Daxdi now accepts payments with Bitcoin

Wahlsicherheit 2020: 3 Dinge, die Sie beachten sollten

SAN FRANCISCO - Da die Wähler später in diesem Jahr an den Wahlen teilnehmen, war die Sicherung der amerikanischen Wahlen ein häufiges Thema auf der RSA-Konferenz, aber die Wahlmaschinen haben Bedenken wie Abstimmungslisten und die Software, mit der die Ergebnisse gemeldet werden, in den Hintergrund gerückt.

Aaron Wilson, Senior Director für Wahlsicherheit am Center for Internet Security (CIS), sagt, seine Organisation habe die Lösung.

Wahl in 3 einfachen Schritten

Wahltechnologie ist mehr als nur Wahlmaschinen, erklärte Wilson.

Elektronische Wahlbücher enthalten beispielsweise Listen von Wahlberechtigten, Wahlnachtberichterstattungssysteme, Wählerregistrierungssysteme und die elektronische Stimmabgabe, die von im Ausland lebenden Bürgern verwendet wird.

Und diese Bücher haben "eine größere Angriffsfläche als unsere Abstimmungssysteme, weil [they're] Auf die eine oder andere Weise mit dem Internet verbunden ", sagte er.

Nehmen Sie die App, mit der Iowa-Caucus-Ergebnisse gemeldet wurden, bei denen schlechtes Design zu einer langen Verzögerung bei der Veröffentlichung der Ergebnisse führte.

Denial-of-Service-Angriff

Wilson hat drei wahlbezogene Bedenken, von denen er glaubt, dass sie wahrscheinlich auftreten werden.

Der erste ist ein DoS-Angriff (Denial of Service).

In diesem Szenario können Angreifer kritische Websites oder Dienste mit falschen Anforderungen überfluten, die sie unbrauchbar machen.

Es ist "besonders besorgniserregend für mich, weil Sie genau wissen, wann Sie den Angriff durchführen müssen", sagte Wilson.

Ransomware-Angriff

In ähnlicher Weise befürchtet Wilson einen Ransomware-Angriff, der kritische Infrastrukturen oder Daten als Geiseln nehmen und eine Wahl ins Chaos stürzen könnte.

Das vergangene Jahr war ein Bannerjahr für Ransomware, in dem Krankenhäuser und Kommunen Opfer waren.

Wie bei einem DoS-Angriff würden die Bösen wissen, dass es für die Beamten viel schwieriger sein wird, die Ergebnisse wiederherzustellen und zu melden, wenn sie den Angriff am Tag der Wahl starten.

Diese beiden Angriffe bieten "den besten Return on Investment für einen rationalen Angreifer ...

und wir sind uns einig, dass sie rationale Akteure sind", sagte Wilson.

Nicht autorisierte Datenänderung

Der letzte wahrscheinliche Angriff, den Wilson sich vorstellt, ist eine nicht autorisierte Datenänderung.

Dies würde "alles von der Verunstaltung der Website bis zur Manipulation der an ein Online-Portal übertragenen Ergebnisse" umfassen.

Eine unleserliche Website kann verwendet werden, um Desinformation, möglicherweise falsche Daten oder Abstimmungsorte zu verbreiten.

Die manipulierten Stimmenzahlen sind ein echtes Alptraumszenario und zeigen, wie die Ergebnisse beeinflusst oder das Vertrauen in Wahlen erschüttert werden kann, ohne die Wahlmaschinen oder Stimmzettel zu berühren.

Sichern Sie es früh und oft

Die Wahltechnologie war schon immer eine Nischenbranche, und dies gilt umso mehr für die Unterstützung von Technologien, sagte Wilson.

Von den Unternehmen, die diesen Raum bedienen, beschäftigt das größte 40 bis 50 Mitarbeiter.

Wilson und die GUS haben 160 Best Practices zusammengestellt, die in Gruppen von einfachen bis hin zu fortgeschrittenen Taktiken unterteilt sind, damit Unternehmen die Basissicherheit schnell erhöhen können.

"Während wir uns auf Technologieanbieter ausrichteten, wollten wir den Wahlbeamten auch etwas zum Lesen und Verstehen geben", sagte Wilson.

Ziel ist es, „ihnen die richtigen Fragen zu stellen, die sie ihren Technologieanbietern und ihren Mitarbeitern stellen können“.

Unternehmen und Wahlorganisationen sollten beispielsweise Backup-Kommunikationen einrichten, falls etablierte Leitungen deaktiviert sind.

Während der Versammlungen in Iowa wurde die Backup-Telefonnummer für die Berichterstattung über Ergebnisse von Trollen von 4chan gebunden.

Empfohlen von unseren Redakteuren

Wilson betonte auch die fortgeschrittene Planung.

