Experten: Sicherheitslücken in Bundestagswahl-Software

Berlin. Bundestagswahl-Ergebnisse werden per Computer an den Wahlleiter übermittelt. Eine Software dafür ist offenbar nicht genügend gesichert.

Forscher haben Sicherheitsmängel in einer Software gefunden, die bei der Bundestagswahl benutzt wird
Die Übertragung der Wahldaten aus den Gemeinden an den Wahlleiter ist offenbar nicht ausreichend geschützt
Eine Behörde räumte ein, der Versuch der Einflussnahme könne nicht ausgeschlossen werden

Sicherheitsforscher haben gravierende Mängel in einer Software gefunden, mit der in etlichen Kommunen die Wahlergebnisse der Bundestagswahl zusammengetragen und an den Landeswahlleiter übermittelt werden.

Nach den Untersuchungen eines Informatikers aus Darmstadt und der Chaos Computer Clubs (CCC) klaffen in dem Programm „PC Wahl“ des Anbieters Vote IT etliche Sicherheitslücken, wie „Zeit Online“ und die Wochenzeitung „Die Zeit“ am Donnerstag berichteten. So sei die Übertragung der korrekten Wahldaten aus den Gemeinden an den Wahlleiter weder durch eine Verschlüsselung oder eine wirksame Authentifizierung abgesichert gewesen.

Experte: Programm hätte nie eingesetzt werden dürfen

Dem Bericht zufolge sei es zwischenzeitlich auch möglich gewesen, den Kommunen eine infizierte Version des Programms unterzuschieben, weil die Zugangsdaten für einen geschützten Support-Bereich für die Gemeinden im Netz aufzufinden gewesen seien.

Das Programm sei so schlecht, dass es „nie hätte eingesetzt werden dürfen“, sagte CCC-Sprecher Linus Neumann der „Zeit“. In dem Programm werde „keine richtige Verschlüsselung, sondern nur eine Maskierung“ verwendet. Jeder, der Zugriff auf das Programm habe und die Verschlüsselung brechen könne, bekomme damit auch Zugriff auf die Passwörter und könnte so manipulierte Wahldaten weiterschicken.

Entwickler: Bundestagswahl könnte nicht manipuliert werden

Volker Berninger, der Entwickler von PC-Wahl, bestritt in dem Artikel die Behauptung der Forscher, die Bundestagswahl könne manipuliert werden. „Bei dem schlimmsten Szenario würde jemand damit Verwirrung stiften. Dann würden zwar irgendwelche falschen Ergebnisse im Internet stehen, aber auf dem Papier wären noch immer die richtigen vorhanden. Das gibt Ärger und Verwirrung, hat aber keine Relevanz.“

Auch der Chaos Computer Club veröffentlichte am Donnerstag eine Analyse der Wahlsoftware. Nach Darstellung des CCC wurde der Hersteller erstmals im Juni kontaktiert. Seitdem seien Schwachstellen auf den Servern des Anbieters beseitigt worden. Auch für die Software habe es mehrere Updates gegeben. Sämtliche Gegenmaßnahmen hätten sich allerdings „bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen“ erwiesen.

Der Club forderte, die Beschleunigung der Vorgänge bei einer Wahl dürfe nicht wichtiger sein als Sicherheit, Korrektheit und Nachvollziehbarkeit. Außerdem müssten die Wähler selbst alle Resultate überprüfen können. Alle Software-Komponenten, die bei der Auswertung der Wahl verwendet werden, müssten öffentlich einsehbar und nicht geheim sein.

Bundeswahlleiter mahnt zu Updates bei Wahl-Software

Die Bundeswahlleitung hat Probleme bei der Software eingeräumt. Bundeswahlleiter Dieter Sarreither seien die in Medien genannten Probleme mit der Software „PC-Wahl“ der Firma „vote-IT“ bekannt, teilte seine Behörde am Donnerstag in Wiesbaden mit. Er habe daher die Landeswahlleiter aufgefordert, Maßnahmen zu deren Behebung zu ergreifen. „Für mich als Bundeswahlleiter hat die Verhinderung von Manipulationsmöglichkeiten der Wahlergebnisse zur kommenden Bundestagswahl höchste Priorität“, erklärte Sarreither.

Zu den Maßnahmen gehöre die „zwingende Installation von Updates der Software“. Zusätzlich habe der Bundeswahlleiter die Wahlorgane auf allen Ebenen aufgefordert, weitere organisatorische Schritte zur Sicherung der Authentizität elektronisch übermittelter Wahlergebnisse – der sogenannten Schnellmeldungen – zu veranlassen. Dies könnten beispielsweise verpflichtende telefonische Rückversicherungen zwischen den einzelnen Ebenen sein, ob die elektronisch versendeten Ergebnisse mit den auf der nächsthöheren Ebene empfangenen Daten übereinstimmten.

Landeswahlleiter: Versuch der Einflussnahme nicht ausgeschlossen

Der Landeswahlleiter von Hessen räumte in einem Schreiben an die Kreiswahlleiter ein, dass „ein Versuch einer Einflussnahme oder Störung der Wahldatenübermittlung nicht ausgeschlossen werden kann“. Er ordnet an, dass die Wahlhelfer am 24. September sämtliche übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen, wo sie aufgelistet werden. Bei jeder Auffälligkeit sollen sich die Wahlhelfer telefonisch melden.

Eine echte Manipulation der Wahlergebnisse durch eine Analyse-Software wie PC-Wahl gilt unter Experten als einigermaßen unwahrscheinlich. Wenn das Ergebnis eines Wahlkreises oder sogar eines Bundeslandes angezweifelt wird, können die Stimmzettel neu ausgezählt werden. Bei digitalen Wahlcomputern, die beispielsweise in den Niederlanden zum Einsatz kommen, haben Fachleute immer wieder auf die Gefahr einer echten Wahlmanipulation hingewiesen. (dpa)