bedeckt München 22°

IT-Sicherheit:Wahl-Software soll sicherer werden - aber das dauert noch

Reichstagsgebäude Berlin

Dunkle Wolken über dem Berliner Reichstag: ein passendes Symbolbild, zumindest wenn es um IT-Sicherheit geht.

(Foto: Sven Hoppe/dpa)
  • Die Bundesregierung will prüfen, ob Wahl-Software künftig zertifiziert werden muss, bevor sie eingesetzt werden darf.
  • IT-Experten hatten etliche Schwachstellen im Programm "PC-Wahl" entdeckt, das zuvor nicht auf Fehler hin analysiert worden war.
  • Damit hätte das vorläufige Wahlergebnis der Bundestagswahl manipuliert werden können.

Die Bundesregierung will verhindern, dass bei künftigen Wahlen erneut unsichere Software zum Einsatz kommt, die eine Manipulation der Ergebnisse ermöglicht. Deshalb soll geprüft werden, ob Wahl-Software in Zukunft verpflichtend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert werden muss.

Das geht hervor aus der Antwort der Bundesregierung auf eine schriftliche Anfrage des Grünen-Politikers Konstantin von Notz, die SZ.de vorliegt. Über "etwaige Rechtsänderungen" müsse in der kommenden Legislaturperiode beraten werden, heißt es weiter.

Bundestagswahl Mit Telefon und Fax gegen mögliche Wahl-Hacker
Bundestagswahl

Mit Telefon und Fax gegen mögliche Wahl-Hacker

IT-Sicherheitsexperten haben nachgewiesen, dass Hacker die Ergebnisse der Bundestagswahl elektronisch manipulieren könnten. Wie die Verantwortlichen die Auszählung schützen wollen.   Von Hakan Tanriverdi und Jakob Schulz

Wenn am 24. September Millionen Deutsche ihre Stimmen abgeben, werden sie mit einem Stück Technik konfrontiert, das IT-Sicherheitsforscher als "Totalschaden" bewerten. Zwar wird in Deutschland mit Stift und Papier gewählt, doch anschließend werden die Stimmen auch elektronisch übermittelt. Dafür setzen Länder und Kommunen Wahl-Software ein.

Hacker des Chaos Computer Clubs (CCC) haben die Wahl-Software mit dem Namen "PC Wahl" gründlich geprüft und eine Reihe eklatanter Fehler entdeckt. Als Journalisten der Zeit den Software-Entwickler mit den Vorwürfen konfrontierten, räumte dieser ein, dass sein Programm nicht umfassend analysiert und zertifiziert worden sei.

Hacker hätten das vorläufige Ergebnis manipulieren können

Die Schwachstellen hätten es Hackern ermöglicht, das vorläufige Wahlergebnis zu manipulieren. Da die Stimmen trotzdem analog ausgezählt werden und das amtliche Endergebnis auf schriftlichen Protokollen beruht, ist eine digitale Manipulation des Bundestagswahl ausgeschlossen. Doch auch falsche vorläufige Ergebnisse könnten Verwirrung und Misstrauen bei den Wählern stiften.

Nachdem die Lücken Ende vergangener Woche bekannt wurden, tätigte der Hersteller erste Nachbesserungen. Diese reichten aber nicht aus, um die Software abzusichern. Am Mittwoch folgten zwei weitere Sicherheitsupdates. Es ist unklar, ob die Schwachstellen damit komplett behoben sind.

Für Grünen-Politiker von Notz ist es "bezeichnend, dass auf einmal Software und Verfahren zertifiziert werden sollen - leider erst nach dem 24. September". Seit Monaten warnen die Behörden vor Hacker-Angriffen. Angeblich drohten diese insbesondere von Seiten des Kremls. Hacker im russischen Staatsauftrag sollen bereits die US-Wahlen durch Hacking-Angriffe beeinflusst haben. Dementsprechend hätte es einen triftigen Anlass und auch genügend Zeit gegeben, die Bundestagswahl abzusichern, sagt Notz.

Der CCC fordert quelloffene Software und mehr Transparenz

Generell sei es zu begrüßen, dass "überhaupt irgendjemand mal diese Software prüft", sagt Linus Neumann vom CCC. Das Kernproblem bleibe jedoch die Intransparenz. "Die Software selbst und der Quellcode muss zur allgemeinen Überprüfung und Einsichtnahme veröffentlicht werden." Wer sich den Quellcode anschaut, kann die Funktionsweise von Software nachvollziehen und diese unabhängig überprüfen.

Gemeinsam mit 30 weiteren Organisationen fordert der CCC nun, dass jegliche Software, die in der öffentlichen Verwaltung eingesetzt wird, unter eine freie Lizenz gestellt wird. "Öffentliche Einrichtungen werden durch Steuern finanziert", heißt es in dem offenen Brief. "Wenn es sich um öffentliche Gelder handelt, sollte auch der Code öffentlich sein."

Im Jahr 2009 hatte ein Verwaltungsgericht eine Klage abgewiesen, die darauf abzielte, den Quellcode von "PC-Wahl" zu veröffentlichen. Die Hacker des CCC konnten die Software nur deshalb sezieren, weil ein Master-Student aus Darmstadt die Zugangsdaten zum internen Servicebereich über eine Google-Suche gefunden hatte.

Bundestagswahl Was die Parteien wollen - und was sie ablehnen

Wahlprogramme

Was die Parteien wollen - und was sie ablehnen

Noch keine Zeit gehabt, die Wahlprogramme zu lesen? In unserer interaktiven Grafik erfahren Sie, was die Parteien zu den wichtigsten Fragen zu sagen haben.   Von Detlef Esslinger