Diskussion über Cyber-Sicherheit bei SPÖ-Befragung

Sicherheitsforscher des Unternehmens Certitude konnten laut eigenen Angaben zwei kritische Schwachstellen bei der SPÖ-Mitgliederbefragung identifizieren. Der Zugangscode war mit sieben Stellen und 36 unterschiedlichen Zeichen nicht komplex genug, um vor sogenannten Brute-Force-Angriffen zu schützen. Darüber hinaus konnte auch eine Sperre von IP-Adressen, mit der solche Attacken erschwert werden sollten, umgangen werden.

Der Code bestand aus einer sieben-stelligen Kombination aus Kleinbuchstaben und Ziffern. Das bedeutet, ein Angreifer müsste 36⁷ (=78.364.164.096) Codes probieren, um alle Möglichkeiten durchzuprobieren. Davon sind am Beginn der Befragung etwa 150.000 Codes gültig (Annahme, Anzahl der stimmberechtigten Personen) und bei Annahme einer Wahlbeteiligung von zwei Drittel am Ende noch 50.000 Stimmen gültig. Über den Zeitraum der Mitgliederbefragung sind also durchschnittlich 100.000 Codes unverbraucht. Die Wahrscheinlichkeit bei einem Versuch eine gültige Stimme zu erraten wäre damit 100.000/36⁷.

Um die Anzahl der Versuche zu beschränken, waren lediglich fünf Versuche pro IP-Adresse innerhalb von zehn Minuten erlaubt. Jedoch konnte Certitude nach eigenem Bekunden eine weitere technische Schwachstelle finden, um diese Beschränkung zu umgehen. Durch das Setzen eines X-Forwarded-For HTTP-Request-Headers konnten beliebige IP-Adressen vorgetäuscht werden.

Verfügt ein Angreifer über einen mäßig performanten Rechner sowie eine schnelle Internetverbindung, ist die Anzahl der pro Sekunde probierbaren Zugangscodes daher nur durch die Rechenkapazität des Servers begrenzt. Bei 17 Tagen mit je 86.400 Sekunden und einer Annahme von 10 Requests pro Sekunde wäre dies ein Erwartungswert von etwa 19 erratenen Zugangscodes im gesamten Befragungszeitraum.

Unter der Annahme, dass der Server 1.000 Anfragen pro Sekunde verarbeiten kann, konnte ein Angreifer etwa 1.900 Stimmen manipulieren, rechnet das Unternehmen vor.

Der SPÖ-Pressedienst betont in einer Reaktion, dass die SPÖ mit ihren IT-Experten bereits im Vorfeld der Befragung eine Reihe von Sicherheitsmechanismen eingerichtet habe, um das Erraten von Abstimmungscodes zu verhindern bzw. zu erschweren. Sollte jemand die angeführte Methode einsetzen, griffen weitere Sicherheitsmechanismen, die das Raten von Zugangsschlüsseln nach kurzer Zeit unterbinden würden. Ein Gutachten eines zertifizierten Sachverständigen halte fest: Es sei "für Unbefugte auch statistisch nahezu ausgeschlossen, selbst bei Kenntnis des Internetlinks einen Abstimmungscode zu erraten und so unbefugt anstelle einer anderen Person teilzunehmen". Ein maschineller Eindringversuch, der innerhalb kurzer Zeit unterschiedliche Codes durchprobiert, würde schon durch gewöhnliche Securitymaßnahmen der SPÖ-IT abgeblockt werden.