 So, um es ganz schnell zu machen, mein bester Freund, Hallo Silvan, sagte zu dem Thema, was hinter uns an der Wand steht, der geilste Hack und geilste Arschstritt seit der Post. So sehe ich das auch. Linus Thorsten Martin zum PC-Wahl-Hack. Schönen guten Abend. Wir freuen uns, dass ihr hier seid, um uns zuzuhören. Ich bin der Linus. Meine Hobbys sind Reintenschwimmen, Lesen und Haken. Ich bin Thorsten und ich mach gern Sachen kaputt. Ich bin Martin, heute aus Darmstadt, und ich bin interessierte Bürger. Vielen Dank. Das ist Dein Applaus, Martin. Wir haben ein Wahlprogramm mitgebracht. Wir führen kurz das Thema ein. Wir stellen euch ein paar Angriffsszenarien vor, setzen uns dann mit einigen Versuchen auseinander, diese zu fixen und kommen zu einem Fazit. Zunächst stellt sich die Frage, wofür braucht man eine Wahlsoftware? Gewählt wird doch auf Stift und Papier. Die Wahl muss organisiert werden, sie muss erfasst werden und ausgewertet werden. Am Ende muss eine Zahl stehen. Das Problem, was hier zu lösen gilt, ist 70.000 Wahllokale bundesweit bei so einer Bundestagswahl. 16 Bundesländer mit eigenen Regelungen. Da dann eben Gemeindewahlbezirke, die ihre Schnellmeldungen an einen Gemeindewahlleiter geben. Der Gemeindewahlleiter übermittelt sie an einen Kreiswahlleiter, der wiederum übermittelt sie an den Landeswahlleiter. Und dann irgendwann mit allen möglichen Ergebnissen sitzt der Bundeswahlleiter und sagt, so und so lautet das vorläufige Ergebnis. Das macht der meistens wenige Minuten nach Ende der Wahl. Aber quasi wenige Stunden danach kommen dann die vorläufigen Ergebnisse. Das ist quasi die Schnellmeldung. Wenn die Wahl ausgezählt wird mit Paper Trail und das Ganze übermittelt wird, dann haben wir zwischen Gemeindewahlbezirke und Gemeindewahlleitern Tag und so weiter, dass sich locker auf über zehn Tage summiert, bis es wirklich das amtliche Endergebnis gibt. Deswegen macht es natürlich Sinn, hier eine Software einzusetzen. Da wir aber in einem föderalen Staat leben, hat dann jedes Bundesland seine eigene Vorliebe, der Bundeswahlleiter hat eine Vorliebe, und dann können die Gemeinden teilweise sich auch noch etwas aussuchen. Wir haben eine dieser Softwares angeschaut, die auf der PC-Wahl, die laut Herstellerangaben in allen Flächen Bundesländern bei allen möglichen demokratischen hohen Akten zum Einsatz kommt und laut Hersteller verantwortlich ist für bis zu 33 Millionen Stimmen. Aber was wir euch heute erzählen, trifft größtenteils auch auf Alternativen zu wie dieses Programm IVU-Elect, das von unseren Kollegen in den Niederlanden schon auseinandergenommen wurde, oder den Vote-Manager oder das Produkt mit dem vertrauensvollen und wohlklingenden Namen. Okay, Wahl. In Qualityland ist alles okay. Natürlich haben sich Leute schon darüber Gedanken gemacht, wie kommen wir denn an diese Wahlsoftware? Was ist das denn da, da rechnen Computerergebnisse zusammen? Und dann wird das irgendwie bekannt gegeben, da hätte ich doch mal Interesse, dieses Software anzuschauen. Da hat sich ein junger Mann bis vor das Landesverfassungsgericht geklagt. Das hat die Beschwerde zurückgewiesen, denn also eine Überprüfung durch die Öffentlichkeit wäre hier nicht vorgesehen. Es reicht, wenn der Landeswahlleiter sich das anschaut. So viel Transparenz haben wir dazu. Außerdem versteht sowieso keiner. Das versteht eh keiner. Das zu hacken, wie so sollte jemand eine Wahl hacken. Wir haben dieses Software in unsere Finger bekommen. Und das sind jetzt ... Das sind Hersteller-Screenshots. Die hätten wir auch anfertigen können. Und unsere erste Reaktion, als wir jetzt diese Software vor uns hatten. Das ist zu dem Logo, das ist nicht selbst gebaut. Es war einfach von vornherein klar, das wird jetzt nicht angenehm. Und ich würde sagen ... Ein Punkt kann man dieser Software auf jeden Fall geben. Das Risiko, das sie gehackt wird, ist immer noch viel geringer, als dass man sie fehlbedient oder wahnsinnig wird, beim Versuch. Hier sieht man, wie so eine Gemeindewahl angelegt werden kann. Angenehmes User-Interface. Hier sieht man, wie so die Erststimmen ausgezählt werden. Nichts übersehen. Das User-Interface, die noch nicht ausgezählten Bereiche in Rot färbt. Dass man sieht, ist noch nicht soweit. Und hier haben wir ein Check, wo ein paar Summen verglichen werden. Und gesagt wird, die Zahlen, die ihr da addiert habt, kommen nicht so ganz zusammen. Wenn die Zahlen nicht ganz stimmen, noch so lange daran rumkorrigieren, bis alle Felder grün sind. Und Sicherheit ist das, wofür wir uns interessieren. Da haben wir gedacht, guck mal. Die interessieren sich offenbar auch für Sicherheit. Die interessieren sich für Betriebssicherheit. Die richtige Schuhwerk, Helm usw. Klar, das brauchen wir da auch, Schutzhandschuhe. Nein, Spaß beiseite. Der Hersteller wird mit einem indexfreien Datenbankkonzept. Und ich dachte, wahnsinnigen indexfreien Datenbank, was ist das? Die werden in einen Files-System geschrieben. Und die werden redundant geschrieben. Die gleichen Daten werden in zwei verschiedenen Formaten in unterschiedliche Ordner geschrieben. Das ist redundante Speicherung. Und man kann das auch sogar synchronisieren. Also die Datei-Synchronisationsfunktion ermöglicht ist. Eine oder mehrere Kopien einer Wahlergebnisdatei mit dem Original automatisch abzugleichen. Und ich dachte, boah, das ist ein Syncingkonflikte. Dachten die sich auch, die legen einfach die Dateien alle auf einen SMB-Share und dann geht's rund. Kommen wir, also, man könnte, also Böse zogen behaupten, wir haben uns das nur angeschaut, weil es uns einfach auf den Geist gegangen ist, ein Jahr lang nur damit belästigt zu werden, dass irgendwie Russland die Wahl hacken würde. Und dann haben wir halt gedacht, dann schauen wir doch mal wie. Wichtig ist noch