Die Verantwortlichen für die Bundestagswahl wussten schon seit vielen Monaten, dass die vorläufigen Ergebnisse manipuliert werden könnten, weil eine für die Abwicklung der Wahl wichtige Software unsicher ist. Das geht aus einer Antwort des Innenministeriums auf Fragen des Linkspartei-Abgeordneten Jan Korte hervor, die ZEIT ONLINE vorliegt. Doch obwohl die Behörden die Mängel des Programms kannten, wurde kaum etwas unternommen, um das Problem zu lösen. 

Anfang September hatten ZEIT ONLINE und DIE ZEIT bekannt gemacht, dass die Software PC-Wahl gehackt werden kann. Martin Tschirsich, ein junger Informatiker aus Darmstadt, hatte sich schon im Juli Zugang zu dem Programm verschaffen können, obwohl das eigentlich ausgeschlossen sein sollte. Er fand diverse schwere Mängel in der Software. Der Chaos Computer Club bestätigte diese Ergebnisse anschließend und entdeckte weitere Probleme. Doch erst nachdem ZEIT ONLINE auf das Problem aufmerksam gemacht hatte, begannen die Wahlleiter und der Hersteller der Software, zu handeln.

Aus der Antwort des Innenministeriums geht nun hervor, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) spätestens im März wusste, dass PC-Wahl gefährliche Lücken hat. In "intensiver Zusammenarbeit mit den zuständigen Bundes- und Landeswahlleiterinnen und Landeswahlleitern und dem Hersteller" hat das BSI demnach am 31. März Empfehlungen ausgesprochen, um das "Sicherheitsniveau bei der Übermittlung vorläufiger Wahlergebnisse mit der genannten Software" zu verbessern. (Siehe dazu auch den Nachtrag am Ende des Textes.)

BSI forderte früh Schutzmaßnahmen

Mit PC-Wahl werden die Ergebnisse am Wahlabend gesammelt und weitergeleitet. PC-Wahl ist nicht das einzige Programm, das dafür in deutschen Kommunen im Einsatz ist, aber die Software ist am weitesten verbreitet. Einige Gemeinden nutzen sie auch, um ihre lokalen Wahlergebnisse im Internet zu veröffentlichen.

Die Lücken in diesem Programm gefährden das Endergebnis der Bundestagswahl nicht. Da die Stimmzettel nach der Wahl aufgehoben und mehrfach überprüft werden, ist es kaum möglich, das Ergebnis in großem Umfang zu verändern. Die Fehler in der Software betreffen nur die vorläufigen Ergebnisse, die am Wahlabend selbst veröffentlicht werden. Doch schon das ist bedrohlich. Würden diese Ergebnisse heimlich verändert, könnte es die Bürger stark verunsichern und Zweifel an der Wahl schüren.

Diese Sorge hatten offenbar auch das Innenministerium und das BSI. Daher forderte das Bundesamt schon im März vom PC-Wahl-Hersteller vote iT "den Einsatz kryptografischer Schutzmaßnahmen". So sollten "ungewollte Veränderungen an der Software oder an den Wahldaten" schnell erkannt werden können.

Der Hersteller programmierte daraufhin eine neue Version, in die er eine Art Verschlüsselung einbaute. "Es gab tatsächlich zwei Updates des Herstellers, welche jedoch nicht verbindlich und zudem auch nicht geeignet waren, die Authentizität der übertragenen Wahldaten sicherzustellen", sagt Informatiker Tschirsich. Er verfolgt noch immer, welche Maßnahmen der Hersteller und die Wahlleiter treffen. Seiner Einschätzung nach waren die entsprechenden Versuche bislang nicht wirklich geeignet, die Software sicherer zu machen.

Warnungen “fahrlässig ignoriert”

Die neue Verschlüsselung sei kein echter Schutz, sagt Tschirsich, und leicht zu überwinden. Zudem habe der Hersteller zwar schnell eine neue Version der Software zur Verfügung gestellt. Doch ob die betroffenen Gemeinden das Update auch heruntergeladen und installiert haben, kann niemand überprüfen. Schließlich wurde das grundlegende Problem, die Manipulationsmöglichkeit, nicht behoben. Vielmehr stellt die neue Softwareversion lediglich darauf ab, dass die Nutzer Veränderungen an den Wahldaten bemerken können. Aus dem Verkehr gezogen wurde das Programm gleich gar nicht, obwohl es dafür genug Gründe gegeben hätte.

Der Hersteller habe die Erkenntnisse des BSI "offenbar fahrlässig ignoriert", sagt Tschirsich. "Selbst zwei Wochen vor der Wahl sind noch keine Ergebnisse aus dieser angeblich so intensiven Zusammenarbeit erwachsen." Es reiche offenbar nicht aus, wenn das BSI nur Empfehlungen ausspreche. "Es braucht eine unabhängige Sicherheitsanalyse."

