Ein Computerprogramm, in dem die Daten aus den Stimmzetteln für die Bundestagswahl gesammelt werden, weist offenbar massive Sicherheitsmängel auf. So fehle zum Beispiel eine Verschlüsselung bei der Übertragung der Daten an den Wahlleiter. Das berichtet die Wochenzeitung "Die Zeit" in ihrer heutigen Ausgabe.
Passwörter offen im Internet
Nach Untersuchungen des Informatikers Martin Tschirsich und des Chaos-Computer-Clubs weist die Software, die die meisten Kommunen zum Sammeln der Wahlergebnisse einsetzen, mehrere schwere Schwachstellen auf. Neben einer fehlenden Verschlüsselung bei der Datenübertragung standen demnach auch die Zugangsdaten für das Programm offen im Internet. Wer sich Zugang verschaffe, könne manipulierte Stimmen-Zahlen einspeisen und weitergeben. Zwar errechnet sich aus diesen Daten nicht das amtliche Endergebnis, jedoch das vorläufige Ergebnis, das am Wahlabend noch vorliegt. Manipulationen könnten also zu erheblichen Irritationen führen.
"Zeit"-Autor Kai Biermann hat mit Netzreporterin Schlien Schürmann von PULS, dem jungen Programm des Bayerischen Rundfunks, über die Details gesprochen.
BR: Herr Biermann, sind die Ergebnisse der Bundestagswahl sicher?
Biermann: Das Wahlergebnis der Bundestagswahl, also das Ergebnis selbst, das ist sicher. Ich möchte dass da niemand verunsichert ist. Was nicht sicher ist, das ist das vorläufige Ergebnis, das am Wahlabend veröffentlicht wird, relativ schnell - weil alle ja schnell wissen wollen, wer gewonnen hat. Das lässt sich leider durch die Software manipulieren.
Welche Software ist das?
Biermann: Die Software, die wir uns angeschaut haben, heißt PC-Wahl. Das ist die in Deutschland am meisten verbreitete Software, die in Kommunen genutzt wird, um Wahlen abzuwickeln. In erster Linie ist das eine Art Tabellenkalkulation, mit der die Stimmen gezählt, addiert und anschließend weitergeleitet werden an die nächste Ebene zur Verarbeitung.
Diese Software ist 30 Jahre alt und wurde tatsächlich nie einer offiziellen, fachkundigen Überprüfung unterzogen?
Biermann: Selbstverständlich ist die Software in diesen 30 Jahren immer wieder überarbeitet, angepasst, aktualisiert worden. Aber tatsächlich hat nie jemand mal hineingeschaut, also in den Code, tiefer in das Programm geschaut, um zu sehen, ob es angreifbar ist.
Und der Informatiker Martin Tschirsich aus Hessen hat das jetzt einfach mal ausprobiert und festgestellt: Ich komme da problemlos rein?
Biermann: Ja, das Erschreckendste an der Recherche war eigentlich, dass dieser junge Informatiker entscheidende Passwörter im Internet gefunden hat, weil sie von beteiligten Firmen versehentlich veröffentlicht worden waren. Allein das darf schon nicht passieren bei einer Software, deren gesamtes Sicherheitskonzept darin besteht, dass sie nicht öffentlich verfügbar ist. Aufgrund dieser Passwörter aber konnte er sich die Software auch einfach aus dem Internet herunterladen.
Auch der Chaos-Computer-Club hat die Software geprüft. Wie können denn nun die weitergegebenen Stimmen manipuliert werden?
Biermann: Das größte Problem sind die sogenannten zertifizierten Signaturen. Das ist eine Art Ausweis: Wenn eine Datei irgendwo ankommt, enthält sie eine Signatur, die vorher abgeglichen wurde. Und anhand dieser Signatur lässt sich feststellen: Ja, diese Datei kommt von der richtigen Gemeinde und es ist die richtige Datei. Ohne diese Signatur weiß niemand, ob die Stimmen, die eingereicht werden, von der korrekten Gemeinde kommen, ob es die korrekten Stimmen sind und ob nicht auf dem Weg dahin irgendetwas verändert wurde. Und diese Signaturen sind in der Software nicht enthalten.
Wie soll denn diese Gefahr so kurz vor der Bundestagswahl gebannt werden?
Biermann: Der Bundeswahlleiter hat nun verfügt, dass zur Weitergabe der Stimmen das gute alte Telefon zum Einsatz kommen soll.