Der Kongress zieht um näher dran, die US-Wahltechnologie einem strengeren Cybersicherheitsmikroskop zu unterziehen.
Eingebettet in den diesjährigen Intelligence Authorization Act, der Geheimdienste wie die CIA finanziert, ist der Strengthening Election Cybersecurity to Maintain Elections Respect Through Independent Testing (SECURE IT) Act, der Penetrationstests von staatlich zertifizierten Wahlgeräten und Stimmzettelscannern vorschreiben und erstellen würde ein Pilotprogramm, das die Machbarkeit untersucht, unabhängigen Forschern die Möglichkeit zu geben, alle Arten von Wahlsystemen auf Mängel zu untersuchen.
Der SECURE IT Act, der ursprünglich von den US-Senatoren Mark Warner, einem Demokraten aus Virginia, und Susan Collins, einer Republikanerin aus Maine, eingeführt wurde, könnte die Sicherheit wichtiger Wahltechnologien in einer Zeit, in der ausländische Gegner weiterhin entschlossen sind, die amerikanische Demokratie zu untergraben, erheblich verbessern.
„Diese Gesetzgebung wird es unseren Forschern ermöglichen, wie unsere Gegner zu denken und verborgene Schwachstellen aufzudecken, indem sie versuchen, mit denselben Werkzeugen und Methoden in unsere Systeme einzudringen, die auch von böswilligen Akteuren eingesetzt werden“, sagt Warner, Vorsitzender des Geheimdienstausschusses des Senats.
Der neue Vorstoß für diese Programme unterstreicht die Tatsache, dass die Gesetzgeber weiterhin besorgt über die Möglichkeit sind, dass Hacker die Wahlen unterwandern, auch wenn sich die Sorge um die Wahlsicherheit auf tiefere Gefahren wie Morddrohungen gegen Bezirksbeamte, Gewalt in Wahllokalen und KI-gestützte Fehlinformationen verlagert hat Systeme, die als kritische Infrastruktur gelten, im Vergleich zu anderen lebenswichtigen Branchen jedoch kaum reguliert sind.
Die Einmischung Russlands in die Wahl 2016 hat die Bedrohung der Wahlmaschinen deutlich gemacht. Trotz großer Verbesserungen können auch moderne Maschinen fehlerhaft sein. Experten haben immer wieder strengere Bundesstandards und mehr unabhängige Sicherheitsprüfungen gefordert. Der neue Gesetzentwurf versucht, diese Bedenken auf zwei Arten auszuräumen.
Die erste Bestimmung würde die kürzlich von der U.S. Election Assistance Commission eingeführte Einführung von Penetrationstests in ihren Zertifizierungsprozess kodifizieren. (Die Kommission hat kürzlich ihre Zertifizierungsstandards überarbeitet, die für Wahlgeräte und Stimmzettelscanner gelten und die viele Staaten von ihren Anbietern verlangen.)
Während frühere Tests lediglich prüften, ob Maschinen über bestimmte Abwehrmaßnahmen (z. B. Antivirensoftware und Datenverschlüsselung) verfügten, simulieren Penetrationstests reale Angriffe, die darauf abzielen, Schwachstellen in Maschinen zu finden und auszunutzen und möglicherweise neue Informationen über schwerwiegende Softwarefehler zu liefern.
„Die Leute fordern ein verbindliches Verbot [penetration] „Wir testen seit Jahren Wahlausrüstung“, sagt Edgardo Cortés, ehemaliger Wahlkommissar von Virginia und Berater des Wahlsicherheitsteams am Brennan Center for Justice der New York University.
Die zweite Bestimmung des Gesetzentwurfs sieht vor, dass die EAC mit einem Programm zur Offenlegung von Schwachstellen in der Wahltechnologie experimentiert, einschließlich Systemen, die keiner bundesstaatlichen Prüfung unterliegen, wie Wählerregistrierungsdatenbanken und Websites mit Wahlergebnissen.
Programme zur Offenlegung von Sicherheitslücken sind eigentlich eine Schatzsuche für selbstbewusste Cybersicherheitsexperten. Ausgewählte Teilnehmer unterliegen klaren Regeln darüber, welche Computersysteme des Veranstalters legitime Ziele sind und versuchen, in diese Systeme einzudringen, indem sie Fehler in deren Design oder Konfiguration finden. Anschließend melden sie die entdeckten Mängel dem Veranstalter, manchmal gegen eine Belohnung.
Indem der Warner-Collins-Gesetzentwurf einer vielfältigen Gruppe von Experten die Möglichkeit gibt, nach Fehlern in einem breiten Spektrum von Wahlsystemen zu suchen, könnte er die Kontrolle über die Funktionsweise der amerikanischen Demokratie erheblich erweitern.