Bundestagswahl 2017 Chaos Computer Club: Wahl-Software ist hackbar

Die Bundestagswahl ist manipulierbar, sagt der CCC.

(Foto: dpa)
  • Sicherheitsforscher und der Chaos Computer Club (CCC) haben gravierende Sicherheitslücken in der Software "PC Wahl" gefunden.
  • Mit dieser tragen die Kommunen die Wahlergebnisse der Bundestagswahl zusammen und übermitteln sie an den Landeswahlleiter.
  • Angreifer könnten wegen der Sicherheitslücken die übertragenen Wahlergebnisse manipulieren, befürchtet der CCC.

Wenn am 24. September in Deutschland gewählt wird, dann kommen nicht nur Stifte und Stimmzettel zum Einsatz, sondern auch eine Software namens "PC-Wahl". Sie erfasst die Ergebnisse und wertet sie aus. Und offenbar hat sie erhebliche Sicherheitslücken. Das haben Untersuchungen eines Informatikers aus Darmstadt und des Chaos Computer Clubs (CCC) ergeben. "Das Ergebnis der Sicherheitsanalyse ist ein Totalschaden für das Software-Produkt", heißt es auf der Webseite vom CCC.

Durch die Sicherheitslücken könnten Angreifer die Wahlergebnisse manipulieren, auch über die Grenzen von Wahlkreisen und Bundesländern hinweg. "Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet", sagt Linus Neumann vom CCC. "Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertrifft unsere schlimmsten Befürchtungen."

Wenn die Daten von den Gemeinden an den Wahlleiter übermittelt werden, dann geschieht das laut dem CCC ohne Verschlüsselung und ohne eine wirksame Authentifizierung. Dem Bericht zufolge sei es zwischenzeitlich auch möglich gewesen, den Kommunen eine infizierte Version des Programms unterzuschieben, weil die Zugangsdaten für einen geschützten Support-Bereich für die Gemeinden im Netz aufzufinden gewesen seien.

Updates haben Schwachstellen nicht beseitigt

Volker Berninger, der Entwickler von PC-Wahl, bestreitet gegenüber der Zeit, dass die Bundestagswahl manipuliert werden könne: "Bei dem schlimmsten Szenario würde jemand damit Verwirrung stiften. Dann würden zwar irgendwelche falschen Ergebnisse im Internet stehen, aber auf dem Papier wären noch immer die richtigen vorhanden. Das gibt Ärger und Verwirrung, hat aber keine Relevanz."

Schon ein kleiner Hacker-Angriff auf die Wahl hätte große Wirkung

Können Hacker die Ergebnisse der US-Wahl fälschen? Wohl kaum. Experten sorgen sich jedoch um das Vertrauen der Wähler. Von Hakan Tanriverdi mehr ...

Der CCC hatte bereits im Juni den Hersteller kontaktiert. Seitdem seien Schwachstellen auf den Servern des Anbieters beseitigt worden. Auch für die Software habe es mehrere Updates gegeben. Doch sämtliche Gegenmaßnahmen in der Software hätten sich "bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen" erwiesen, schreibt der CCC. Seit Ende Juli erhält die Entwicklerfirma außerdem Unterstützung vom Bundesamt für Sicherheit in der Informationstechnik.

Ein Landeswahlleiter hat bereits reagiert

Der CCC fordert, dass die Beschleunigung der Vorgänge bei einer Wahl nicht wichtiger sein dürfe als Sicherheit, Korrektheit und Nachvollziehbarkeit. Außerdem müssten die Wähler selbst alle Resultate überprüfen können. Alle Software-Komponenten, die bei der Auswertung der Wahl verwendet werden, müssten öffentlich einsehbar und nicht geheim sein.

Der Landeswahlleiter von Hessen hat bereits auf die Veröffentlichungen reagiert. Er ordnete an, dass die Wahlhelfer am 24. September sämtliche übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen, wo sie aufgelistet werden. Bei jeder Auffälligkeit sollen sich die Wahlhelfer telefonisch melden.

Der Bundeswahlleiter Dieter Sarreither geht davon aus, dass die Mängel bei dem Computerprogramm für die Bundestagswahl bis zum 24. September behoben werden können. Dafür solle das Programm ein Update bekommen, sagte ein Sprecher der Behörde in Wiesbaden. Zudem sollten zusätzliche organisatorische Maßnahmen ergriffen werden, um Missbrauch zu verhindern.

Technisch wäre es möglich, die US-Wahl zu hacken

Schließlich können Hacker auch "Pacman" auf Wahlmaschinen installieren. Eine Manipulation in die Tat umzusetzen, ist allerdings deutlich aufwendiger. Analyse von Hakan Tanriverdi mehr...

Eine echte Manipulation der Wahlergebnisse durch eine Analyse-Software wie PC-Wahl gilt allerdings als einigermaßen unwahrscheinlich. Wenn das Ergebnis eines Wahlkreises oder sogar eines Bundeslandes angezweifelt wird, können die Stimmzettel neu ausgezählt werden.

Trotzdem könnten Zweifel den gesamten Prozess infrage stellen. Bei digitalen Wahlcomputern, die beispielsweise in den Niederlanden zum Einsatz kommen, haben Fachleute immer wieder auf die Gefahr einer echten Wahlmanipulation hingewiesen.