mal einmal zu betonen. Es gibt zwei Übermittlungsmode, das vorläufige Endergebnis. Und das ist das, wovon wir heute sprechen. Und es gibt noch das amtliche Endergebnis, was zehn Tage später veröffentlicht wird. Alles, was wir euch jetzt erzählen, trifft nur zu für das vorläufige Ergebnis. Das amtliche Endergebnis bei der Bundestag 2017 kam 18 Tage später raus. Und da fragen wir uns natürlich, wie kommt denn so ein Hacker dazu, sich das anzuschauen? Und das erklärt am liebsten Martin der interessierte Bürger. Ja, also, mich hat schon interessiert, aber man kommt natürlich nicht so direkt da drauf. Es müssen schon günstige Umstände vorliegen. Das eine war die Bundestagswahl. Und das andere war die Existenz eklatanter Probleme bei diesem Wahlprogramm hier. Das erste, was wir festgestellt haben, war, solche Wahltaten haben wir vorhin gesehen, werden übertragen in so einer Kette von der Gemeinde, auf den Kreis, auf das Land und so weiter. Und was passiert in einem Wahllabend, wenn wir in der Gemeinde sitzen, der Gemeindewahlleiter bekommt die Ergebnisse der Wahllokalen, dann starten die Helfer des Wahlleiters in der Gemeinde ihr PC-Wahlprogramm. Und das wird alles von so einer SMB-Share gestartet, aus dem Netzwerk heraus. Und dann tippen sie fleißig die Schnellmeldung ein, die aus den Wahllokalen eingehen. Die Ergebnisse, die sie dann sammeln, die müssen irgendwo hin. Die werden hochgeladen ins Internet auf ein FDP-Server. Da steht ein FDP-Server. Er sammelt die ganzen Ergebnisse der einzelnen Gemeinden ein. Und der steht im Internet und in Hessen, ich komme aus Darmstadt, deswegen in Hessen, das ist die einzige Ursache, wird der von der ECOM 21 betrieben, lokaler IT-Linsleister dort, Kommunaler. Und ECOM 21 hatte dem interessierten Bürger die Anleitung zur Verfügung gestellt, wie man diese Daten hoch lädt. Waren auch die Passwörter drin. Waren Konfigurationsdateien mit entsprechenden Daten, die einem ermöglicht haben, im Sinne der Bürgertransparenz diesen Prozess komplett nachzuvollziehen. So, was braucht es dafür, um jetzt hier diesen Prozess anzugreifen? Nur, man braucht Google. Man muss zum Beispiel nach Bundestagswahl Hessen googeln. Texteditor, um diese Dateien sich anzusehen. Und dann noch, die Bagger ist vielleicht ganz hilfreich, wenn man ein bisschen tiefer einsteigen möchte. Das ermöglicht dann Zugang auf diesen FDP-Server. Und da haben wir uns angeschaut, da liegen tatsächlich Ergebnisse drauf von Wahlen. Die reichen bis viele Jahre zurück. Kleinere Wahlen, Bürgermeisterwahlen, Landeswahlen, Bundestagswahlen. Und, ja, da stehen die Zugangestaten für diesen Server. Die hatten wir dann auch in der Hand. Kleines Problem, dieser IP ist eine lokale IP-Adresse. Da brauchte man dann noch Zugangestaten fürs VPN. Das Schöne daran ist, die Bundestagswahl 2017 war offenbar nur ein Test. Gut, und damit, ja, da hatten wir Hessen. Aber alles erledigt. Nein, nicht ganz. Was fehlt? Es gibt ja noch ein paar andere Angriffsszenarien. Nicht nur, die Möglichkeit auf dem FDP-Server Zugriff zu erlangen, um da irgendwelche Konfektdaten und Dokumentationen einzusehen. Zum Beispiel diesen Update-Mechanismus. Wie verteilt dieses ganze System die Updates an die verschiedenen Wahlbezirke, wo dieses Software im Einsatz ist? Und, ja, wir haben gelernt, dass das ein durchaus spannendes Feld ist mit den Updates. Wir haben im großen, bösen Internet einmal diesen Web-Server auf dem Dokumentation liegt, auf dem die Website des Herstellers liegt, wo auch die Updates für die Software liegen. Und wir haben zum Zeitpunkt, als wir uns mit dem ganzen Kram beschäftigt haben gesehen, wir haben mindestens vier Schwachstellen auf diesem Web-Server gefunden, die es uns erlaubt haben, auch Dateien zu modifizieren auf diesem Server. Das heißt, wir könnten auch Update-Dateien überschreiben oder austauschen durch eigene Updates, also eigene PC-Wahl-Software. Sehr Vorteil, Updates auszuliefern ist einfach, man muss nicht für sichzehn Bundesländer die Passwörter googeln, weil auszuliefern, ja. So, das ist also viel einfacher. Aber da hat der Herr Berninger, der Entwickler dieser Software, der in den 90ern angefangen hat, dieses Software zu entwickeln. 80ern? Der hat gesagt, man braucht sehr viel Gehirnschmalz, um diesen Verschlüsselungs- und Kompassionsalgorithmus zu knacken, den er sich da ausgedacht hat. Weil er hat natürlich dafür gesorgt, dass man das nicht ohne Weiteres austauschen kann. Das heißt, dieses Update-Paket PCW10.1.010 ist eine verschlüsselte Datei. In dieser verschlüsselten Datei findet sich ein ZIP-Archiv. Und in diesem ZIP-Archiv findet sich noch eine Datei irgendwie ... Na ja, also, man braucht sehr viel Gehirnschmalz. Haben wir da mal zahakt? Hier sehen wir so ein Ausschnitt aus ein bisschen Code, den wir einmal aus dem ... Wir haben dieses Software gegen ein Disassembler geworfen, mal die großen Gummihandschuhe ausgepackt und in Delphi Code gewühlt. Da lag dann so ein Schlüssel rum und so eine tolle Verschlüsselungsmethode. Dann haben wir halt einfach ein eigenes Tool gebaut, was diese Pakete entpacken kann, sodass wir dann in dieser Verzeichnungsstruktur eigene Dateien reinpacken können. Und dann kann man mit dem eigenen Update-Decrept-Tool zum Beispiel diese Studio.exe. Das ist die eigentliche Kernsoftware, die dann läuft. Also PC-Wahl ist Studio.exe. Das ist dieses wundervolle UI, was wir da gerade gesehen haben. Das kann man patchen, so dass zum Beispiel Wahlergebnisse vertauscht werden oder andere Böse Dinge tun. Anschließend kann man mit dem Tool, was wir dann gebaut haben, eine neue Update-Datei erstellen. Da nimmt man dann einfach einen anderen Command-Line-Switch hier. Laser geht nicht, Laser geht doch. Da, minus C, ist Create, ein neues Update-Paket. Das könnte man dann auf diesen Server im großen, bösen Internet stellen. Das würde dann an die PC-Wahl-Systeme verteilt werden, ohne dass wir da was zu beitragen müssen. Wir haben den Code mal auf GitHub gepackt. Da könnte er das mal benutzen. Das Geniale ist, wenn ich eine Verschlüsselungsroutine habe und die Mitliefer in den Programmen. Er musste nun mal seine Software-Updates entschlüsseln. Dann war das jetzt nicht ganz so schwer, das nachzubauen. Ja. Wie viel Gehirnschmalz brauchten wir da? 300 Gramm. 