Die Mitgliederbefragung der SPÖ über den Parteivorsitz und die Spitzenkandidatur ist um eine Spur brisanter geworden: Wie Sicherheitsforscher von Certitude Consulting nun festgestellt haben, sei das Erhebungstool für die Umfrage nicht sicher genug gewesen, um eine Manipulation ausschließen zu können.

Konkret konnten zwei Sicherheitsschwachstellen bei der SPÖ-Mitgliederbefragung identifiziert werden: Zum einen war der Zugangscode für die Umfrage nicht komplex genug, um vor sogenannten Brute-Force-Angriffen geschützt zu sein. Vereinfacht formuliert wird dabei "mit roher Gewalt", daher die Bezeichnung, versucht, durch automatisiertes Ausprobieren so lange Passwörter an ein System zu senden, bis der Angreifer die korrekten Zugangsdaten erhält.

Zum anderen konnte eine Sperre von IP-Adressen umgangen werden, mit der genau solche Brute-Force-Angriffe erschwert werden sollen. "Die Ausnutzung der Angriffe ist einfach, wodurch es bereits für Personen mit geringen IT-Security-Kenntnissen möglich war, Stimmen zu manipulieren", sagt Marc Nimmerrichter von Certitude Consulting.

Schwachstelle Zugangscodes

Um sicherzustellen, dass nur registrierte Mitglieder ihre Stimme abgeben können und dass jedes Mitglied nur eine Stimme abgibt, wurden persönliche Zugangscodes an alle Mitglieder ausgehändigt. Diese Zugangscodes konnten auf der Website der Mitgliederbefragung eingegeben werden. Wenn der eingegebene Zugangscode gültig war, erhielt das Mitglied die Berechtigung, seine Stimme abzugeben. Eine Anmeldung oder weitere Sicherheitsmaßnahme war nicht erforderlich.

Der Zugangscode, der bei der SPÖ-Mitgliederbefragung verwendet wurde, bestand aus einer siebenstelligen Kombination von Kleinbuchstaben und Ziffern. Wie Certitude Consulting vorrechnet bedeutet das, dass ein potenzieller Angreifer 36⁷ verschiedene Zeichenkombinationen hätte ausprobieren müssen, um alle Möglichkeiten abzudecken. Bei der Annahme, dass im Durchschnitt während des Zeitraums der Mitgliederbefragung etwa 100.000 Codes ungenutzt geblieben sein dürften, wäre die Wahrscheinlichkeit, bei einem Versuch eine gültige Stimme zu erraten, daher bei 100.000 durch 36⁷ gelegen.

Schwachstelle IP-Adressen-Sperre

Um die Anzahl der Versuche einzuschränken, wurden bei der Mitgliederbefragung lediglich fünf Versuche pro IP-Adresse innerhalb von zehn Minuten erlaubt. Jedoch hat Certitude Consulting eine weitere technische Schwachstelle entdeckt, mit der man diese Beschränkung umgehen hätte können. Durch das Hinzufügen eines sogenannten X-Forwarded-For-HTTP-Anfrage-Headers hätten beliebige IP-Adressen vorgetäuscht werden können.

Certitude Consulting betont zwar, dass man nur Annahmen über die Anzahl der möglichen Anfragen pro Sekunde treffen konnte und nicht die tatsächliche Rechenkapazität des Servers erfragt hat. Aber auch hier rechnen die Sicherheitsforscher das Manipulationspotenzial exemplarisch vor: Unter der Annahme, dass der Server 1.000 Anfragen pro Sekunde verarbeiten konnte, hätte ein Angreifer etwa 1.900 Stimmen im Befragungszeitraum manipulieren können. Eine niedrige Rechenkapazität des Servers hätte die Anzahl der manipulierbaren Stimmen zwar reduziert, aber gleichzeitig auch Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) erleichtert und somit die Abgabe legitimer Stimmen behindert.

Software nicht geeignet

Unabhängig von den genannten Schwachstellen kritisieren die Sicherheitsforscher, dass die von der SPÖ eingesetzte Software für sensible Umfragen wie diese nicht geeignet sei. Die Open-Source-Software LimeSurvey unterstütze zwar anonyme Umfragen, sei aber nicht als Software für eine Wahl geeignet. Nicht zuletzt bestehe mit ihr auch die Möglichkeit einer Manipulation durch die Systemadministratoren.

"Demokratiepolitisch wichtige Abstimmungen sollten nicht mit einfachen Umfragetools durchgeführt werden. Die Anforderungen an eine geheime, nachvollziehbare und faire Wahl sind andere als für eine Umfrage. Wenn das Vertrauen in die Integrität von derartig wichtigen Abstimmungen bzw. Befragungen nicht mehr gegeben ist, kann das eine Gefahr für unsere Demokratie sein", sagt Nimmerrichter.

SPÖ weist Vorwürfe "entschieden" zurück

Bereits am 3. Mai haben die Sicherheitsforscher die SPÖ auf die Schwachstellen hingewiesen und als kurzfristige Maßnahme empfohlen, den X-Forwarded-For-Header zu filtern oder zu ignorieren. Eine Empfehlung, der die Partei offensichtlich auch gefolgt ist. Auf Nachfrage des STANDARD bei der SPÖ heißt es, dass man die zusätzlichen Empfehlungen umgesetzt habe, "auch wenn keine Gefahr bestand, die Befragung zu kompromittieren".

Die SPÖ und ihre IT-Experten hätten im Vorfeld eine Reihe von Sicherheitsmechanismen eingerichtet, um das Erraten von Abstimmungscodes "zu verhindern bzw. zu erschweren". Hätte jemand die von Certitude angeführte Methode eingesetzt, hätten weitere Sicherheitsmechanismen gegriffen, die das Raten von Zugangsdaten nach kurzer Zeit unterbunden hätten.

In einer weiteren Stellungnahme weist die SPÖ die Vorwürfe "entschieden" zurück und beruft sich auf das Gutachten eines zertifizierten Sachverständigen: Demnach sei es "für Unbefugte auch statistisch nahezu ausgeschlossen, selbst bei Kenntnis des Internetlinks einen Abstimmungscode zu erraten und so unbefugt anstelle einer anderen Person teilzunehmen". Ein maschineller Eindringversuch, der innerhalb kurzer Zeit unterschiedliche Codes durchprobiert, würde schon durch gewöhnliche Securitymaßnahmen der SPÖ-IT abgeblockt werden. (Benjamin Brandtner, 11.5.2023)