Wachsamer Umgang mit Websites und E-Mails rund um Wahlen

Vor dem Hintergrund der immer näher rückenden Wahlen in den USA haben wir bereits über verschiedene Aspekte der Sicherheit bei Wahlen gesprochen. ‏In früheren Beiträgen haben wir erläutert, warum Wahlen nicht online verwaltet werden, und sichere Wahlmethoden vorgestellt. Heute beschäftigen wir uns mit Vertrauenswürdigkeitsindikatoren bei der Kommunikation rund um Wahlen und beleuchten unter anderem, wie man Phishing unterbindet und Wählerdaten schützt.

Vertrauen in legitime Wahlen ist der Grundstein für jede Demokratie. Nur wenn die Wähler dem Wahlverfahren vertrauen, sind sie von der Glaubwürdigkeit des Wahlergebnisses überzeugt, und nur so kann es sichere Wahlen geben. Dazu gehört auch die Gewissheit, dass die Wählerdaten sowie E-Mails und Websites zu Wahlen für den Benutzer sicher sind.

Kürzlich klagte das US-Justizministerium sechs Mitglieder des russischen Militärs wegen ihrer Mitwirkung an weltweiten Cyberangriffen an. Die mutmaßlichen Täter sollen sich unter anderem in die US-Wahlen 2016, die französischen Präsidentschaftswahlen 2017 und die Olympischen Winterspiele 2018 eingemischt haben. Angesichts dieses Gefährdungspotenzials ist es umso wichtiger, Websites zu schützen, da Hacker jede Sicherheitslücke ausnutzen werden, die sie finden können. Bei einem Angriff sind jedoch nicht nur die Daten von Staat und Wählern in Gefahr, sondern auch das Vertrauen der Wähler ist schnell zerstört.

Hier sind ein paar Tipps, wie die Wähler selbst als auch Regierungsbehörden bei Wahlen für den Schutz ihrer Daten sorgen können.

Wählerdaten schützen

In den USA beispielsweise müssen sich Bürger vor einer Wahl selbst ins Wählerverzeichnis eintragen. Kaum auszudenken, was passieren würde, wenn die Datenbanken mit Wählerregistrierungsdaten gehackt oder manipuliert würden, sodass die betroffenen Bürger ihr Wahlrecht nicht ausüben könnten. Erst kürzlich stürzte am letzten Tag der Wählerregistrierung eine Registrierungswebsite in Virginia ab. Und die Wählerregistrierungswebsite Floridas war so überlastet, dass sie seit ihrer Bereitstellung gleich dreimal zusammenbrach. In anderen Fällen konnten Hacker auf Wählerdaten zugreifen: Aufgrund eines Datenbankfehlers wurden 2018 die Daten von 18 Millionen US-Wählern offengelegt.

Dies zeigt, wie wichtig es ist, in Schutzmaßnahmen für Wählerregistrierungswebsites zu investieren, um die Integrität von Wahlen zu gewährleisten und die Verfügbarkeit der Websites sicherzustellen. Sämtliche vertraulichen Informationen wie Wählerdaten, die erfasst werden, müssen verschlüsselt werden, sowohl im Speicher als auch bei der Übertragung. Benutzer achten zunehmend auf Datenschutz und Verschlüsselung ist ein Baustein in dem Bollwerk, das ihre Daten schützend umgibt. Eine Public Key Infrastructure (PKI) ist eine bewährte Technologie zur Verschlüsselung und Authentifizierung von Benutzern und Geräten und gewährleistet die Integrität der Datenübertragung. PKI werden bereits seit Jahrzehnten zum Schutz von Benutzerdaten eingesetzt und sind ebenso für Wählerdaten geeignet.

Phishing und Fehlinformationen unterbinden

Phishing-Angreifer nutzen jede sich bietende Gelegenheit, um private Daten auszuspähen oder Malware zu verbreiten, und Wahlen sind ein echtes Filetstück, denn sie sind das beherrschende Thema in den Medien. Da ist es ein Leichtes, im Wahlkampf per Phishing Daten abzugreifen. Selbst hinter absolut seriös anmutenden E-Mails können sich Angreifer verstecken, die versuchen, an persönliche Daten zu gelangen oder Falschinformationen zu verbreiten.

