bedeckt München 21°
vgwortpixel

IT-Sicherheit:Wahl-Software soll sicherer werden - aber das dauert noch

Reichstagsgebäude Berlin

Dunkle Wolken über dem Berliner Reichstag: ein passendes Symbolbild, zumindest wenn es um IT-Sicherheit geht.

(Foto: Sven Hoppe/dpa)
  • Die Bundesregierung will prüfen, ob Wahl-Software künftig zertifiziert werden muss, bevor sie eingesetzt werden darf.
  • IT-Experten hatten etliche Schwachstellen im Programm "PC-Wahl" entdeckt, das zuvor nicht auf Fehler hin analysiert worden war.
  • Damit hätte das vorläufige Wahlergebnis der Bundestagswahl manipuliert werden können.

Die Bundesregierung will verhindern, dass bei künftigen Wahlen erneut unsichere Software zum Einsatz kommt, die eine Manipulation der Ergebnisse ermöglicht. Deshalb soll geprüft werden, ob Wahl-Software in Zukunft verpflichtend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert werden muss.

Das geht hervor aus der Antwort der Bundesregierung auf eine schriftliche Anfrage des Grünen-Politikers Konstantin von Notz, die SZ.de vorliegt. Über "etwaige Rechtsänderungen" müsse in der kommenden Legislaturperiode beraten werden, heißt es weiter.

Wenn am 24. September Millionen Deutsche ihre Stimmen abgeben, werden sie mit einem Stück Technik konfrontiert, das IT-Sicherheitsforscher als "Totalschaden" bewerten. Zwar wird in Deutschland mit Stift und Papier gewählt, doch anschließend werden die Stimmen auch elektronisch übermittelt. Dafür setzen Länder und Kommunen Wahl-Software ein.

Hacker des Chaos Computer Clubs (CCC) haben die Wahl-Software mit dem Namen "PC Wahl" gründlich geprüft und eine Reihe eklatanter Fehler entdeckt. Als Journalisten der Zeit den Software-Entwickler mit den Vorwürfen konfrontierten, räumte dieser ein, dass sein Programm nicht umfassend analysiert und zertifiziert worden sei.

Hacker hätten das vorläufige Ergebnis manipulieren können

Die Schwachstellen hätten es Hackern ermöglicht, das vorläufige Wahlergebnis zu manipulieren. Da die Stimmen trotzdem analog ausgezählt werden und das amtliche Endergebnis auf schriftlichen Protokollen beruht, ist eine digitale Manipulation des Bundestagswahl ausgeschlossen. Doch auch falsche vorläufige Ergebnisse könnten Verwirrung und Misstrauen bei den Wählern stiften.

Nachdem die Lücken Ende vergangener Woche bekannt wurden, tätigte der Hersteller erste Nachbesserungen. Diese reichten aber nicht aus, um die Software abzusichern. Am Mittwoch folgten zwei weitere Sicherheitsupdates. Es ist unklar, ob die Schwachstellen damit komplett behoben sind.

Für Grünen-Politiker von Notz ist es "bezeichnend, dass auf einmal Software und Verfahren zertifiziert werden sollen - leider erst nach dem 24. September". Seit Monaten warnen die Behörden vor Hacker-Angriffen. Angeblich drohten diese insbesondere von Seiten des Kremls. Hacker im russischen Staatsauftrag sollen bereits die US-Wahlen durch Hacking-Angriffe beeinflusst haben. Dementsprechend hätte es einen triftigen Anlass und auch genügend Zeit gegeben, die Bundestagswahl abzusichern, sagt Notz.

Der CCC fordert quelloffene Software und mehr Transparenz

Generell sei es zu begrüßen, dass "überhaupt irgendjemand mal diese Software prüft", sagt Linus Neumann vom CCC. Das Kernproblem bleibe jedoch die Intransparenz. "Die Software selbst und der Quellcode muss zur allgemeinen Überprüfung und Einsichtnahme veröffentlicht werden." Wer sich den Quellcode anschaut, kann die Funktionsweise von Software nachvollziehen und diese unabhängig überprüfen.

Gemeinsam mit 30 weiteren Organisationen fordert der CCC nun, dass jegliche Software, die in der öffentlichen Verwaltung eingesetzt wird, unter eine freie Lizenz gestellt wird. "Öffentliche Einrichtungen werden durch Steuern finanziert", heißt es in dem offenen Brief. "Wenn es sich um öffentliche Gelder handelt, sollte auch der Code öffentlich sein."

Im Jahr 2009 hatte ein Verwaltungsgericht eine Klage abgewiesen, die darauf abzielte, den Quellcode von "PC-Wahl" zu veröffentlichen. Die Hacker des CCC konnten die Software nur deshalb sezieren, weil ein Master-Student aus Darmstadt die Zugangsdaten zum internen Servicebereich über eine Google-Suche gefunden hatte.

© SZ.de/sih/liv

Lesen Sie mehr zum Thema

Zur SZ-Startseite