200 Gramm, oder? Kann auch 180 gewesen sein. Ungefähr, wollen wir nicht so klein wie ich sein. Was wollen wir also machen? Wenn wir diese Studio-Exattaction, dann wollen wir, da die Kommunikationswege verschlüsselt sind. Wir haben von unserer Regierung gelernt, dann muss man, wenn man abhören will, an der Quelle anzapfen. Weil die böse Krypto macht sonst alles so kompliziert. Bei der Manipulation ist das ähnlich. Deswegen haben wir diese Quellen-TKM, also Telekommunikationsmanipulation, da platziert, bevor die Kryptografie ansetzt. Und wir wollen hier, das ist jetzt ein Ausschnitt, diese Daten, die wir hier sehen, das sind XML-Daten, die vom PC an den nächsten höherebene gesendet werden. Und da gibt es dann so Partei-IDs, über das Format unterhalten wir uns später noch. Wir haben gedacht, wir patchen das mal als Proof-of-Concept, so, dass wir die Partei 1 und 2 vertauschen. Das heißt, dass einfach nur die Stimmen vertauscht sind. Das war ein Punkt in den Angriffsszenarien. Wir haben aber noch ein paar weitere. Es gibt diese Dateiformate, die von der Software verwendet werden. Und die vor jeder Wahl zur Verfügung gestellt werden. Die werden dann einfach ausgeräut, dann werden die Geräte provisioniert und ausgeliefert. Und diese Daten liegen halt auch im Internet. Und auch in diesem Update-Paket, in dem regulären Update-Paket. Da sind da so die Konfig-Dateien mit den ganzen Schlüsseln zu den FDP-Servern. Dann gibt es auch PGB, benutzen sie auch irgendwann. Dann sind die Passphrases da auch drin abgelegt. Wenn wir das so leicht machen wollen, haben sie das Ganze auch verschlüsselt. Das haben wir dann auch mal zerhackt. Ja ... Da gibt es verschiedene Formate. Sie haben sich nicht einfach mal auf einen Verschlüsselungsverfahren festgelegt, sie haben sich mehrere ausgedacht. Und auch, wie Sie das dann kodieren, total sinnvoll. Oder auch nicht. Hier ist eine Variante. Die ini-file-en-crap-tion Nummer 1, wie wir sie genannt haben. Im Schlüssel. Kann man machen. Kann man machen. Braucht es halt eine Risikoabnahme. Braucht es halt eine Risikoabnahme. Ja, das ist so der Code. Ja, dann aus dem Disassembler und dem ganzen Durchlesen dieses Binarys rausgefallen. Das war auch nicht so der große Spaß mit dem Delphi-Code. Dann gibt es noch eine zweite Variante. Den benutzen Sie für Passwörter und Username, für die PGP-Passphrases und für HTTP-basierte Zugriffe. Da haben wir hier ein ganzes Byte ... Schlüssel. Immerhin. Kann man machen. Und das wird genutzt, um diese Konfig-Daten zu entschlüsseln. Wir haben das alles durchimplimentiert und auf GitHub geworfen. Könnte ja mal auschecken. Ja, hier macht jetzt Linus noch weiter zu den Formaten. Die sind nämlich gar nicht so unwichtig, wenn wir zeigen wollen, wie wir das Ganze auch in der Praxis hacken können. Wie Martin ja gerade schon sagte, er hatte Zugriff auf diesen FTP-Server zumindest in Hessen. Wir können also einmal die Binarys manipulieren, dass sie unterschiedliche Ergebnisse sehen, anders exportieren. Aber wenn man auf den FTP-Server Zugriff hat, dann kann man auch seine eigenen Dateien schreiben. Da haben wir uns halt dieses XML-Format angeschaut, vorläufiges Endergebnis, Hochregnungsergebnis markiert hat. Und das war also auch ein hochkomplexes Datennamen-Konstrukt. Das ist das, was dieses indexfreie Datenbankkonzept bedeutet. Die Dateien haben klare Namen. Und am anderen Ende wartet ein Server und möchte die dann zählen. Und die Dateien, das ist jetzt so eine Wahldatei. Hier sehen wir die XML-Datei. Und da steht dann drin die Partei mit der ID 001. Es hält so und so viel Stimmen. Und wenn man sich für dieses XML-Datei Format anschaut, fragt man sich, was fehlt. Und was ich da irgendwie gesucht habe, war ... Irgendeine Form von Signatur oder so, die in irgendeiner Form sagt, wer das Ding ausgezählt hat. Was man ja beim Papierergebnis schon hätte. Also, dieses schöne XML-Datei-Format auch wieder eine Zierde für den Heiligen Akt der Demokratie. Das haben wir alles zusammengeschrieben. Und es war natürlich klar, wir haben das ja vor, der Wahl veröffentlicht mit einem ausreichenden Zeitraum von ... ... zwei Wochen. Nee, drei fast eigentlich. Drei Wochen Zeit haben wir gegeben. Und haben gesagt, das kriegt der doch hin. Wir haben da also einen Bericht geschrieben. Wir haben jetzt nur so ein paar Sahne-Filetstücke gezeigt. Der eigentliche Bericht ist irgendwie 24, 25 Seiten lang. Und haben den also veröffentlicht. Wir haben gesagt hier, die Software ist unsicher. Wir haben aber schön darauf geachtet, dass wir einen langen Teil haben, wo drin steht, Fazit, Schwachstellen. Und immer dazu geschrieben, pass auf Folgendes müsst ihr machen. Wir haben da irgendwie ein paar Wochen dran gesessen, haben das veröffentlicht und haben gedacht, jetzt sind wir endlich fertig. Und dann haben wir abends die Tagesschau geguckt, weil wir sind ja interessierte Bürger. Und dann hören wir da zu unserer allgemeinen Überraschung. Bei einem Computerprogramm, das bei der Bundestagswahl eingesetzt werden soll, sind erhebliche Sicherheitsmängel festgestellt worden. Das ist das Ergebnis einer Untersuchung, an der unter anderem der Chaos-Computer-Club beteiligt war. Die Experten kommen zu dem Schluss, dass die Software über viele Kommunen die Wahlergebnisse weitermelden, nicht