bedeckt München

USA:Wenn Elfjährige Wahlergebnisse hacken

FILE PHOTO: Hackers try to access and alter data from an electronic poll books in a Voting Machine Hacking Village during the Def Con hacker convention in Las Vegas

Auf der Hackerkonferenz Defcon in Las Vegas versuchten Fachleute schon 2017, in Wahlsysteme einzudringen. Damals wie auch dieses Jahr fanden sie einige Schwachstellen.

(Foto: REUTERS)
  • Soldaten im Auslandseinsatz sollen in West Virginia künftig per App wählen.
  • Sicherheitsexperten haben Zweifel an der Software, die ein Start-up gebaut hat.
  • Die Verschrottung alter Wahlcomputer würde dagegen mehr zur Modernisierung beitragen.

Von Johannes Kuhn, Austin

Selfie statt Briefwahl - das Versprechen des US-Bundesstaats West Virginia klingt hypermodern. Im Ausland stationierte Soldaten sollen bei den Zwischenwahlen im November per Smartphone abstimmen können. Die Registrierung erfolgt dabei über einen Scan des Ausweises. Wer sich dann per Selfie-Video des Gesichts identifiziert, darf wählen. Die Stimme wird anonymisiert übertragen.

In Zeiten, in denen die USA sich über russische Versuche zur digitalen Wahlmanipulation Sorgen machen, ist die Stimmabgabe per Internet ein ambitionierter Ansatz. Vor allem aber haben viele Cybersicherheits-Experten Zweifel daran, dass das für die Software verantwortliche Start-up "Voatz" sich seiner Verantwortung bewusst ist. "Oh, cool, das Theranos des Wählens", twitterte der renommierte Softwareentwickler Buzz Andersen. Er spielte damit auf das von Hype umgebene Bluttest-Start-up an, dessen Technologie sich am Ende als nicht vorhanden erwies.

Einige der Kritikpunkte sind grundsätzlich - zum Beispiel die Tatsache, dass Smartphones mit Malware infiziert werden und diese die Stimmabgabe bei der Übertragung verändern könnten. Auch der beworbene Einsatz der Blockchain-Technologie erscheint Kritikern eher wie ein symbolisches Schlagwort, da die Datenbanken nicht wie in diesem System üblich dezentralisiert, sondern alle im Besitz von Voatz und damit theoretisch manipulierbar sind. Das Start-up bestreitet in einem Blogeintrag Sicherheitsprobleme.

"Großspurige Behauptungen unmöglich zu überprüfen"

Vor allem aber musste die Firma, die 2,4 Millionen Dollar Risikokapital einsammeln konnte, einige Behauptungen über Sicherheitsprüfungen durch Drittanbieter zurücknehmen. "Cybersicherheitsexperten würden gerne die Dokumentation und Berichte von Sicherheitsfirmen sehen, die das System untersucht haben", sagt Marian Schneider, Präsidentin der Organisation Verified Voting. "Weil Voatz diese bislang nicht veröffentlicht hat, sind ihre großspurigen Behauptungen zur Sicherheit unmöglich zu überprüfen." Auch von Seiten des Bundesstaats West Virginia hat bislang keine Überprüfung stattgefunden.

Sicherheitsforscher erheben seit Jahren den Vorwurf, dass die für das Durchführen der Wahlen zuständigen Bundesstaaten das Thema Sicherheit nicht ernst genug nehmen. Zur Präsidentschaftswahl 2016 waren in 20 Bundesstaaten noch Wahlcomputer im Einsatz, die kein Papierprotokoll der abgegebenen Stimme ausdruckten, so dass Fehler und Manipulationen im Nachhinein nicht nachvollzogen werden können.

Die meisten der 350 000 Wahlmaschinen im Land stammen vom Anfang des Jahrtausends, als die USA für mehrere Milliarden US-Dollar ihr System modernisierten. Doch die damalige Euphorie der Digitalisierung ist abgekühlt. Geblieben sind Maschinen, die auf unsicheren Betriebssystemen wie Windows 2000 laufen und deren Sicherheitslücken schon vor mehr als einem Jahrzehnt nachgewiesen wurden.

Wahlcomputer und die Machtfrage

Vor der Präsidentschaftswahl 2016 versuchten Hacker, die US-Geheimdienste mit Russland in Verbindung bringen, in Systeme von 21 Bundesstaaten einzudringen. Seitdem ist etwas Bewegung in die Angelegenheit gekommen. Im März gab der US-Kongress 380 Millionen US-Dollar für bessere Wahltechnik, Systemtests und Sicherheitstraining frei. Einer Studie des Brennan Centers for Justice aus dem Jahr 2017 zufolge müssten die USA allerdings eine Milliarde Dollar in die Hand nehmen, um ihre Wahl-Ausrüstung auf einen zeitgemäßen Stand zu bringen.

Weiteres Geld soll vorerst jedoch nicht fließen. Ein von Politikern beider Parteien unterstützter Gesetzentwurf, der die Cybersicherheit von Wahlen stärken und Sicherheitsüberprüfungen für Wahlhelfer vorschreibt, wird frühestens im kommenden Jahr verabschiedet.

