Sicherheitsprobleme in Wahlsoftware

Da das endgültige Wahlergebnis aufgrund von Wahlniederschriften ermittelt wird, ist eine Manipulation durch Angriffe auf die Wahl-IT hier nicht möglich. (Maxpax, cc by 2.0, flickr.com)

Eine Analyse eines in vielen Kommunen verwendeten Wahlprogramms durch den Chaos Computer Club (CCC) hat ergeben, dass die elektronische Erfassung und Weiterleitung von Wahlergebnissen für das vorläufige amtliche Endergebnis durch Hacker grundsätzlich manipuliert werden könne.

Bei der Software PC-Wahl handelt es sich um ein Programm mit dem die in den Wahlkreisen ermittelten Wahlergebnisse ausgewertet und über isolierte Netze weitergeleitet werden können. Auf Anfrage der ZEIT haben CCC-Forscher die Software untersucht und Lücken im Verschlüsselungssystem sowie dem Updateverfahren entdeckt.

Angreifer könnten Zugangsdaten zu den Webservern des Herstellers vote-IT leicht knacken, darüber hinaus gebe es keine Methode zur Verifizierung von Updates. So soll es Angreifern möglich sein, die Webserver zu hacken und darüber eigene schadhafte Updates zu verteilen, die die Wahl-IT in der Breite unbemerkt zu sabotieren könnten. Eine Manipulation des vorläufigen amtlichen Endergebnisses wäre so möglich. Details zu den Sicherheitsproblemen der Software finden sich im Bericht des CCC.

Wahlleiter und BSI alarmiert

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilt mit, dass in Zusammenarbeit mit dem Bundes- und den Landeswahlleitern sowie vote-IT Empfehlungen zur Verbesserung des Sicherheitsniveaus bei der Übermittlung der Wahlergebnisse erarbeitet wurden. „Das BSI begleitet die Behebung der Sicherheitslücken der betroffenen Software in engem Austausch mit dem Hersteller und hat zudem bereits im Frühjahr dieses Jahres weitere organisatorische Maßnahmen empfohlen, die die Übermittlung der Wahlergebnisse absichern“, sagt BSI-Präsident Arne Schönbohm.

Der Bundeswahlleiter Dieter Sarreither hat inzwischen Wahlorgane aufgefordert, zusätzliche Schritte zur Gewährleistung der Richtigkeit übermittelter Wahlergebnisse zu ergreifen. Dazu gehört der telefonische Abgleich empfangener Daten zwischen den Ebenen.