Einzelpersonen sollten beispielsweise ihre Rollen in einer Notsituation kennen.

Er betonte auch, dass Unternehmen und Wahlbüros über vollständige Systemsicherungen ihrer Geräte verfügen und darin schulen sollten, wie sie schnell auf diese Sicherungen zugreifen und diese verteilen können.

Verbannen komplexer, kostspieliger Ausrüstungsaktualisierungen

CIS entwickelte auch ein System zum Testen und Validieren von Systemen und Aktualisierungen dieser Systeme mit dem Namen RABET-V.

"Der derzeitige Prozess des Abstimmungssystems unterstützt Änderungen nicht sehr gut", sagte Wilson.

"Änderungen, einschließlich Sicherheitspatches, sind teuer in der Bereitstellung."

Andere Redner auf der RSA-Konferenz gingen auf die Frage der Zertifizierung von Wählerausrüstung ein, bei der es derzeit "keine Anreize für die Aktualisierung dieser Ausrüstung" gibt, sagte Jeffrey Rothblum, Senior Professional Staff Member im Ausschuss für innere Sicherheit und Regierungsangelegenheiten des Senats.

Das Problem ist, dass für die Anwendung eines Updates eine erneute Zertifizierung der Geräte erforderlich ist, was zu einer "falschen Wahl zwischen einer zertifizierten und einer sichereren Sache" führt, sagte Rothblum.

Mit RABET-V kann es 2-3 Monate dauern, bis ein System eine erste Überprüfung bestanden hat.

Nachfolgende Überprüfungen sind jedoch viel schneller.

In diesem Monat wurde ein RABET-V-Pilotprogramm mit zwei Umfragebuchsystemen, zwei Ergebnisberichtssystemen und einer Prüfungsplattform gestartet.

Ziel ist es, RABET-V weiter zu verfeinern und zu einem praktikablen Prozess zu machen.

"Wir geben an, dass wir die Kosten für die erneute Überprüfung eines Systems senken können", sagte Wilson.

"Aber wir müssen das beweisen können."

SAN FRANCISCO - Da die Wähler später in diesem Jahr an den Wahlen teilnehmen, war die Sicherung der amerikanischen Wahlen ein häufiges Thema auf der RSA-Konferenz, aber die Wahlmaschinen haben Bedenken wie Abstimmungslisten und die Software, mit der die Ergebnisse gemeldet werden, in den Hintergrund gerückt.

Aaron Wilson, Senior Director für Wahlsicherheit am Center for Internet Security (CIS), sagt, seine Organisation habe die Lösung.

Wahl in 3 einfachen Schritten

Wahltechnologie ist mehr als nur Wahlmaschinen, erklärte Wilson.

Elektronische Wahlbücher enthalten beispielsweise Listen von Wahlberechtigten, Wahlnachtberichterstattungssysteme, Wählerregistrierungssysteme und die elektronische Stimmabgabe, die von im Ausland lebenden Bürgern verwendet wird.

Und diese Bücher haben "eine größere Angriffsfläche als unsere Abstimmungssysteme, weil [they're] Auf die eine oder andere Weise mit dem Internet verbunden ", sagte er.

Nehmen Sie die App, mit der Iowa-Caucus-Ergebnisse gemeldet wurden, bei denen schlechtes Design zu einer langen Verzögerung bei der Veröffentlichung der Ergebnisse führte.

Denial-of-Service-Angriff

Wilson hat drei wahlbezogene Bedenken, von denen er glaubt, dass sie wahrscheinlich auftreten werden.

Der erste ist ein DoS-Angriff (Denial of Service).

In diesem Szenario können Angreifer kritische Websites oder Dienste mit falschen Anforderungen überfluten, die sie unbrauchbar machen.

Es ist "besonders besorgniserregend für mich, weil Sie genau wissen, wann Sie den Angriff durchführen müssen", sagte Wilson.

Ransomware-Angriff

In ähnlicher Weise befürchtet Wilson einen Ransomware-Angriff, der kritische Infrastrukturen oder Daten als Geiseln nehmen und eine Wahl ins Chaos stürzen könnte.

Das vergangene Jahr war ein Bannerjahr für Ransomware, in dem Krankenhäuser und Kommunen Opfer waren.

Wie bei einem DoS-Angriff würden die Bösen wissen, dass es für die Beamten viel schwieriger sein wird, die Ergebnisse wiederherzustellen und zu melden, wenn sie den Angriff am Tag der Wahl starten.

Diese beiden Angriffe bieten "den besten Return on Investment für einen rationalen Angreifer ...

und wir sind uns einig, dass sie rationale Akteure sind", sagte Wilson.