abgesichert sei. Der Bundeswahlleiter sprach von einem ernsten Problem. Inzwischen habe die Hersteller aber nachgewässert. Und ich dachte so, boah, der ist echt schnell. Mal gucken. Mal auf die Update-Seite schauen. Das war die Tagesschau vom 7. September, wo wir veröffentlicht haben. Und wir haben diese letzte Version vom 9. September, vom 5. September, als Gegenstand unserer Untersuchung gehabt. Und dachten, na ja, das ist aber komisch. Wenn es da jetzt Nachbesserungen gab, dann fragen wir uns, wann die passiert sind. Und dann dämmerte es uns wahrscheinlich, meinen die, die Nachbesserung, die der Hersteller gemacht hat, dass wir Ihnen vor Veröffentlichung unseres Berichtes über die größten Probleme in Kenntnis gesetzt haben. So gab es dann am 31. August einen Selbsttest der Datei unter Verwendung des traditionsreichen ... ... und seit irgendwann in den 90er-Jahren gebrochenen Hashing-Algorithmuses MD5. Selbstcheck ist auch gut, ne? Also, wenn ihr ne manipulierte Datei kann natürlich sehr gut sich selber checken. Am 5. September kam die digitale Signatur des Gramms und die GPG-Signatur des Payloads und dann sogar noch die digitale Signatur des Installers später. Und jedes Mal, wenn wir das gesehen haben, rutscht uns ein bisschen das Herz vor Freude in die Hose. Jetzt haben Sie es geschafft, Sie haben es beseitigt. Und wenige Minuten später war dann irgendwie so das Gefühl so, warum macht ihr das denn so? Und die Antwort schliebe zu sein. Jolo! Aber Spaß beiseite, wir haben zwei zentrale Dinge gefordert, signierte Software-Updates und signierte Ergebnis-Daten. Das kann ja eigentlich nicht so schwer sein. Das haben wir wirklich sehr oft und sehr deutlich gesagt, dass man viele dieser groben Probleme damit in den Griff bekommt. Wenn wir erst mal eine Software sicher auf einem System deployt haben und da so ein Vertrauensanker haben, dann können wir schon dafür sorgen, dass diese Software auf dem Weg dahin nicht mehr manipuliert wird. Wir haben, wie gesagt, gesehen, dass Sie da einen Selbsttest eingebaut haben. Dieses Studio.exe, das soll sich selbst testen. Das hier ist jetzt Teil unseres Patch-Programms, wo man dann so zum Beispiel sehen kann, was wir noch machen müssen, bevor wir diese Wahl-Daten manipulieren. Wir müssen den Selbsttest austauschen durch zwei Bytes. Wir müssen eine Funktion einbringen, die dann einfach nur die Stimmen der Partei Eins und Partei Zwei austauscht. Um diese Funktion anzuspringen, brauchen wir hier noch ein paar Bytes. Wir haben die Grunde genommen alles. Damit haben wir zumindest diesen Selbsttest schon mal beseitigt. Ganz praktisch. Als Sie dann später so in diesen Tonentauben-Modus überging und wir halt irgendwie etwas veröffentlicht haben und Sie dann einen Patch rausgebracht haben, hat das bei dem letzten Patch, wo man denken kann, jetzt haben Sie es aber wirklich mal gemacht, weil das haben die jetzt so oft um die Ohren bekommen, das geht gar nicht anders. Ich habe dann gearbeitet und erst abends im Hotel die Möglichkeit gehabt, mir den Kram anzugucken. Und das ging dann eigentlich doch auch relativ schnell, dass man den Kram aushebeln kann. Das habe ich dann kurz mal so getwittert mit einem Hash über einen Proof-of-Concept, den ich da schon in der Tasche hatte. Aber ich würde es ja immer schön und bunt machen und so greifbar wie möglich machen und auch so unangreifbar wie möglich machen. So sah dann der Software-Updater von PC-Wahl aus, nachdem ich mir den noch mal angeguckt habe. Wir sehen hier ganz deutlich, haben wir jetzt nicht mehr die Umstellung des Update-Systems vom 13.9., sondern schon die Umstellung auf Schadsoftware mit vollbitsignierten Installationspaketen. Das haben ... Das hat er dann halt auch gefressen. Jetzt haben wir hier dieses Video und ich glaube, ich muss hier irgendwo draufklicken. Diese Max, die können das nicht mit dem Multimeter so richtig ... Mit Windows wäre das nicht passiert. Also, hier sehen wir, wie dieses Wahlstudio bedient wird. Man kann hier auf Versionsinfo klicken. Dann wird man gefragt, ob man die digitale Signatur von PC-Wahl überprüfen möchte. Das geht jetzt ein bisschen schneller, ich rede ein bisschen schneller. So ... Hier gibt es jetzt ein Programm-Aktualisierungssoftware, das ist damit bei, jetzt gibt es gleich eine Anleitung, wie die Integrität dieses Update-Pakets überprüft werden soll. Schaut mal ganz genau hin. War das schon? Nee. Weißt du, es ging so schnell ... Ah, kacke, viel zu schnell. So, das ist ... genau, das ist schon unser modifiziertes Update. Und hier wird jetzt gezeigt, machen wir Pause oder so. Das ist ... Das ist Ihr Verfahren. So signieren Sie Ihre Digitalen. Also, so signieren Sie Ihre Update-Pakete. Die wollen, dass man dieses komische PC-Wahl-Paket-Punktexe mit einem Rechtsklick sich die Eigenschaften anguckt, dann auf digitale Signaturen klickt, dann doppelklicken auf Regio-IT-GmbH, und dann soll man gucken, ob hier steht, die digitale Signatur ist gültig. Ja. Was dann passiert? Also, allein die Idee. Allein die Idee zu sagen, ah ja, signierte Update, machen wir aber das zu prüfen, muss der Nutzer machen. Warte mal, das wird ja alles noch viel besser. Was ja dann da passiert, dieses PC-Wahl-Paket-Punktexe ist jetzt nicht wirklich ein Installer, wie man sich das so vorstellt. Das ist eigentlich ein Hello-Work-Programm. Wenn man das ausführt, dann geht nur ein Fenster auf, und da steht drinne die Signatur, dieses Programm muss gültig sein. Weil ... die haben ein executable File-Format als Container benutzt, um dann in den Resources, da haben Sie dann dieses PC, W, 10, Dat, 010 embeddelt. Und das ein anderes Programm extrahiert dann aus diesem Echse das eigentliche Installer-Paket und installiert das. Nachdem man natürlich gesagt hat, ja, ja, ist gültig. Jetzt kannst