Wie sicher ist die Bundestagswahl 2017? – Manipulationen möglich

Es ist das, wo vor sich viele fürchten – Manipulation der Wahlergebnisse der Bundestagswahl 2017 am 24. September. Nun mag man sich fragen, an welcher Stelle einer analogen Wahl manipuliert werden kann. Immerhin wurde der Einsatz von Wahlcomputern in Deutschland durch das Bundesverfassungsgericht am 3. März 2009 für verfassungswidrig erklärt.

Die “Erfassung, Berechnung, grafische Präsentation, Meldung und statistische Nachbereitung von Wahlergebnissen“ geschieht unmittelbar nach der Wahl und zwar auf dem elektronischen Weg mit Hilfe von Computern. Martin Tschirsich konnte sich nicht vorstellen, dass dieses System nicht angreifbar ist.

Also begann er seine Recherche. Im Internet stöbert er nach der eingesetzten Software und wird fündig. Sie nennt sich schlicht PC-Wahl. Es ist nach Angaben des Herstellers „das meistgenutzte Wahlorganisationssystem in deutschen Verwaltungen“.

Bislang galt die Stimmenauszählung in Deutschland nicht als Sicherheitsrisiko. Vorfälle wie in Frankreich und den USA zeigen aber, dass koordinierte Cyberangriffe ausländischer Regierungen möglich sind. Von Hillary Clinton und Emmanuel Macron geleakte sensible Dokumente vor den Wahlen verdeutlichen, dass es Angriffspunkte in der digitalen Welt gibt.

Keine echte Verschlüsselung lediglich Maskierung

Der Chaos Computer Club hat sich die Software PC-Wahl näher angeschaut. Die Ergebnisse sind besorgniserregend, wenn nicht sogar erschütternd.

Privatpersonen haben keinen Zugang zu dem Programm, sondern lediglich Kommunen. Diese Handhabung soll es eigentlich vor Cyberangriffen schützen. Niemanden war es möglich, den Quellcode von PC-Wahl einzusehen, um die tatsächliche Programmsicherheit zu ergründen. Selbst Gerichte lehnten das ab.

“Keine offizielle Stelle hat je den Quellcode gesehen, noch zertifiziert.“

Tschirsich gab sich damit nicht zufrieden und googelte. Das unglaubliche: Auf der Webseite eines kommunalen IT-Dienstleisters befand sich eine Bedienungsanleitung mit Zugangsdaten zum internen Servicebereich des Herstellers von PC-Wahl. Sie lauteten: „Nutzername: service“, „Kennwort: pcwkunde“. Das ist ein Geschenk für jeden Hacker. Tschirsich konnte daraufhin Teile der Software herunterladen und analysieren.

Wahldateien problemlos fälschen

PC-Wahl kalkuliert ein Ergebnis und speichert es in eine ungesicherte Datei. Diese wird dann von den Gemeinden an den Wahlleiter übermittelt. Worauf an dieser Stelle gänzlich verzichtet wird, sind Verschlüsselung, Authentifizierung oder sonstige sichere Kennwörter. Bei der Übertragung der Ergebnisse kann also manipuliert werden. Kein System stellt sicher, dass die Originaldatei beim Wahlleiter unbearbeitet ankommt.

Stellungnahme vom Bundeswahlleiter



Der Bundeswahlleiter wurde bereits über die erheblichen Sicherheitsmängel der Wahlsoftware informiert. Für ihn habe die Verhinderung von Manipulation der Wahlergebnisse höchste Priorität. In der Pressemittelung heißt es: „Der Bundeswahlleiter unterstreicht, dass die Sicherheit aller Prozessschritte wichtiger ist als die Schnelligkeit der Ergebnisübermittlung.“ Der Bundeswahlleiter Dieter Sarreither erklärt weiterhin, dass “das endgültige Wahlergebnis auf den Wahlniederschriften der einzelnen Wahlorgane basiert.“ Aus diesem Grund kann eine Manipulation der Wahlergebnisse ausgeschlossen werden. Allenfalls können die falschen digitalen Zahlen im Internet zu Verwirrung führen, die echten Zahlen stünden dann immer noch auf Papier.

Die Software PC-Wahl wird ersetzt

Experten vom Chaos Computer Club stellen gegenüber ZEIT ONLINE und DIE ZEIT fest, dass das Programm “nie hätte eingesetzt werden dürfen“. Weiter heißt es: “PC-Wahl ignoriere grundlegende Prinzipien von Sicherheit und Verschlüsselung“.

Zwar benutzen Wahlbezirke, Wahlkreise und Landeswahlleiter unterschiedliche Software für die Verarbeitung der Stimmen, dennoch ist PC-Wahl die am meisten verbreitete.

Die Software soll nach der Wahl abgesetzt werden.

Der Chaos Computer Club hat eine ausführliche Analyse der Wahlsoftware veröffentlicht.

Autor , ESET