„Wahlen sind der ideale Vorwand für Kriminelle, Personen durch Phishing zu manipulieren, indem sie mit ihren Emotionen und Ängsten im Zusammenhang mit Wahlen spielen“, erläutert Brian Honan, CEO von BH Consulting und früherer Sonderberater der Europol zum Thema Cybersicherheit. „Die Kriminellen nutzen das Thema Wahlen als Köder, zum Beispiel in Form einer gefälschten Sensationsmeldung über einen Kandidaten, um den Empfänger zum Anklicken eines Links zu verleiten. Manche tarnen auch ihre Nachricht als Spendenaufruf des vom Wähler bevorzugten Kandidaten oder geben vor, dass der Empfänger aus der Wählerregistrierungsliste gelöscht worden sei und sich deshalb erneut für die Wahl registrieren müsse.“

David Bisson schreibt zu Themen der Informationssicherheit für IBM Security und Tripwire. Er erklärt, dass manche Betrüger versuchen, Bürger durch Falschinformationen am Wählen zu hindern. „Das ist insbesondere dann der Fall, wenn Angreifer dem Empfänger vortäuschen, dass sich das Wahllokal oder dessen Öffnungszeiten geändert hätten“, meint Bisson. „Wer Fragen zum Wahlverfahren hat, sollte sich direkt an die zuständige Wahlbehörde und/oder an Ansprechpartner der Gemeindeverwaltung wenden.“

Wahlberechtigte Bürger sollten Maßnahmen ergreifen, um Phishing und Fehlinformationskampagnen zu unterbinden, zum Beispiel:

• Achten Sie auf Elemente, die auf Vertrauenswürdigkeit schließen lassen: Überprüfen Sie die URL, um sicherzugehen, dass sie korrekt ist, und achten Sie auf das Vorhängeschloss-Symbol, das die Verschlüsselung per TLS/SSL belegt.
• Halten Sie Ihre Software immer auf dem neuesten Stand.
• Aktivieren Sie die Zwei- oder Mehrfaktor-Authentifizierung bei Ihren Konten.
• Nutzen Sie eine Anti-Malware-Lösung.
• Klicken Sie im Zweifelsfall keine Links an und geben Sie keine persönlichen Daten preis.

Unternehmen und Regierungsbehörden können auch Best Practices für den Umgang mit E-Mails anwenden, zum Beispiel indem sie S/MIME aktivieren, eine Methode zum Versenden digital signierter und/oder verschlüsselter Nachrichten, und an der Einhaltung des DMARC-Standards arbeiten (Domain-based Message Authentication, Receiving and Conformance). Dieser stellt sicher, dass nur autorisierte E-Mails von Ihrer Domain aus gesendet werden können. So können die E-Mails Ihrer Organisation nicht manipuliert werden.

Bisson zufolge müssen auch die kommunalen und überregionalen Wahlorgane in Sicherheitsmaßnahmen investieren. „Die kommunalen und überregionalen Wahlbüros sollten im Kampf gegen Phishing in E-Mail-Sicherheitskontrollen investieren, die verdächtige Domains auf die Sperrliste setzen, unnötige Dateianhänge blockieren und bei externen E-Mails Warnmeldungen ausgeben. Es empfiehlt sich auch, die Wahlleiter zum Thema Phishing zu schulen und Simulationen durchzuspielen.“

Sichere Kampagnenwebsites

Sämtliche Websites für Wahlkampagnen und staatliche Wahlseiten sollten durch ein TLS/SSL-Zertifikat geschützt sein, um zu gewährleisten, dass alle Daten verschlüsselt werden, und um Man-in-the-Middle-Angriffe zu verhindern.

Als Besucher einer Website sollten Sie auf Vertrauenswürdigkeitsindikatoren wie das Vorhängeschloss achten und nie persönliche Daten eingeben, wenn Sie an der Integrität der Website zweifeln und nicht wissen, ob Ihre Daten verschlüsselt werden.

Leider mangelt es vielen Wahlseiten im Internet an den grundlegendsten Schutzmaßnahmen. Laut einer Umfrage von McAfee zu den Wahlseiten von US-Wahlbezirken verfügen die wenigsten über eine .gov-Domain oder HTTPS. Der Umfrage zufolge „fehlte es der Mehrheit an der offiziellen ‚.GOV‘-Websitevalidierung der US-Regierung und dem sicheren HTTPS-Kommunikationsprotokoll, die es Hackern erschweren, gefälschte Websites unter dem Tarnmantel einer offiziellen Website des Bezirks bereitzustellen.“

Dies ist hinsichtlich der notwendigen Integrität von Wahlen nicht hinnehmbar. Regierungsbehörden müssen in die Sicherheit ihrer Websites investieren, indem sie TLS installieren und HTTPS aktivieren. Nur so können Wähler vor Betrug und Täuschung geschützt werden.

Wachsam bleiben

Da es in diesem Jahr länger dauern könnte, bis das Wahlergebnis feststeht, müssen Wähler besonders wachsam sein und auf mögliche Falschinformationen oder Datendiebstahlversuche achten. Sowohl Bürger als auch die Behörden müssen genau prüfen, ob es sich bei Mitteilungen um einen Phishing-Angriff handeln könnte. Die Datenbanken mit den Wählerregistern und Websites im Zusammenhang mit den Wahlen müssen abgesichert werden. Nur so lässt sich das Vertrauen in den Wahlprozess stärken und Betrug verhindern.