du mal weitermachen. Mach du mal. Also, Sie haben auch hier wieder super verschlimm bessert. Wir sehen, wir machen das jetzt mal, wie uns das so befohlen wurde. Wir klicken da jetzt auf digitale Signaturen. Sieht doch top aus, oder? Als A-Signatur? Irre. Einfach gültig ist okay. So, und jetzt muss man sagen, die Signatur war gültig. Und jetzt haben wir, um das natürlich zu demonstrieren, dass wir da jetzt eine eigene Software eingepackt haben, haben wir jetzt mal hier so ein rotes Fenster aufpoppen lassen. Was wir mit diesem Studio-Patch produzieren, würde man ja so jetzt gar nicht sehen, was ja auch Sinn der Sache ist. Einmal noch drücken. Einmal noch drücken. Die signierten Ergebnis-Daten sind ein weiterer Punkt. Sie haben sich entschlossen, die Ergebnisse, die Sie xml-Dateien zu signieren. Was machen Sie? Man hat Ihnen irgendwann mal gesagt, nehmen pgp. Man hat Ihnen nicht gesagt, managed irgendwie auch die Kies. Es ist völlig unklar, wie die die Kies ausrollen. Wird da irgendwie ein Schlüsselpaar unter allen Bundesländern geteilt? Oder, man weiß es nicht. Wir wissen es nicht. Wir haben es nie herausgefunden. Also nur um das Ausmaß hier zu zeigen, wir reden ja von 70.000 Wahllokalen. Und da gerät so ein Web of Trust dann ja auch ein bisschen an seine Grenzen. Wer importiert die ganzen Publicies, wenn die sich das tatsächlich selber alles generieren? Zumindest in der Anleitung steht drin, man soll bitte Cleopatra installieren und dann kann man sich da so ein Schlüsselpaar generieren und dann kann man die Daten signieren. Da steht nichts drin, so schickt den Key irgendwo über einen vertrauenswürdigen Kanal noch an der zentrale Stelle. Da muss man sich natürlich noch entscheiden, wenn man schon pgp benutzt oder gpge, nur pg, ob man da jetzt irgendwie gpge.me nimmt, als Library sozusagen, und das in die Software direkt mit rein linked oder ob man ein externes Programm aufruft. Sie haben sich für was entschieden? Sie rufen das als externes Programm auf. Das heißt, Sie erzeugen einen neuen Prozess. Manche lachen jetzt vielleicht schon. Es gibt hier diese tolle gpge-Kommando-Zeilen-Optionen, minus-minus-Batch, minus-minus-Passphrase. Das wird dann gefolgt von der Passphrase. Lacht nicht zu früh, das wird noch besser. Also, in dem Fall sieht man schon, wenn die pgp aufrufen und dann die Passphrase auf der Kommand-Line übergeben, enttaucht natürlich für die User sichtbar dieser Passphrase auch in der Prozessliste auf. Aber es ist halt viel besser. Sie haben nämlich ... Sie rufen nicht ... Sie erzeugen nicht einfach einen neuen Prozess mit gpge-2-Punktexe? Nein. Sie wollen ja auch wissen, mit welchem Key wollen wir jetzt die Dateien eigentlich signieren. Da muss ja in der PC-Wars-Software auch ein Auswahlmenü angezeigt werden, weil können ja mehrere private Schlüssel da sein. Also, schreiben Sie, erzeugen Sie einmal eine Batch-Datei, wo Sie gpge mit den Parametern aufrufen, um alle privaten Keys anzuzeigen. Das wird in eine Textdatei reingeschrieben. Als Nächstes öffnet PC-Wahl diese Textdatei und passt den gpge-Output und guckt da nach, was habe ich eigentlich für private Schlüssel. Danach erzeugen Sie eine neue Batch-Datei mit dem, was wir gerade eben gesehen haben. Da schreiben Sie dann nämlich diese Passphrase und die ganze Command-Line, wie man in Sachen signiert, einmal in die Batch-Datei rein. Das heißt, Sie erzeugen nicht einfach nur einen neuen Prozess, wo die Passphrase sichtbar ist. Sie schreiben es auch einmal schön aufs Datei-System in Klartext, damit alle auch in der Zukunft da vielleicht auch noch mal drauf zugreifen können. Und die Datei wird natürlich gespeichert. Das heißt, dass die Winery und alle Dateien ohnehin auf dem Falschere liegen. Das heißt, man hat dann auf dem Falschere die ganzen PGP Keys samt Passphrases in der Textdatei stehen. Verrückt. Das ist ein einfacher, da den Überblick zu behalten. Das ist vielleicht die Lehre aus diesen Ransomware-Appressor Trojanen, oder so, dass sie da Backups verteilen. Wer weiß es? Abgesehen davon haben wir ja schon gezeigt, dass diese Passphrase auch noch in den Indie-Dateien steht. Und wie toll das verschlüsselt ist, haben wir ja auch schon gesehen. So, ja, nur damit man das vielleicht auch nachvollziehen kann. Auch das ist natürlich selbstverständlich, als auf GitHub. Wir haben ja nicht zu verbergen. Also, das haben jetzt nicht nur wir festgestellt, dass das wohl Broken Beyond Repairs ist. Das haben die auch festgestellt. Die Landeswahlleiter oder die Landeswahlleiter haben das dann für sich festgestellt. Und was macht man dann, wenn man mit Neuland nicht zurechtkommt, was ist die Standardantwort? Ausdrucken. Internet ausdrucken. Neuer Wahlerlassen, geheimer Wahlerlass wurde veröffentlicht. Also, jedes Land hat so ... Der Landeswahlleiter kann eine Wahlerlasse mit Ausführungsbestimmungen veröffentlichen. Da steht drin, wie sie es machen müssen, die Gemeinden. Wenn die Wahlergebnisse hochgeladen wurden auf diesen FTP-Server und dann auf die nächste Ebene und so, dann gehen wir doch bitte in das Internet auf die Statistik-Webseite des Statistiklandesamtes, da, wo die ergebensveröffentlich zu werden. Drucken sich das aus. Verkleichen das mal mit dem, was in der Gemeinde abgegeben wird. Stempel drauf, abheften. Und dann hat man die Prüfung gemacht. Also, das ist die Antwort auf die Probleme. Sieht dann so in etwa aus. Also, alles manuell. Und geht wieder zurück in die Steinzeit. Man konnte aber noch mehr nuken. Aber wir haben natürlich immer noch ... Wir wollten ja helfen. Und dann haben wir uns überlegt, als es dann mehrere Updates gab und immer wieder so ... So, jetzt haben wir alles gefixt. Und dann Thorsten wollte ja auch was anderes machen. Und musste immer noch mal kurz eine halbe Stunde auf Twitter und