurvey eignet sich nicht für wichtige Abstimmungen
Certitude informierte die SPÖ am 3. Mai über die Sicherheitslücke, bis zum 10. Mai habe man die Lücke geschlossen, so der Certitude-Sprecher. Laut den Certitude-Expert*innen sei die verwendete Befragungssoftware LimeSurvey allerdings nicht als Wahlsoftware geeignet. Auch die Manipulation durch Systemadministrator*innen sei darin etwa möglich.
Außerdem könne nicht ausgeschlossen werden, dass sich weitere Schwachstellen bei der technischen Umsetzung der Mitgliederbefragung finden lassen. "LimeSurvey ist ein Befragungstool und eignet sich nicht für solche politischen Abstimmungen", betont Nimmerrichter. Für die Zukunft sollte sich die SPÖ daher nach einem geeigneteren Produkt für ihre Mitgliederbefragungen umsehen.
SPÖ: "Keine Gefahr"
Die SPÖ gab indes auf Twitter bekannt, dass bei der Mitgliederbefragung eine "Reihe von Sicherheitsmechanismen" eingerichtet waren, um das Erraten von Abstimmungscodes zu verhindern oder zu erschweren. Bei einer "Brute Force"-Attacke hätten diese Mechanismen eine Manipulation verhindert. Die zusätzlichen Empfehlungen von Certitude habe man umgesetzt, auch wenn "keine Gefahr bestand, die Befragungen zu kompromittieren".