taz.de -- Leicht zu knacken: Gefährliche Lücken in Wahlsoftware

Hacker deckten auf, dass ein PC-Programm zur Übertragung von Wahlergebnissen bei der kommenden Wahl manipuliert werden kann.

Berlin taz | Die Wahl-Software, die viele Bundesländer am 24. September nutzen werden, hat offenbar große Sicherheitslücken. Das könnte zur Manipulation der Wahlergebnisse führen, wie die Zeit am Donnerstag als erstes berichtete. Der Informatiker Martin Tschirsich hatte die Sicherheitsprobleme entdeckt, die Hacker-Vereinigung Chaos Computer Club (CCC) bestätigte seine Ergebnisse. Stimmen werden zwar per Hand abgegeben und gezählt, aber anschließend mit einem PC-Programm gebündelt und an die Wahlleiter übertragen.

In Deutschland wird bei der Wahl zwar im Vergleich zu den USA per Hand gewählt und gezählt, doch die ausgezählten Stimmen werden mit einem PC-Programm zusammengefasst und an den jeweiligen Wahlleiter übertragen. Tschirsich wollte das Programm „PC-Wahl“ aus Interesse auf Schwachstellen testen und stieß schnell auf grobe Sicherheitslücken. Die Software wird von allen Bundesländern am häufigsten verwendet.

Die Verschlüsselung des Programms konnte Tschirsich umgehen, weil er die meisten Passwörter einfach im Internet finden konnte, ein anderes lautete schlicht „test“ und war dadurch schnell geknackt. „Das ist keine richtige Verschlüsselung, sondern nur eine Maskierung“, sagt auch Linus Neumann [1][vom CCC zu Zeit Online]. Er verglich die Sicherheit des Programms mit einem Mietshaus, in dem zwar alle Wohnungen abgesperrt sind, aber überall der gleiche Schlüssel passt.

Das Programm hatte bisher kaum Sicherheitsmechanismen, weil die Kommunen nie danach gefragt hatten, wie der Entwickler von „PC-Wahl“, Volker Berninger erklärte. Auch eine umfassende Analyse des Programms habe es nie gegeben.

Es ist noch nicht klar, ob es gelingt, die Sicherheitslücken bis zur Wahl am 24. September zu schließen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) legte Vorschläge zur Verbesserung der Software vor. Der CCC meldete jedoch kurz darauf, dass auch die vorgenommenen Softwareverbesserungen bereits bei oberflächlichen Versuchen leicht zu knacken waren.

Amtliches Endergebnis nicht gefährdet

Was bedeutet das für die kommende Wahl? Bundeswahlleiter Dieter Sarreither gibt Entwarnung. Die Zwischenergebnisse seien zwar manipulierbar, was zwischenzeitlich zu Chaos führen könnte, doch das Endergebnis sei nicht gefährdet. Dem stimmt auch Informatiker Tschirsich zu.

In ihrer Analyse der Software forderte der CCC, dass bei den Wahlvorgängen nicht nur auf Schnelligkeit geachtet wird: „Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.“ Deshalb müsse die Softwareauswertung der Ergebnisse zwingend auch manuell überprüft werden.

Das ist auch der Notfallplan des Bundeswahlleiters: Die Ergebnisse der Stimmauszählungen am Wahlabend sollen im Zweifel auch „unabhängig von IT-Tools“ weitergegeben werden. Also über das gute alte Telefon.

7 Sep 2017

LINKS

AUTOREN

TAGS

ARTIKEL ZUM THEMA

Eine mögliche Jamaika-Koalition will die Cyberabwehr zentralisieren. Innenminister de Maizière möchte auch Gegenangriffe starten können.

Petitionsplattformen sind Seismographen: Wie ist die politische Atmosphäre vor der Wahl? Ein Gespräch mit Konrad Traupe von openPetition.

Eine interne Untersuchung unterstützt den Verdacht russischer Einflussnahme auf die Wahl. Die Anzeigen hätten sich auf politisch umstrittene Themen bezogen.

2015 kam es zum bislang größten Hacker-Angriff auf den Bundestag. Viele Dokumente wurden gestohlen. Vor der Wahl könnte das gefährlich werden.

In 45 Minuten fasst „Infokrieg im Netz“ zusammen, was im Internet möglich ist, um in die Politik einzugreifen. Es bleibt ein mulmiges Gefühl.