/Mängel in der Wahlsoftware seit Monaten bekannt

Mängel in der Wahlsoftware seit Monaten bekannt

Mängel in der Wahlsoftware seit Monaten bekannt


Ulrich Hilgefort

PC-Wahl-Software

Schon lange vor dem Eindringen in die Software wussten die Behörden, dass “PC-Wahl” unsicher ist. Die forderten neue Schutzmaßnahmen vom PC-Wahl-Hersteller – doch nach wie vor gibt es Lücken.

Das Bundesinnenministerium hat eingeräumt, dass die Verantwortlichen für die kommende Wahl seit vielen Monaten von Sicherheitslücken der Software PC-Wahl gewusst haben. Das geht aus einer Anfrage des Bundestags-Abgeordneten Jan Korte von der Linkspartei hervor.

Der Chaos Computer Club hatte in Zusammenarbeit mit Zeit Online eklatante Sicherheitsschwächen in der Wahl-Auswertungssoftware PC-Wahl des Herstellers Vote IT aufgedeckt. Daraufhin hat der Software-Hersteller mehrere Updates geliefert, um diese Lücken zu schließen.

PC-Wahl wird in vielen Gemeinden dazu genutzt, um die Ergebnisse am Wahlabend zu sammeln und weiterzuleiten. Da die Stimmzettel jederzeit auch nachträglich überprüft und neu ausgezählt werden können, ist eine tatsächliche Verfälschung des Wahlergebnisses zumindest unwahrscheinlich.

Sicherheitsprobleme seit März bekannt

Überraschend kamen die Fehlermeldungen zu PC-Wahl offensichtlich nicht: Laut Antwort des Bundesinnenministerium auf die Anfrage wusste das Bundesamt für Sicherheit in der Informationstechnik (BSI) spätestens im März, dass die Software Lücken hat.

Schon am 31. März habe das BSI empfohlen, das “Sicherheitsniveau bei der Übermittlung vorläufiger Wahlergebnisse mit der genannten Software” zu verbessern, berichtet Zeit Online, der die Antwort auf die Anfrage nach eigenen Angaben vorliegt.

Neue Schutzmaßnahmen gefordert

Das BSI hatte demnach damals den PC-Wahl-Hersteller aufgefordert, durch “kryptografische Schutzmaßnahmen” zu verhindern, dass Software oder Wahlergebnisse “ungewollt verändert” werden können. Doch nach wie vor bestehen Zweifel daran, das dies gelungen ist: Die neue Verschlüsselung sei kein echter Schutz, sagte Informatiker Martin Tschirsich, der sich schon im Juli Zugang zu dem Programm verschaffen konnte, gegenüber Zeit Online.

Der Hersteller habe zwar schnell eine neue Software-Version bereitgestellt, doch niemand könne überprüfen, ob die betroffenen Gemeinden das Update auch heruntergeladen und installiert haben. Schließlich sei das grundlegende Problem, die Manipulationsmöglichkeit der Wahldaten, nicht behoben worden. Immerhin können die Nutzer jetzt Veränderungen an den Wahldaten feststellen.

Tschirsich kommt zu dem Ergebnis, dass der Software-Hersteller die Erkenntnisse des BSI “offenbar fahrlässig ignoriert” habe. Eine unabhängige Sicherheitsanalyse, die solchen Manipulationsmöglichkeiten nachspürt, habe es nicht gegeben, wie das Innenministerium zugeben musste. So sei weder PC-Wahl noch das vom Bundeswahlleiter verwendete Programm namens IVU.elect, das laut Tschirsich ebenfalls schwere Mängel aufweisen soll, ausführlich untersucht worden.

Prüfung erst nach der Wahl

Angesichts der Sorge, dass aus dem Ausland Versuche unternommen werden könnten, die Wahl in Deutschland zu beeinflussen, entwarf die Bundesregierung im Verlauf des Jahres diverse Risikoanalysen und Notfallkonzepte für die Wahl. Vor diesem Hintergrund sei es – so der Linkspartei-Abgeordnete Korte – “unverantwortlich”, dass der Quellcode der Wahlsoftware nie überprüft wurde.

Auf parlamentarische Anfrage des Grünen-Abgeordneten Konstantin von Notz antwortete das BSI, man wolle prüfen, ob Wahlsoftware “mit Blick auf zukünftige Wahlen” verpflichtend vom BSI zertifiziert werden müsse. Doch das wird frühestens nach der Wahl geschehen.


(uh)