Nicht autorisierte Datenänderung

Der letzte wahrscheinliche Angriff, den Wilson sich vorstellt, ist eine nicht autorisierte Datenänderung.

Dies würde "alles von der Verunstaltung der Website bis zur Manipulation der an ein Online-Portal übertragenen Ergebnisse" umfassen.

Eine unleserliche Website kann verwendet werden, um Desinformation, möglicherweise falsche Daten oder Abstimmungsorte zu verbreiten.

Die manipulierten Stimmenzahlen sind ein echtes Alptraumszenario und zeigen, wie die Ergebnisse beeinflusst oder das Vertrauen in Wahlen erschüttert werden kann, ohne die Wahlmaschinen oder Stimmzettel zu berühren.

Sichern Sie es früh und oft

Die Wahltechnologie war schon immer eine Nischenbranche, und dies gilt umso mehr für die Unterstützung von Technologien, sagte Wilson.

Von den Unternehmen, die diesen Raum bedienen, beschäftigt das größte 40 bis 50 Mitarbeiter.

Wilson und die GUS haben 160 Best Practices zusammengestellt, die in Gruppen von einfachen bis hin zu fortgeschrittenen Taktiken unterteilt sind, damit Unternehmen die Basissicherheit schnell erhöhen können.

"Während wir uns auf Technologieanbieter ausrichteten, wollten wir den Wahlbeamten auch etwas zum Lesen und Verstehen geben", sagte Wilson.

Ziel ist es, „ihnen die richtigen Fragen zu stellen, die sie ihren Technologieanbietern und ihren Mitarbeitern stellen können“.

Unternehmen und Wahlorganisationen sollten beispielsweise Backup-Kommunikationen einrichten, falls etablierte Leitungen deaktiviert sind.

Während der Versammlungen in Iowa wurde die Backup-Telefonnummer für die Berichterstattung über Ergebnisse von Trollen von 4chan gebunden.

Empfohlen von unseren Redakteuren

Wilson betonte auch die fortgeschrittene Planung.

Einzelpersonen sollten beispielsweise ihre Rollen in einer Notsituation kennen.

Er betonte auch, dass Unternehmen und Wahlbüros über vollständige Systemsicherungen ihrer Geräte verfügen und darin schulen sollten, wie sie schnell auf diese Sicherungen zugreifen und diese verteilen können.

Verbannen komplexer, kostspieliger Ausrüstungsaktualisierungen

CIS entwickelte auch ein System zum Testen und Validieren von Systemen und Aktualisierungen dieser Systeme mit dem Namen RABET-V.

"Der derzeitige Prozess des Abstimmungssystems unterstützt Änderungen nicht sehr gut", sagte Wilson.

"Änderungen, einschließlich Sicherheitspatches, sind teuer in der Bereitstellung."

Andere Redner auf der RSA-Konferenz gingen auf die Frage der Zertifizierung von Wählerausrüstung ein, bei der es derzeit "keine Anreize für die Aktualisierung dieser Ausrüstung" gibt, sagte Jeffrey Rothblum, Senior Professional Staff Member im Ausschuss für innere Sicherheit und Regierungsangelegenheiten des Senats.

Das Problem ist, dass für die Anwendung eines Updates eine erneute Zertifizierung der Geräte erforderlich ist, was zu einer "falschen Wahl zwischen einer zertifizierten und einer sichereren Sache" führt, sagte Rothblum.

Mit RABET-V kann es 2-3 Monate dauern, bis ein System eine erste Überprüfung bestanden hat.

Nachfolgende Überprüfungen sind jedoch viel schneller.

In diesem Monat wurde ein RABET-V-Pilotprogramm mit zwei Umfragebuchsystemen, zwei Ergebnisberichtssystemen und einer Prüfungsplattform gestartet.

Ziel ist es, RABET-V weiter zu verfeinern und zu einem praktikablen Prozess zu machen.

"Wir geben an, dass wir die Kosten für die erneute Überprüfung eines Systems senken können", sagte Wilson.

"Aber wir müssen das beweisen können."

Daxdi

Daxdi.com Cookies

Auf Daxdi.com verwenden wir Cookies (technische und Profil-Cookies, sowohl eigene als auch Cookies von Drittanbietern), um Ihnen ein besseres Online-Erlebnis zu bieten und um Ihnen personalisierte Online-Werbung entsprechend Ihren Präferenzen zu senden. Wenn Sie Weiter wählen oder auf Inhalte auf unserer Website zugreifen, ohne Ihre Auswahl zu personalisieren, stimmen Sie der Verwendung von Cookies zu.

Für weitere Informationen über unsere Cookie-Richtlinie und wie Sie Cookies ablehnen können

Zugang hier.

Voreinstellungen

Weiter