Landeswahlleiter Wilhelm Kanther
Landeswahlleiter Wilhelm Kanther Bild © picture-alliance/dpa

Das Programm, mit dem die Ergebnisse der Bundestagswahl übertragen werden, ist offenbar hoch anfällig. Das hat ein Darmstädter IT-Student herausgefunden. Der Landeswahlleiter beruhigt: Man habe die Probleme im Griff.

Videobeitrag

Video

zum Video Darmstädter deckt Sicherheitslücken bei Wahl auf

Ende des Videobeitrags

"Die Wahl ist sicher, und jeder kann sicher sein, dass mit seiner Stimme nichts passiert", sagte Landeswahlleiter Wilhelm Kanther am Donnerstag im Gespräch mit hessenschau.de. Kurz zuvor war bekannt geworden, dass es bei dem System für die Übertragung der Wahlergebnisse gravierende Sicherheitsmängel gibt.

Der Darmstädter Informatik-Student Martin Tschirsich hatte die Fehler in einer Software entdeckt, mit der in etlichen Kommunen die Wahlergebnisse der Bundestagswahl zusammengetragen werden. Gemeinsam mit dem Chaos Computer Club (CCC) veröffentlichte er einen Bericht, demzufolge in dem Programm "PC-Wahl" etliche Sicherheitslücken bestehen. Zuerst hatten "Zeit Online" und die Wochenzeitung "Zeit" darüber berichtet.

Zwar findet die Wahl nach wie vor mit Papier und Zettel statt, aber die Übertragung der Ergebnisse aus den Wahlbüros an die Gemeinden und von dort an die Landes- und Bundeswahlleiter ist demnach offenbar anfällig. Der Bericht sagt, es fehlen eine Verschlüsselung oder eine wirksame Authentifizierung für die Dateien, in denen die Ergebnisse übertragen werden.

Es sei auch möglich gewesen, den Kommunen eine infizierte Version des Programms unterzuschieben. Besonders brisant: Zumindest für Hessen hatte der kommunale IT-Dienstleister ekom21 aus Gießen dem Bericht zufolge Benutzername und Passwort für einen geschützten Service-Bereich im Netz veröffentlicht.

"Jeder durchschnittliche Informatikstudent hätte Fehler sehen können"

"Zuerst dachte ich: Das kann gar nicht sein", sagt Tschirsich hessenschau.de. Jeder durchschnittliche Informatikstudent hätte die Sicherheitslücken sofort sehen können. "Daher glaube ich auch nicht, dass ich der erste bin, dem das auffällt." Die Gefahr für die Demokratie sei groß, wenn diese Informationen in den falschen Händen landen: "Man kann damit das Vertrauen in den Wahlprozess zerstören, wenn das amtliche Endergebnis deutlich vom vorläufigen Ergebnis abweicht."

Tschirsich
Martin Tschirsich Bild © Uwe Gerritz/hessenschau.de

Der Gedanke, das Wissen anzuwenden für eine Art Schocktherapie, sei ihm auch kurz gekommen. Zumal sich bei den Behörden kaum jemand für das Problem interessiert habe - er sei von den Wahlämtern zur IT-Abteilung zum Hersteller und wieder zu den Wahlämtern geschickt worden. "Die standen mir richtig ablehnend gegenüber." Daher habe er sich an die Medien gewandt.

Landeswahlleiter: Wahlhelfer sollen kontrollieren

Landeswahlleiter Kanther widerspricht im Gespräch mit hessenschau.de: Die Behörde habe unverzüglich nach Bekanntwerden der Vorwürfe mit dem Hersteller und mit dem Bundesamt für Sicherheit für Informationstechnik Kontakt aufgenommen und überprüft, ob die Probleme zuträfen.

Kanther hatte bereits Ende August in einem Schreiben an die Kreiswahlleiter eingeräumt, dass "ein Versuch einer Einflussnahme oder Störung der Wahldatenübermittlung nicht ausgeschlossen werden kann". Er ordnet an, dass die Wahlhelfer am 24. September sämtliche übermittelten Ergebnisse nach dem Versenden auf der Webseite des Statistischen Landesamtes überprüfen, wo sie aufgelistet werden.

Bei jeder Auffälligkeit sollen sich die Wahlhelfer melden, man halte "eine ganze Phalanx an Fachleuten vor", sagte Kanther. Zu solchen Maßnahmen hatte auch der Bundeswahlleiter die Landesbehörden aufgefordert.

"Wir sind der Recherchegruppe dankbar"

Stefan Thomas, Sprecher des kommunalen IT-Dienstleisters ekom21, sagt auf hessenschau.de-Anfrage, es habe zwar "zeitweise Zugangsdaten mit nicht ausreichendem Sicherheitsniveau gegeben". Nachdem Tschirsich die Firma darauf aufmerksam gemacht habe, sei die Schwachstelle aber "unverzüglich behoben" worden.

Er räumt auch ein, dass ekom21 vorübergehend User-ID und Passwort für den Abruf von neuen Programmversionen von PC-Wahl ins Netz gestellt hatte, als "Vereinfachung für die Mitarbeiter in den Kommunen". Diese Informationen habe ekom21 nach dem Hinweis der Recherchegruppe geändert und entfernt. "Insofern sind wir der Recherchegruppe dankbar."

Tschirsich sagt, die getroffenen Maßnahmen seien "mit der heißen Nadel gestrickt"; er vermutet, dass sie nicht ausreichen. Nancy Faeser, innenpolitische Sprecherin der SPD-Fraktion im hessischen Landtag, forderte in einer Stellungnahme, die Unsicherheit schnell auszuschließen. Falls die Recherchen zuträfen, sei hier "ausgesprochen fahrlässig agiert" worden.

Das Passwort für Hessen: "test"

Das Programm sei so schlecht, dass es "nie hätte eingesetzt werden dürfen", sagte CCC-Sprecher Linus Neumann der "Zeit". In dem Programm werde "keine richtige Verschlüsselung, sondern nur eine Maskierung" verwendet. Jeder, der Zugriff auf das Programm habe und die Verschlüsselung brechen könne, bekomme damit auch Zugriff auf die Passwörter und könnte so manipulierte Wahldaten weiterschicken.

Weitere Informationen

PC-Wahl

Die Software PC-Wahl wird von der in Gütersloh ansässigen Firma Vote iT entwickelt. Sie dient der Erfassung, Berechnung, Präsentation und/oder Weitergabe von Wahlergebnissen und kommt bundesweit in Städten, Gemeinden und Landkreisen zum Einsatz. Wegen der denzentralen Organisation können die Kommunen selbst darüber entscheiden, welche Software sie verwenden. PC-Wahl wird nach Angaben des Herstellers in mehr als 2.000 Kommunen verwendet. In Hessen wird das Programm von mindestens 130 Städten und Gemeinden sowie nahezu allen Landkreisen eingesetzt.

Ende der weiteren Informationen

Außerdem hatte dem Bericht zufolge auch das Passwort für das interne Netzwerk im Internet, über das die Daten verschickt werden. Für Hessen lautete es: "test". Der ganze Bericht von Martin Tschirsich und dem Chaos-Computer-Club steht hier als PDF zum Download bereit.

Volker Berninger, der Entwickler von PC-Wahl, bestritt in dem Artikel die Behauptung der Forscher, die Bundestagswahl könne manipuliert werden. Er wies darauf hin, dass ja nach wie vor alle Ergebnisse auf Papier vorliegen. Lediglich das vorläufige amtliche Ergebnis, das am Wahlabend bekanntgegeben wird, könne falsch sein.