Sicherheitslücken in Bundestagswahl-Software

19
120
Bild: © lassedesignen - Fotolia.com
Bild: © lassedesignen - Fotolia.com

Bei der Bundestagswahl werden die Stimmen noch analog mit Stift und Papier abgegeben. Doch bei der Übermittlung der Ergebnisse an die Wahlleiter kommen Computer zum Einsatz. Eine weitverbreitete Software zur Stimmenauswertung ist aber offenbar nur ungenügend abgesichert.

Sicherheitsforscher haben gravierende Mängel in einer Software gefunden, mit der in etlichen Kommunen die Wahlergebnisse der Bundestagswahl zusammengetragen und an den Landeswahlleiter übermittelt werden. Nach den Untersuchungen eines Informatikers aus Darmstadt und des Chaos Computer Clubs (CCC) klaffen in dem Programm „PC Wahl“ des Anbieters Vote IT etliche Sicherheitslücken, wie die „Zeit“am Donnerstag berichtete.

So sei die Übertragung der korrekten Wahldaten aus den Gemeinden an den Wahlleiter weder durch eine Verschlüsselung noch durch eine wirksame Authentifizierung abgesichert gewesen. Der CCC veröffentlichte am Donnerstag eine ausführliche Analyse der Wahlsoftware auf der Programmier-Plattform Github.

Ein Sprecher des Bundeswahlleiters sprach von einem „ernsten Problem“, das schon vor Wochen bekannt geworden sei. Der Hersteller habe in der Zwischenzeit etliche Updates der Software nachgeliefert, um Lücken zu schließen. Die Landeswahlleiter seien nun aufgefordert worden, die Übermittlung der korrekten Wahldaten zusätzlich abzusichern.

Für ihn habe „die Verhinderung von Manipulationsmöglichkeiten der Wahlergebnisse zur kommenden Bundestagswahl höchste Priorität“, erklärte Bundeswahlleiter Dieter Sarreither. Er wies darauf hin, dass das endgültige Wahlergebnis auf den Wahlniederschriften der einzelnen Wahlorgane basiere. Diese würden in Schriftform vorliegen. „Eine Manipulation des Wahlergebnisses ist somit ausgeschlossen“, hieß es.

Nach der Analyse des Chaos Computer Clubs war es zwischenzeitlich auch möglich, den Kommunen eine infizierte Version des Programms PC-Wahl unterzuschieben, weil die Zugangsdaten für einen geschützten Support-Bereich für die Gemeinden im Netz aufzufinden gewesen seien. Dieses Loch sei aber inzwischen gestopft worden.

Das Programm selbst sei aber so schlecht, dass es „nie hätte eingesetzt werden dürfen“, sagte CCC-Sprecher Linus Neumann der „Zeit“. In der Software werde „keine richtige Verschlüsselung, sondern nur eine Maskierung“ verwendet. Jeder, der Zugriff auf das Programm habe und die Verschlüsselung brechen könne, bekomme damit auch Zugriff auf die Passwörter und könnte so manipulierte Wahldaten weiterschicken.

Volker Berninger, der Entwickler von PC-Wahl, bestritt in dem „Zeit“-Artikel die Behauptung der Forscher, die Bundestagswahl könne manipuliert werden. „Bei dem schlimmsten Szenario würde jemand damit Verwirrung stiften. Dann würden zwar irgendwelche falschen Ergebnisse im Internet stehen, aber auf dem Papier wären noch immer die richtigen vorhanden.“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet nach eigenen Aussagen die Behebung der Sicherheitslücken der betroffenen Software. Zudem habe man bereits im Frühjahr weitere organisatorische Maßnahmen empfohlen, die die Übermittlung der Wahlergebnisse absichern. „Künftig sollten auch für auf Informationstechnik basierende Wahlvorgänge nur noch vom BSI zertifizierte Software-Produkte eingesetzt werden“, sagte BSI-Präsident Arne Schönbohm.

Nach Darstellung des CCC wurde der Hersteller erstmals im Juni kontaktiert. Seitdem seien Schwachstellen auf den Servern des Anbieters beseitigt worden. Auch für die Software habe es mehrere Updates gegeben, bestätigte der CCC. Sämtliche Gegenmaßnahmen hätten sich allerdings „bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen“ erwiesen.

Der Club forderte, die Beschleunigung der Vorgänge bei einer Wahl dürfe nicht wichtiger sein als Sicherheit, Korrektheit und Nachvollziehbarkeit. Außerdem müssten die Wähler selbst alle Resultate überprüfen können. Alle Software-Komponenten, die bei der Auswertung der Wahl verwendet werden, müssten öffentlich einsehbar und nicht geheim sein.

[dpa]

Bildquelle:

  • Technik_Video_Artikelbild: Technik_Video_Artikelbild.jpg: © lassedesignen - Fotolia.com
19 Kommentare im Forum
  1. Das ist aber ohnehin kein Angriffspunkt für eine mögliche Manipulation. Weil man kann doch davon ausgehen, das sich die Verantwortlichen in den Stimmbezirken und Wahlkreisen ihre Ergebnisse notieren, und dann spätestens in den nächsten Tagen auf der Seite des Bundeswahlleiters schauen ob ihr Ergebnis korrekt ist. Eine Manipulation auf dieser Ebene würde innerhalb von Stunden oder spätestens Tagen auffallen.
Alle Kommentare 19 im Forum anzeigen

Kommentieren Sie den Artikel im Forum