Bundestagswahl 2017: Wahlsoftware hat gravierende Sicherheitslücken
Wenn am 24. September die Bundestagswahl stattfindet, sind zunächst Stift und Papier gefragt. Das verspricht Sicherheit, weil Hacker-Angriffe praktisch unmöglich sind. Anders sieht es allerdings mit der Software aus, die zum Einsatz kommt, um die Stimmen auszuwerten.
Denn die kämpft mit gravierenden Sicherheitslücken, vermelden der Chaos Computer Club (CCC) und Zeit Online. Konkret geht es um die Software PC-Wahl, die mehrere Bundesländer nutzen, um Auszählergebnisse teils vom Wahllokal bis zum Bundeswahlleiter zu übertragen. Ob die Wahlergebnisse zunächst telefonisch oder per Software weitergegeben werden, kann sich zwar je Bundesland und Gemeinde unterscheiden. Doch ab einem gewissen Punkt erfolgt die Weitergabe der Stimmen digital. Und PC-Wahl ist laut dem Bericht das Programm, das am weitesten verbreitet ist.
Umso problematischer ist es, dass die Software diverse Schwachstellen aufweist. Dazu zählen laut der CCC-Analyse (PDF):
- Transport: Nach dem Summieren der Stimmen erstellt die Software eine Wahldatei mit den Auszählergebnissen, die an den Wahlleiter geht. Der Transport wird aber nicht ausreichend verschlüsselt, es existiere etwa weder eine Authentifizierung, noch eine Signatur oder ein einzigartiger Schlüssel. Es lässt sich also nicht prüfen, ob tatsächlich die korrekten Ergebnisse übertragen wurden. Angreifer könnten sich daher einklinken und die Ergebnisse verändern, ohne dass der Empfänger etwas merkt.
- Update-Funktion: Vor der Wahl müssen sich die Kommunen die aktuellen Vorlagen besorgen. Nötig ist dafür ein Update der Software, dass der Entwickler in einem geschützten Bereich der Webseite zum Download anbietet. Für den Zugang ist zwar ein Passwort nötig, das lässt sich aber im Netz finden. Angreifen könnten also eine manipulierte Version der Software einschmuggeln, die Gemeinden dann herunterladen – was eines der Worst-Case-Szenarien wäre.
- Passwörter: Ohnehin ist der Umgang mit Passwörtern kritisch. Viele lassen sich dem Bericht zufolge im Netz finden, obendrein sind die ausgewählten äußerst simpel – verwendet wird unter anderem „test“ oder „pcwkunde“. Das kann gravierende Folgen haben. Aus Sicherheitsgründen werden die Wahlergebnisse etwa nicht über das Internet, sondern über ein internes Netzwerk übertragen. Doch der Einwahlpunkt ist innerhalb von PC-Wahl bereits voreingestellt und mit einem leicht zu erratenen Passwort geschützt.
Dementsprechend düster fällt das Fazit vom Chaos Computer Club aus, die Rede ist von einem „Totalschaden“. So erklärt der an der Analyse beteiligte CCC-Sprecher Linus Neumann: „Elementare Grundsätze der IT-Sicherheit werden in dieser Software nicht beachtet. Die Menge an Angriffsmöglichkeiten und die Schwere der Schwachstellen übertraf unsere schlimmsten Befürchtungen.“
Aus Neugier über die Fehler gestolpert
Wie Zeit Online berichtet, war es zunächst der hessische Informatiker Martin Tschirsich, der auf die Sicherheitslücken in der Software gestoßen ist. Ausgehend von der Frage, ob sich die Bundestagswahl manipulieren lässt, identifizierte er die digitale Weitergabe der Stimmen als Angriffspunkt. Und stieß in diesem Kontext auf die Software PC-Wahl.
An dieser waren Beobachter schon früher interessiert. Ingo Höft von der Piratenpartei hatte bereits 2009 eine Klage vor einem Verwaltungsgericht in Rheinland-Pfalz eingereicht, um den Quellcode prüfen zu können. Damit scheiterte aber. Es reiche aus, wenn der Landeswahlleiter die Software absegne, so die Begründung der Richter. Der hatte aber nur kontrolliert, ob die Stimmen korrekt zusammengezählt werden. Sicherheitslücken waren da nicht relevant.
Daher sollte auch Tschirsich eigentlich keinen Zugang zu der Software erhalten, nur Kommunen wird das Programm zum Kauf angeboten, nicht aber Privatpersonen. Geringe Verbreitung, mehr Sicherheit, so lautet die Formel des Entwicklers. Was ohnehin ein fragwürdiges Konzept ist. Denn als sicher gilt eine Software vor allem dann, wenn Dritte prüfen können, ob Schwachstellen existieren. Nicht aber, wenn nur ein möglichst kleiner Kreis an Personen darauf zugreifen kann, um die potentielle Zahl an Angreifern zu reduzieren.
Ein weiterer Haken: Im Endeffekt ist es Tschirsich mit einer Google-Suche gelungen, PC-Wahl doch herunterzuladen. So war er dann in der Lage, den Quellcode zu analysieren. Und entdecke dabei die diversen Schwachstellen. Bestätigt wurden die Sicherheitslecks dann vom Chaos Computer Club, der PC-Wahl ebenfalls analysierte.
Zum Glück gibt es noch die Zettel
Angesichts der drohenden Gefahren äußern sich die Verantwortlichen nun zurückhaltend. Ein Wahlleiter aus der Gemeinde Büddingen erklärt gegenüber der Zeit, potentielle Manipulationen durch die Software würden „zumindest stören“, letztlich würden die Stimmen aber auch noch in Papierform vorliegen, sodass das Endergebnis trotz allem gesichert sei. Ebenso erklärt der PC-Wahl-Entwickler, schlimmstenfalls könnte jemand „Ärger und Verwirrung“ stiften, durch die Papierwahl habe das „aber keine Relevanz“. Außerdem kündigte er schon Updates für die Software an, die die Schwachstellen beheben sollen.
Weniger milde äußert sich derweil der Chaos Computer Club. Die Angriffsmöglichkeiten hätten „das Potential, das Vertrauen in den demokratischen Prozess dauerhaft zu erschüttern – selbst wenn eine Wahlfälschung innerhalb von Stunden oder Tagen entdeckt würde“. Immerhin habe zumindest das Bundesland Hessen schon reagiert. Eine neue Vorschrift besagt, dass mittels PC-Wahl übertragene Ergebnisse nochmals unabhängig geprüft werden müssen.
BSI schaltet sich ein
Derweil kündigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits neue Vorgaben an. Künftig sollen bei Wahlvorgängen nur noch vom BSI zertifizierte Produkte zum Einsatz kommen. Inzwischen arbeite man mit den zuständigen Bundes- und Landeswahlleitern sowie dem PC-Wahl-Entwickler zusammen, um das Sicherheitsniveau zu erhöhen. Empfehlungen der Behörde würden derzeit umgesetzt werden. So erklärt BSI-Präsident Arne Schönbohm: „Das BSI begleitet die Behebung der Sicherheitslücken der betroffenen Software in engem Austausch mit dem Hersteller und hat zudem bereits im Frühjahr dieses Jahres weitere organisatorische Maßnahmen empfohlen, die die Übermittlung der Wahlergebnisse absichern.“