Twitter. Dann haben wir gesagt, so geht es nicht weiter. Wir wollen wählen. Und dann haben wir gesagt, okay, wir fixen es einfach selber und spenden den Fix für den Updater dem Hersteller als Open-Source-Paket. Einfach nur, um zu zeigen, es ist möglich. Und da geht es dann einfach darum, einen Standard-Installer, jetzt auch kein großes Hexwerken-Installer zu nehmen, der halt guckt, ob sein Installationspaket signiert ist. Und der Installer weiß einfach, von welchem Zertifikat das Update signiert sein soll. Und prüft einfach, ob das Zertifikat stimmt. Und der Inhalt, war da sonst noch irgendwas nee, ne? So viel muss man da eigentlich nicht machen, damit man das ... Ja, also, eine kleine Spende, eine große Geste, ein kleiner Schritt für den CCC, ein großer Schritt für PC-Wahl. Aber es war natürlich auch irgendwie klar, dass sie diese kleine vergiftete Spende nicht annehmen würden. Das ist jetzt auch ganz offen gesagt, natürlich jetzt auch kein Stück Software, was sie natürlich einfach in ihr Programm einbauen können. Sie benutzen ja diese supermodernen Programmiersprachen nicht. Ich hab das einfach mal in C-Sharp runtergehackt, weil ich das ganz gerne zum Prototypen nehme. Und ich wollte damit zumindest mal demonstrieren, dass man mit sehr einfachen Bordmitteln und abgehangenen Kryptolirees durchaus sehr schnell einfach mal so eine Routine hinbekommt, um solch dumpfen Angriffe abzuwehren. Aber ... Der Hersteller merkte natürlich auch, dass er mit seinen Updates irgendwie nicht weiterkommt. Unsere Spende konnte er nicht annehmen. Und ihm war auch klar, das muss jetzt ein Ende haben. Also hat er einfach keine Updates mehr bereitgestellt. So, dann kam einfach das aktuelle Update für PC-Wahl-Anwender, ist nur noch per Individualbezug und die zuständigen Service-Dienstleister erhältlich. Bitte nehmen Sie hierzu mit Ihrem Betreuer Kontakt auf. Man muss wissen, PC-Wahl-Anwender haben einen Betreuer. Und es hätte ich ... Also, da bin ich ein bisschen fuchsig geworden. Weil es war ja ganz klar, dass dieser Schritt erfolgt ist, weil Sie wussten, egal was Sie tun, wir machen Ihnen das wieder kaputt. Und dafür sind Sie in ... Sie hätten natürlich unser Lob annehmen können, aber es war auch klar, unsere Spendellob wäre dann gekommen. Aber ich meine, in welcher Situation ... Und das ist jetzt hier wenige Tage vor der Bundestagswahl, ich glaub, das was ... Wir haben eine Woche vorher oder so was. Damit bleiben die alten Versionen dauerhaft verwundbar. Weil es gibt keine Updates mehr online. Es ist auch klar, dass sich jetzt nicht die Leute Ihren Betreuer anrufen, also zumindest nicht den PC-Wahl-Betreuer. Es heißt also, alle, die jetzt noch im Feld waren, kriegen keine Updates mehr. Es gibt auch einen erschwerten Update-Fahrt. Das heißt, das Problem bleibt bestehen. Und während das hier passierte, und ich mich darüber aufregte, meldeten sich bei uns Leute ... Sag mal, welche Version vom PC-Wahl habt ihr auseinandergenommen? Ja, immer die aktuellste, was ist denn die aktuellste? Ja, die vom 15.9. bei uns steht ... irgendwie, was weiß ich, dritter, achter, 2013. Ist das gut? Ja. Und diese Leute, denen wurde jetzt einfach gesagt, du kriegst jetzt auch keine Updates mehr. Wir sehen das nicht mehr ein. Ich kann mir nichts Unverantwortlicheres vorstellen. Kommen wir zum Fazit. Rob Gongreib und Alex Haldermann haben schon häufiger gesagt, es ist doch irgendwie Zufall, dass die einzigen bekannten Verfahren, die noch als sicher gelten, die sind, die wir uns noch nicht angeschaut haben. Wenn die Namen etwas sagen, beides langjährig, viel länger als wir, mit dem Thema elektronische Wahlen und so weiter, befasst internationalen, allmöglichen Länder. Und ich glaube, man kann sich ihn hier anschließen. Es gibt noch einen weiteren, sehr wichtigen technischen Punkt. Und der betrifft diesen ganzen Verschlusselungskram. Ja, man sollte möglichst darauf achten, nicht gegen die kerkaufschen Prinzipien zu verstoßen. Also, das müsste eigentlich heutzutage, in der heutigen Zeit jedem, ein Begriff sein, wenn man ein kryptografisches Verfahren entwickelt, dass man das eben nicht selber entwickelt, sondern vielleicht auch auf Verfahrensätze, die bekannt sind und abgehangen sind. Und dass man darauf achtet, dass dieses gesamte Verfahren nicht plötzlich unsicher wird, nur weil es in die falschen Hände geraten ist. Was wir jetzt gesehen hatten, war die Reaktion des Herstellers. Aber der Kunde ist ja eigentlich der Wahlleiter, der Wahlamtinhaber. Und was wir uns da festgestellt haben, das war gleichermaßen, ich sag mal erschreckend, wir sind natürlich nicht direkt in die Öffentlichkeit gegangen. Wir haben erst mal lokal versucht, mit den Verantwortlichen zu reden. Wir kommen ja auch aus einer Gemeinde, versucht, auf die Leute zuzugehen. Und das ist erst mal so, aus der Sicht der Kommune auch, zu besprechen, das Problem und zu klären. Jetzt haben wir einen Wahlleiter aus Hessen, eine Gemeinde. Und der Direktion ist jetzt nur exemplarisch, hat das sogar vertreten in der Öffentlichkeit. Ja, Manipulation ist wohl möglich, das haben wir ausreichend demonstriert, das ärgerlich. Aber juckt uns nicht so richtig. Das lässt mich trotzdem kalt. Das ist der Ausdruck, der man eigentlich hätte plakativ nehmen können für den ganzen Vortrag. Zumindest von Seite der Kommune oder der Wahl. Gemeindewahlleiter, Kreiswahlleiter. Das war schon, das hat uns wirklich überrascht. Zumindest mich, mich hat das überrascht. Damit hätte ich nicht gerechnet. Ja, es gibt bessere Passworte als Test. Das hatten wir entlocken können. Das hatten wir, das hatten wir uns auch zugestanden. Manipulation des Software seid zumindest störend. Ja, das haben sie auch noch zugegeben. Und dann vom Entwickler des Software selber, gab es noch die Bemerkung, ja, es