08.09.2017

Bundestagswahl: Auswertungs-Software weist eklatante Sicherheitslücken auf

Ein Test der Software „PC-Wahl“ deckt schwerwiegende Sicherheitsprobleme auf. Wie sicher ist unsere Wahl?


Am 24. September 2017 findet die Bundestagswahl statt. Die Parteien treiben seit Wochen passionierten Wahlkampf und bereiten sich bereits auf mögliche Koalitionsbündnisse oder ihren Platz in der Opposition vor. Kanzlerduell, Politdiskussionen, Wahlplakatwälder, repräsentative Umfragen und Prognosen – die öffentlichkeitswirksamen Elemente des Wahlkampfs überlagern eine bedeutende Frage: Wie steht es eigentlich um die Vorbereitungen für den Wahltag selbst? Nein, gemeint ist an dieser Stelle nicht die Bestellung kühler Erfrischungen und leckerer Häppchen sowie die pünktliche Anlieferung derselben in den jeweiligen Parteihauptquartieren. Das leibliche Wohl unserer Politiker sollte weniger unsere Sorge sein. Die Frage zielt stattdessen auf den Vorgang des Wählens ab, der keine Nebensächlichkeit dieses Tages, sondern die Hauptsache ist. Millionen wahlberechtigter Menschen werden am Wahlsonntag in den Wahlkabinen ihre beiden Kreuzchen machen oder haben ihr Votum zu diesem Zeitpunkt bereits per Briefwahl abgegeben. Danach setzt sich das Prozedere zur Ergebnisermittlung in Gang: Stimmzettel werden den Wahlurnen und den Briefwahlkuverts entnommen, sortiert, ausgezählt, die Ergebnisse der einzelnen Wahlbezirke anschließend an übergeordnete Instanzen übermittelt und schließlich zu einem Endresultat auf Bundesebene zusammengefasst. Artikel 38, Absatz 1 des Grundgesetzes sichert uns zu, dass wir die Abgeordneten des Bundestags in „allgemeiner, unmittelbarer, freier, gleicher und geheimer Wahl“ wählen dürfen. Aber wie „frei von“ im Sinne von „sicher vor“ einer unrechtmäßigen Wahlbeeinflussung wird unser Votum wirklich sein?

Sicherheitslücken in der Software „PC-Wahl“

Im Wahljahr der letzten Legislaturperiode lag die Wahlbeteiligung bei rund 73%. In diesem Jahr sind gemäß einer Presseinformation des Bundeswahlleiters 61,5 Millionen Menschen wahlberechtigt. Sollte die Wahlbeteiligung in etwa so hoch sein wie 2013, so werden ca. 44 Millionen Menschen von ihrem Wahlrecht Gebrauch machen. Die Menge der einlaufenden Stimmzettel sowie die Tatsache, dass wir nun mal im 21. Jahrhundert leben, rechtfertigt den Einsatz einer Software zur Auswertung der Wahlergebnisse durchaus. Die Zuhilfenahme elektronischer Hilfsmittel birgt jedoch immer Risiken. Der Chaos Computer Club (CCC) hat die Auswertungssoftware „PC-Wahl“ des Herstellers Vote IT einem Sicherheitscheck unterzogen. Dabei kamen Lücken in den Verschlüsselungsverfahren des Desktop-Clients der Software sowie auf den Web-Servern von Vote IT zum Vorschein. Die lokalisierten Schwachstellen am Webserver ermöglichten den Upload eines Schadcodes, der automatisch an sämtliche Nutzer weiterverteilt werden könnte und so ein maximales Schadensausmaß zur Folge hätte. Der Software-Hersteller hat zwar in Form eines Sicherheitspatches umgehend nachgebessert, es ist jedoch davon auszugehen, dass noch weitere sicherheitsrelevante Probleme bestehen. Hinsichtlich einspielbarer Updates ist „PC-Wahl“ auch dahingehend Fahrlässigkeit zu bescheinigen, dass in der Software keine bestehende Methode verankert ist, Updates auf ihre Echtheit zu überprüfen. Cyberkriminelle könnten also infizierte Updates bereitstellen und sich so Zugang zur Software verschaffen. Ein ähnliches Szenario ereignete sich in der Ukraine mit dem Trojaner NotPetya: Die Steuersoftware MeDoc diente damals als Wirt. Des Weiteren wurde von CCC moniert, dass kein Schutz binnen der Datenübermittlung von Instanz zu Instanz besteht: Konkret bedeutet dies, dass die Wahlergebnisse auf ihrem Weg beispielsweise vom Wahlkreis zum Landeswahlleiter abgegriffen und modifiziert werden könnten. Auch beim Eingabeformular für die Zugangsdaten fehlt es stellenweise vollständig an einer Verschlüsselung oder die Zugangsdaten werden lediglich mit einer selbstentwickelten Chiffrierung provisorisch geschützt. Die Zugangsdaten, die zum Upload von Daten auf den Server eingegeben werden müssen, sind außerdem leicht zu erraten und im Internet aufspürbar. Vom Prädikat „sicher“ ist man damit weit entfernt.

Anachronistische Stimmzettel bilden Sicherheitsbackup

Trotz der aufgedeckten Sicherheitslücken ist eine Manipulation des Wahlergebnisses eher unwahrscheinlich. Dies liegt daran, dass die Stimmabgabe in der BRD nach wie vor in Papierform und nicht online erfolgt. Im Jahr 2009 erklärte das Bundesverfassungsgericht den Einsatz von Wahlcomputern in Deutschland für verfassungswidrig. Sollte nach der Wahl am 24. September 2017 begründeter Zweifel an dem Resultat eines Wahlkreises bestehen, so kann jederzeit nachgezählt werden. Fragwürdig bleibt jedoch, weshalb an dieser in ihrer Beschaffenheit nachweislich mangelhaften Software festgehalten wird. Unabhängig davon welche Cyberprobleme tatsächlich eintreten werden, verursacht die bloße Nutzung der Software ein Gefühl der Unsicherheit bei einigen Wählern und öffnet einer Anzweifelung der Wahlergebnisse Tür und Tor. Ob allein dieser Schaden noch in einem gesunden Verhältnis zum Nutzen steht?


comments powered by Disqus