Weiterhin fehlt deshalb ein verpflichtendes Zertifizierungssystem. Sicherheitsforscher kritisieren, dass sich die Wahlcomputer-Hersteller - drei Firmen teilen sich hier 90 Prozent des Marktes auf - unabhängigen Überprüfungen verweigern und teilweise sogar mit Hilfe des Urheberrechts versuchen, solche Untersuchungen zu verhindern.

Die Hacker-Konferenz Defcon hat am Wochenende in Las Vegas zum zweiten Mal ein "Voting Village" eingerichtet, in dem über die Anfälligkeit der Wahlsysteme diskutiert und diese auch getestet wurden. Tüftler blendeten Illuminaten-Animationen auf dem Display eines Wahlcomputers ein oder fälschten Stimmabgaben.

Eine Elfjährige hackte sich per SQL-Injection in eine nachgebaute Seite des Innenministers von Florida ein und veränderte dort die publizierten Wahlergebnisse. Dieses "Stunt-Hacking" soll das Thema überhaupt in das Bewusstsein der Öffentlichkeit verankern und den Druck auf Politik und Hersteller erhöhen, die Angelegenheit ernst zu nehmen.

Prinzip Black Box

Ob alle Bundesstaaten daran Interesse haben, ist allerdings umstritten. Georgia ist zum Beispiel einer von fünf verbliebenen Staaten, deren Wahlmaschinen weiterhin keine Papierprotokolle drucken. Auch dort hatte ein Forscher wiederholt auf Sicherheitslücken hingewiesen, internen E-Mails zufolge schimpften Mitarbeiter wenige Wochen vor der Wahl 2016 über "mindestens 40 kritische Schwachstellen".

Als im vergangenen Sommer ein Verbund aus Organisationen die dortige Regierung wegen möglicher Fälschungen der Präsidentschaftswahl-Ergebnisse verklagte, wurden wenige Tage später alle Daten von den Servern gelöscht und diese entmagnetisiert - alle Informationen waren weg. Die zuständigen Stellen betonen, dass das FBI in einer Untersuchung keine Manipulationen festgestellt habe und eine Kopie der Daten gemacht habe.

Doch das Misstrauen ist groß, weil es um handfeste Interessen geht: Die Republikaner dominieren den Staat politisch, haben es aber mit einer immer stärker den Demokraten zuneigenden Wählerschaft zu tun. Erst im Juli kam es zu einem weiteren seltsamen Vorfall: In den Vorwahlen war in einem Bezirk von Georgia eine Wahlbeteiligung von 263 Prozent erreicht worden - mehr als zweieinhalb mal mehr Stimmen als Wahlberechtigte also.

Erst nachdem die Zahl der Wahlberechtigten auf dem Papier nach oben korrigiert worden war, sank sie wieder auf die realistischen 18 Prozent. Die Zahl sei "vorläufig", hieß es von den Behörden, die Software habe Probleme mit dem Addieren.

Nach massivem öffentlichem Druck hat sich Innenminister Brian Kemp inzwischen bereit erklärt, zumindest über den Austausch der Wahlcomputer bis 2020 nachzudenken. Kemps Behörde hatte schon 2014 die Neuregistrierungen von 40 000 Bürgern als Wähler verschleppt und erst nach einer Klage noch vor dem Wahltag abarbeiten lassen. Bei den Betroffenen handelte es sich vorwiegend um Afroamerikaner und Latinos. "Wählerunterdrückung sorgt dafür, dass Georgia ein Red State (republikanisch geführt; Anm. d. Red.) bleibt", schimpfte jüngst die Professorin Carol Anderson in der New York Times. Kemp will im November Gouverneur des Staats werden.

Obwohl das Thema Wahlsicherheit immer wichtiger wird, steht eine flächendeckende Rückkehr zu Papier-Stimmzetteln nicht zur Debatte. Auch wenn Sicherheitsbehörden betonen, dass 2016 keine Stimmen verändert wurden, schwächt bereits die theoretische Möglichkeit zur Manipulation das Vertrauen in den Abstimmungsprozess und seine Ergebnisse.

Alle Augen richten sich auf die Präsidentschaftswahl 2020. Auch für den Fall, dass der amtierende US-Präsident die Wahl verlieren sollte - und dann das Ergebnis unter Hinweis auf die Angreifbarkeit der Systeme nicht anerkennt.

© SZ.de/jab/bix
Zur SZ-Startseite
FBI-Sonderermittler Robert Mueller nach einer Anhörung im Capitol in Washington.

Ermittlungen von US-Sonderermittler Mueller
:Trumps digitales Watergate

Der russische Angriff auf die US-Demokratie wurde in Amerika erst unterschätzt und dann nur fahrlässig aufgearbeitet. Nur Sonderermittler Mueller macht unbeirrt weiter - und schafft so vielleicht Historisches.

Von Georg Mascolo

Lesen Sie mehr zum Thema