gibt Ärger und Verwirrung, hat aber keine Relevanz. Naja, also, da müssen wir ganz entschieden widersprechen. Das stimmt so absolut nicht. Also, ich bin halt überrascht, mit welchem Anspruch auch an sich selbst diese Menschen ihre Arbeit nachgehen. Also, wenn ich doch für eine Wahl verantwortlich bin, dann hätte ich gedacht, dass mich das mehr interessiert. Oder wenn ich so ein Weißer verbaue, dass ich auch daran interessiert bin, dass da irgendwie ein vernünftiges Ergebnis am Ende steht. Schön finden wir aber auch dieses Ärger und Verwirrung, aber keine Relevanz. Wir haben hier einen Antragswahl darauf geachtet, wie viele Tage es gedauert hat. Ja, 18 Tage Ärger und Verwirrung, bis dann irgendwann jemand vor die Presse treten kann und sagt, erinnert ihr euch an diese Bundestagswahl? Und es ist da was aufgefallen. Das ist jetzt störend. Aber auch nicht weiter schlimm nach 18 Tagen. Also, wir haben mal hier eine kleine Zeitleiste, die passiert ist. Nach 18 Tagen waren da schon die Einladung für Sondierungsgespräche raus. Also, was da einfach für ein Schaden an dem Vertrauen in die Demokratie leichtfertig einfach auf Spiel gesetzt wurde, wird einfach in Kauf genommen. Und als diese Risiken gezeigt wurden, wurde eigentlich sogar noch mit der Schulter gezuckt. Und ich hab irgendwie so ein ungutes Gefühl, wenn wir ausgerechnet Menschen mit so Ambitionen dort Positionen heben, aber es war ein persönlicher Geschmack. Aber es ging noch weiter. Das Bundesamt für Sicherheit in der Informationstechnik wurde natürlich auch von den Pressevertretern gefragt. Sag mal, was ist das denn? Also, so ungefähr stelle ich mir das vor. Und dann tritt der Arne Schönborn, der Schäfte des Bundesamtes für Sicherheit in der Informationstechnik vor die Presse. und sagt, gut, dass Sie das nochmal sagen, wir würden gerne bei der nächsten Wahl übrigens vollständig elektronisch machen, weil die Wahl ist ja sicher. Da habe ich mir dann gedacht, sagen wir, wer viel mehr da auch nicht mehr sein. Und man fragt sich, warum? Warum? Weil die haben jahrelange Erfahrungen mit Wahlen. Ja, jahrelange Erfahrungen mit Wahlen und die Gefahr ist bei Weitem nicht gebannt. Es ist ja so, seit Jahren wird Wahlsoftware gehackt, seit Jahren werden Wahlcomputer gehackt, seit Jahren werden Waldstifte gehackt, überall auf der Welt gibt es immer wieder Probleme mit elektronischen Wahlen. Und dann gibt es einen Lobbyverein, der von dem Hersteller für diese Wahlsoftware ins Leben gerufen wurde und der das Ziel hat, dass sich der Verein auch aktiv mit der weiteren Entwicklung des Wahlrechts auseinandersetzt. Bitte, bitte nicht. Zum Beispiel könnte man sich die Nutzung von Online-Diensten vorstellen im Rahmen der weiteren Digitalisierung der Gesellschaft. Da sind dann auf einmal Amitionen vorhanden. Genau die, die diese Software hier zu verantworten haben. Also der Verein ist deckungsgleich mit dem Unternehmen. Sagen wir das noch erzählen mit dem Unternehmen? Das erzähle ich. Also den müssen wir erzählen. Also das war, wir haben ja, uns ist irgendwie aufgefallen, dass die, das PC-Wahl, schien irgendwie, die Software, die Webseite, schien irgendwie unter einem einen Firmennamen zu existieren und aktuelle Statements kamen von einem anderen Unternehmen. Und wenn man dann so ein bisschen googelt, findet man, dass der eine Hersteller, Vote IT, richtig, dass die, die seinen Konkurrenten Bärninger Software gekauft hat. Für einen ganz guten Betrag. Bärninger ist der Entwickler, der da auch häufig diese Statements abgegeben hat, dass man ja sehr viel Gehirnschmeiz braucht und dass das ja alles irrelevant ist und so weiter. Der gute Mann hat irgendwie ein oder zwei Jahre, bevor wir PC-Wahl auseinandergenommen haben, 2016, paar Monate vorher, hat er die ganze Bude für einen siebenstelligen Betrag an die Konkurrenz verkauft und noch ein paar Jahre Geschäftsführer für sein altes Produkt mit eingetragen. Ich habe irgendwie den Eindruck, dass der Mann seit dieser Veröffentlichung verlachenlich mehr den Schlaf kommt. So macht man es richtig. Also den gesamten Schaden hat natürlich jetzt der Käufer. Na ja, so ist das, wenn die Konkurrenz unbedingt kaufen möchte. Wer wird sie übernehmen? Kommen wir zu unseren politischen Forderungen, die wir als Chaos Computer Club selbstverständlich immer noch mit dran heften, wenn wir mal wieder etwas kaputt gemacht haben. Es ist natürlich ganz klar, wenn wir hier die Beschleunigung, die hier irgendwie überall angestritten wird, kann natürlich nicht zulasten von Sicherheit, Korrektheit und Nachvollziehbarkeit einer Wahl stattfinden. Und das ist das, was wir immer und immer wieder sehen. Was dieses Software da uns, also das mussten wir nicht knacken, das war ja schon kaputt. Und Transparenz, Transparenz ist wirklich was anderes, wenn die jetzt sogar zum Schluss noch ihren eigenen Update-Mechanismus abgeschaltet haben und das Ganze nur noch über Betreuer zu updaten ist, dann ist das nicht mehr transparent. Dann natürlich unsere Kernforderung, keine Softwarekomponente, die am Wahlausgang oder an den Wahelmeldungen beteiligt ist, darf geheim gehalten werden. Und ihr wisst, wohin das führt, wenn wir sagen, darf nicht geheim gehalten werden, dann wollen wir bitte schön alles davon haben. Es ist durch eine völlig unabhängige zeitliche Koincidence im September auch eine Kampagne von der Free Software Foundation Europe gestartet, die wir als Chaos Computer Club mit unterstützt haben, die ganz einfach sagt, Public Money, Public Code. Also wenn unsere Steuergelder verballert werden, dann bitte schön für Code, der dann auch in unserer Hand ist. Das dürfte dann auch potenzielle Entwickler von einem Open Source Projekt auch dazu animieren, auf moderne Programmiersprachen zurückzugreifen und moderne Frameworks zu