FYI.

This story is over 5 years old.

Tech

Regierung gibt indirekt zu: Wahlsoftware noch immer unsicher

Werden die Probleme bei PC Wahl noch rechtzeitig behoben? Ein aktuelles Schreiben lässt nichts Gutes vermuten. Auch einer der Hacker, die die Schwachstellen aufdeckten, führt drei Gründe an, warum es eng werden könnte.
Bild: Software PC Wahl, Screenshot wahlinfo.de

Neun Tage vor der Wahl scheinen die zum Teil schweren Sicherheitslücken bei der Wahlsoftware PC Wahl noch immer nicht geschlossen. Das hat nun die Bundesregierung in einer Antwort auf eine Anfrage des grünen Abgeordneten Konstantin von Notz indirekt zugegeben.

In dem Schreiben, das Motherboard vorliegt, heißt es, der Hersteller der fehlerhaften Software PC Wahl sei gerade noch dabei, die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) umzusetzen. Auch habe er zugesagt, den Bericht des Chaos Computer Clubs (CCC), der die Sicherheitslücken von PC Wahl umfassend dokumentiert, zu prüfen und "daraus gegebenenfalls entsprechenden Handlungsbedarf" abzuleiten.

Anzeige

Der CCC-Hacker Linus Neumann bezweifelt allerdings, dass die Sicherheitslücken von PC Wahl bis zur Wahl gelöst werden können: "Theoretisch wäre es möglich, die Schwachstellen zu beheben. Praktisch scheint dies jedoch nicht der Fall zu sein", erklärt Neumann gegenüber Motherboard. Im Zuge einer Zeit-Recherche machte er die Probleme mit der Software in der vergangenen Woche öffentlich.

Der Hacker sieht jetzt mehrere grundlegende technische Probleme, die es unwahrscheinlich machen, dass die Software bis zur Wahl am 24. September noch sicher wird:

"Erstens hat der Hersteller seit Ende August mehrere erfolglose Versuche unternommen, so dass inzwischen neben erhöhtem Zeitdruck auch nur noch wenig Hoffnung besteht, dass der Hersteller die fundamentalen Fehler überhaupt versteht."

Tatsächlich zeigt die öffentlich einsehbare Update-Liste der Software, dass der Hersteller bis zur Veröffentlichung der Zeit-Recherche Anfang September mehrfach versuchte, die Probleme zu beheben.

Neumann verweist außerdem auf die Schwachstellen bei der Übermittlung der Wahldaten sowie auf das Problem, dass die Daten nicht mit einem sicheren kryptographischen Verfahren geschützt würden:

"Zweitens gibt es auch prozedurale Schwachstellen auf Ebene der Kommunen und Bundesländer, beispielsweise durch den Betrieb unsicherer Server und Protokolle. Der Hersteller könnte zwar deren Verwendung unterbinden, dann läge aber der Zeitdruck und das Chaos bei den Betreibern, die in Windeseile eine neue sichere Infrastrukturen bauen müssten. Drittens fehlt für die Lösung des Kernproblems der fehlenden Signaturen inzwischen schlichtweg die Zeit: Es braucht Zeit und Hirnschmalz, um eine tragbare Public-Key-Infrastruktur aufzubauen und auszurollen."

Anzeige

Ein solches Public-Key-Verschlüsselungssystem sorgt dafür, dass Sender und Empfänger einer Nachricht gegenseitig ihre Identität bestätigen. Im Fall von sensiblen Wahldaten sind entsprechende Signaturen essentiell. Nur sie können verhindern, dass ein Angreifer gegenüber dem Bundeswahlleiter nicht so tun kann, als würde er echte Wahlergebnisse übermitteln.

Seit wann weiß die Bundesregierung von den Lücken?

Die Antwort an den Grünen-Politiker Konstantin von Notz liefert auch Hinweise auf eine weitere brisante Frage: Seit wann weiß das für die Abwehr von Hacking-Angriffen zuständige Bundesministerium für Sicherheit in der Informationstechnik (BSI) von den Sicherheitslücken? Laut Bundesinnenministerium habe das BSI bereits "im Frühjahr organisatorische Maßnahmen empfohlen", um die computergestützte Weitergabe der Wählerstimmen abzusichern. Welche Maßnahmen in den Monaten bis zum 28. Juli, als das BSI erstmals von den Lücken erfuhr, tatsächlich ergriffen wurden, dazu schweigt die Bundesregierung jedoch eisern. Dass das BSI offenbar schon seit Monaten an der Thematik arbeitet lässt die Tatsache, dass es letztlich kein zuständiger Behördenmitarbeiter, sondern ein IT-Student war, der die Lücken entdeckte, umso peinlicher erscheinen.

Notz kritisierte auf Anfrage das "Herumlavieren" der Bundesregierung bei der Frage, seit wann sie von den Lücken bei PC Wahl wusste. "Die Glaubwürdigkeit der Bundestagswahlen ist zu wichtig, als dass man das den Verantwortlichen vor Ort überlassen könnte", so Notz gegenüber Motherboard. Außerdem dürfe sich der Bund nicht "hinter Wahlleiter und Kommunen verstecken" – wenn das BSI, wie in der Antwort erwähnt, tatsächlich seit Frühjahr beratend tätig ist, müsse es das auch richtig tun und auch Verantwortung übernehmen, so Notz.

Die Bundesregierung liefert für die Probleme eine einfache Erklärung: Sie zieht sich auf das Prinzip der Unabhängigkeit der Wahlleiter in Deutschland zurück. Denn für die Durchführung der Wahlen – und dazu gehört die Auswahl der Wahlsoftware – seien die Wahlleiter des Bundes und der Länder zuständig, das BSI sei hier nur beratend tätig.