Leicht zu knacken: Gefährliche Lücken in Wahlsoftware

Hacker deckten auf, dass ein PC-Programm zur Übertragung von Wahlergebnissen bei der kommenden Wahl manipuliert werden kann.

Ein Mann tippt auf eine beleuchtete Laptop-Tastatur

Manche Passwörter der Software waren sogar im Internet zu finden Foto: dpa

BERLIN taz | Die Wahl-Software, die viele Bundesländer am 24. September nutzen werden, hat offenbar große Sicherheitslücken. Das könnte zur Manipulation der Wahlergebnisse führen, wie die Zeit am Donnerstag als erstes berichtete. Der Informatiker Martin Tschirsich hatte die Sicherheitsprobleme entdeckt, die Hacker-Vereinigung Chaos Computer Club (CCC) bestätigte seine Ergebnisse. Stimmen werden zwar per Hand abgegeben und gezählt, aber anschließend mit einem PC-Programm gebündelt und an die Wahlleiter übertragen.

In Deutschland wird bei der Wahl zwar im Vergleich zu den USA per Hand gewählt und gezählt, doch die ausgezählten Stimmen werden mit einem PC-Programm zusammengefasst und an den jeweiligen Wahlleiter übertragen. Tschirsich wollte das Programm „PC-Wahl“ aus Interesse auf Schwachstellen testen und stieß schnell auf grobe Sicherheitslücken. Die Software wird von allen Bundesländern am häufigsten verwendet.

Die Verschlüsselung des Programms konnte Tschirsich umgehen, weil er die meisten Passwörter einfach im Internet finden konnte, ein anderes lautete schlicht „test“ und war dadurch schnell geknackt. „Das ist keine richtige Verschlüsselung, sondern nur eine Maskierung“, sagt auch Linus Neumann vom CCC zu Zeit Online. Er verglich die Sicherheit des Programms mit einem Mietshaus, in dem zwar alle Wohnungen abgesperrt sind, aber überall der gleiche Schlüssel passt.

Das Programm hatte bisher kaum Sicherheitsmechanismen, weil die Kommunen nie danach gefragt hatten, wie der Entwickler von „PC-Wahl“, Volker Berninger erklärte. Auch eine umfassende Analyse des Programms habe es nie gegeben.

Es ist noch nicht klar, ob es gelingt, die Sicherheitslücken bis zur Wahl am 24. September zu schließen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) legte Vorschläge zur Verbesserung der Software vor. Der CCC meldete jedoch kurz darauf, dass auch die vorgenommenen Softwareverbesserungen bereits bei oberflächlichen Versuchen leicht zu knacken waren.

Amtliches Endergebnis nicht gefährdet

Was bedeutet das für die kommende Wahl? Bundeswahlleiter Dieter Sarreither gibt Entwarnung. Die Zwischenergebnisse seien zwar manipulierbar, was zwischenzeitlich zu Chaos führen könnte, doch das Endergebnis sei nicht gefährdet. Dem stimmt auch Informatiker Tschirsich zu.

In ihrer Analyse der Software forderte der CCC, dass bei den Wahlvorgängen nicht nur auf Schnelligkeit geachtet wird: „Geschwindigkeit ist kein Wert an sich – Sicherheit hingegen schon.“ Deshalb müsse die Softwareauswertung der Ergebnisse zwingend auch manuell überprüft werden.

Das ist auch der Notfallplan des Bundeswahlleiters: Die Ergebnisse der Stimmauszählungen am Wahlabend sollen im Zweifel auch „unabhängig von IT-Tools“ weitergegeben werden. Also über das gute alte Telefon.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bei wieviel Prozent liegen die Parteien? Wer hat welche Wahlkreise geholt?

▶ Alle Zahlen auf einen Blick

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.