verwenden, moderne Kryptografie. Das Ganze, wenn es dann öffentlich ist, wird es ja auch, ist es ja auch einem ständigen Review Prozess unterworfen. Zumindest ist es viel leichter dem Hersteller auch einfach mal zu sagen, so hier, hör mal diesen Hashing-Algorithmus, da ist das Kunst, da kann das weg, da kann man das ändern. Das ist das, was halt stattfinden muss. Diese Software muss regelmäßig auch einer Öffentlichkeitsstand halten können. Das muss dazu animiert werden, dass die Entwickler sich auch Mühe geben, diesen Kram umzusetzen, was man jetzt hier durchaus irgendwie mal in Frage stellen kann, ob er sich da so viel Mühe gegeben hat diesen Sicherheitsaspekt halt auch herauszuarbeiten. Wenn es Audit-Ergebnisse gibt, die kann man ja auch bei Open Source Projekten durchführen und irgendwie finanzieren lassen, auch diese Ergebnisse sollten natürlich öffentlich gemacht werden und parallel mit dem QR-Code publiziert werden. Und das kann so schwer gar nicht sein. Wenn man sich überlegt, für wie viel Millionen Euro diese Berninger-Software da gekauft wurde. Ich denke, es finden sich ziemlich schnell ziemlich viele sehr fähige Open Source Entwickler, die mit modernen Frameworks eine ähnliche Software mit einem besseren User-Interface produzieren durften. Also ich stelle mir auf jeden Fall sowas vor, wie Git-Pull, Wahlauswertung mit Quelloffen im Code, schön durchsignierten Ergebnissen von den Wahlleitern, schön so eine X509-Zertifikate vom BSI oder von wem auch immer, wer sich dafür berufen fühlt. Es gibt keinen einzigen Grund, dass irgendein Aspekt einer solchen Wahl für uns nicht vollständig nachvollziehbar ist. Und wir haben uns ja nur die Sicherheit dieser Software angeschaut. Was andere Menschen vorherwissen wollten ist, kommt die überhaupt zu richtigen Ergebnissen. Das wäre auch noch mal so ein Teil, den man sich anschauen könnte. Aber wir haben unser Kontingent an freiwilligen Arbeit für dieses Jahr erfüllt. In jedem Fall wäre ein, möglicherweise, in jedem Fall wäre ein Open Source Projekt, ob es nun von uns initiiert wird oder von irgendeiner Free Software Organisation, wäre auf jeden Fall mal ein gutes Beispiel, dass wir Deutschen, wie auch immer, die sich immer als die gute Demokratie darstellt. Wir könnten ohne weiteres einfach mal den anderen Nachbarländern mit weniger Geld sagen. Hier guck mal, wir haben das mal vernünftig gemacht. Ihr könnt das einfach benutzen, um eure demokratischen Wahlen durchzuführen. Das wäre halt alles ziemlich einfach. Aber denken first, digital second, gibt es auch hier als Aufkleber, müssen die hier irgendwo rumliegen. Und damit kommen wir schon zum Ende. Alle Angriffstools findet ihr auf GitHub. Es gibt den Report auf www.ccc.de und unsere beiden Pressemitteilungen dazu. Wir haben auch noch kurz E-Mail-Adressen angegeben und wir möchten euch aber nicht ohne ein Abschlussfeuerwerk entlassen und das ist das auch eine wunderschöne Funktion. Das Abschlussfeuerwerk hat uns PC-Wahlen nämlich direkt mitgeliefert. Die fehlerfreiste Funktion dieser Software. Für schnelle Grafikkarten geht das nur. Das ist so schön. Aber 10 Minuten haben wir. Bitte schön. Mikrofon Nummer 3. Ja, hallo? Ich würde mal interessieren, was hat die Kommune die Software gekostet? Also was haben die dafür bezahlt? Zu viel. Ich nehme an, die finanzieren dieses ganze Projekt so mit Wartungsverträgen. Das heißt, die pflegen halt diese ganzen Inni-Dateien mit den tollen Passwörtern und passen dann halt die Listen an und so weiter. Also das kann man googeln, weil da in diesem Kaufvertrag das musste wohl irgendwie katellrechtlich geprüft werden, da mussten dann halt auch Umsätze und so angegeben werden. Das steht alles in den Haushaltsplänen der Kommunen. Die Kommunen sind teilweise für Pflichte das Programm zu nehmen. Also die haben keine Wahl. Der Landeswahlleiter sagt, das wird verwendet. Dann eine Frage aus dem Internet. Ja, hallo? Das Internet würde gerne wissen, ob sich nach der Wahl irgendwas nachträglich verändert hat. Gab es grundlegende Konsequenzen oder ist irgendwas Großes passiert? Es gab Verzögerungen bei der Wahlauswertung. Ich glaube, Brandenburg setzt komplett auf PC-Wahl in einer geänderten Version. Ich weiß nicht, ob es Probleme gab. Jetzt müssen Berlin, Berlin-Brandenburg, die teilen sie einen Amt für Statistik. Ich, da gab es Verzögerungen. Aber worauf das jetzt genau fußt, wurde ja nie veröffentlicht. Bisher ist aber noch niemand gezielt von zugekommen und hat gesagt, wie kriegen wir das jetzt eigentlich alles besser auf die Reihe? Das ist nicht passiert. Dann an Mikrofon 2, bitte. Habt ihr mal probiert, bei einer Kommune anzurufen und euch als Berater vorzustellen und eine Update den zuzuschicken? Nein, das ist verboten, oder? Das ist verboten. Wir würden uns so Zeit, wenn wir sie noch hätten, lieber darauf verwenden, uns die anderen Produkte anzuschauen. Sind ja nur 33 Millionen Stimmen, da gibt es ja noch ein paar. An Mikrofon Nummer 3. Hab ich das richtig verstanden, dass sie es geschafft haben, ihr Software seit 2013 backwards kompatibel zu halten? Das ist bei dieser Software nicht schwer. Also die sieht halt echt einfach, die ganze Software sieht aus wie backwards kompatibel. Nein, sie ist backwards. Ich meine, es scheint ja möglich zu sein, dass Clients verschiedenster Versionen an dem gleichen Datensatz arbeiten. Das ist doch schon mal merkenswert, oder? Man könnte ja eher sagen, so was wie Vorwärtskompatibilität ist hier die Herausforderung. Und eine letzte Frage aus dem Internet? Ja, das Internet wird wissen, ob ihr euch mit Vote Manager aus dem selben Hausbeschäft beschäftigt habt. Haben wir mal drüber geschaut, nach der ersten Cross-Head-Cripping-Lücke haben wir dann aufgehört. So, und das wäre es dann auch schon für diesen Talk. Dankeschön.