Software schon 30 Jahre alt

Eine solche gründliche Analyse hat es jedoch nie gegeben. Auch das gibt das Innenministerium nun zu. Das BSI habe den Quellcode der Programme nie geprüft, die bei der Wahl eingesetzt werden sollen. Weder PC-Wahl noch das vom Bundeswahlleiter verwendete Programm namens IVU.elect, das ebenfalls schwere Mängel hat, wurden ausführlich untersucht. Das Bundesamt hatte beim Bundeswahlleiter lediglich einen "Risikoanalyse-Workshop zur eingesetzten Software" veranstaltet, einen "Vortrag zu Cybergefahren" gehalten und das "IT-Sicherheitskonzept der Wahl-IT" analysiert. Für die Landeswahlleiter wurde außerdem ein "Informationspaket mit umfangreichen Empfehlungen zum Schutz der vorläufigen Wahlergebnisse" erstellt.

Das ist nicht nichts. Aber es war offensichtlich nicht genug, um die erkannten Mängel zu beseitigen – obwohl es Hinweise auf die Angreifbarkeit der Wahlsoftware schon sehr viel früher gegeben haben muss. Denn PC-Wahl ist in seiner Grundstruktur schon 30 Jahre alt, auch wenn es immer wieder überarbeitet und aktualisiert wurde. Ursprünglich sollte es nur in internen Netzen betrieben werden. Wer sich in Kommunen umhört, die PC-Wahl einsetzen, erfährt, dass die Schwächen des Programms dort seit Jahren allgemein bekannt waren. Trotzdem wurde es weiterhin im gesamten Bundesgebiet genutzt.

Inzwischen gibt es die berechtigte Sorge, dass Gruppen aus anderen Ländern versuchen könnten, die Wahl in Deutschland zu beeinflussen. Die Bundesregierung entwarf deshalb im Verlauf des Jahres diverse Risikoanalysen und Notfallkonzepte für die Wahl. Angesichts solcher Bemühungen findet es der Linkspartei-Abgeordnete Korte "unverantwortlich", dass der Quellcode der Wahlsoftware nie überprüft wurde. "Entweder sind die für die IT-Sicherheit zuständigen Behörden nicht in der Lage, selbst Sicherheitsmängel aufzudecken, oder es fehlt, trotz anders lautender Bekundungen, am nötigen Know-how und Problembewusstsein in diesen Institutionen."      

BSI-Präsident: elektronische Wahlen diskutieren

Auch Hannes Federrath wundert sich. Der Staat habe bei einem für die Demokratie so wichtigen Prozess "eine Sorgfaltspflicht". Federrath erforscht an der Universität Hamburg Sicherheitsaspekte von Informationstechnologie und ist Vizepräsident der Gesellschaft für Informatik. Es wäre "empfehlenswert gewesen", die eingesetzten Programme einer Analyse zu unterziehen, auch wenn das Sicherheitskonzept der Bundestagswahl verschiedene Wege vorsehe, die Stimmen zu erheben und zu übermitteln. "Es ist einfach nicht gut, bei einer Bundestagswahl eine dilettantisch programmierte Software einzusetzen", sagt Federrath.

Inzwischen scheint das BSI erkannt zu haben, wie groß das Problem tatsächlich ist. In einer Antwort auf eine parlamentarische Anfrage des Grünen-Abgeordneten Konstantin von Notz, die ZEIT ONLINE vorliegt, heißt es: Man wolle prüfen, ob Wahlsoftware "mit Blick auf zukünftige Wahlen" verpflichtend vom BSI zertifiziert werden müsse. Doch das wird frühestens nach der Wahl geschehen. Denn später heißt es: Man müsse in der kommenden Legislaturperiode über "etwaige Rechtsänderungen" beraten.

BSI-Präsident Arne Schönbohm geht sogar noch weiter. In einem Interview mit dem Handelsblatt sagte er gerade, Deutschland liege bei der Digitalisierung staatlicher Vorgänge weit zurück. Daher müsse in der kommenden Legislaturperiode auch eine komplett "elektronische Wahl" debattiert werden. Natürlich müsse dann die Frage der Sicherheit im Vordergrund stehen.

Fachleute wie Federrath sind jedoch skeptisch, ob sich digitale Wahlen überhaupt ausreichend sichern lassen. Derzeit gelinge es noch nicht einmal, sogenannte elektronische Wahlmaschinen sicher zu machen, sagt Federrath. Angesichts dessen solle man von einer vollständig digitalen Wahl tunlichst die Finger lassen. "Wahlen über öffentliche Netze ablaufen zu lassen, ist nicht beherrschbar."

Nachtrag 21. September: Das Bundesinnenministerium hat inzwischen seine schriftliche Antwort an den Abgeordneten Jan Korte korrigiert. Demnach hat es zwei Treffen wegen der Wahlsoftware gegeben, nicht nur eines, wie es zuerst geheißen hatte. Bei dem ersten Termin am 31. März habe sich das BSI mit den Wahlleitern getroffen und allgemein "Empfehlungen zur Verbesserung des Sicherheitsnieveaus bei der Übermittlung vorläufiger Wahlergebnisse mit der genannten Software ausgesprochen". Erst bei einem zweiten Treffen "Ende Juli 2017" mit dem Hersteller von PC-Wahl sei es um die konkreten Fehler in dem Programm gegangen. Das legt noch immer nahe, dass das BSI die Software schon früh für nicht sonderlich sicher hielt. Die durch Martin Tschirsich aufgedeckten Mängel aber waren erst Thema, nachdem ZEIT ONLINE und DIE ZEIT das BSI mit ihnen konfrontiert hatte.

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen die Öffentlichkeit erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.