Der Chaos Computer Club (CCC) hat die Geduld verloren. In fünf Tagen wird der neue Bundestag gewählt und noch immer ist die unsichere Software namens PC-Wahl nicht ausgetauscht oder repariert. Jetzt will der Club nicht länger zuschauen. PC-Wahl wird bei der Bundestagswahl eingesetzt, um die ausgezählten Stimmen zu verwalten und möglichst schnell an den Bundeswahlleiter zu senden, damit der noch in der Nacht ein vorläufiges Ergebnis verkünden kann. Doch Recherchen von ZEIT ONLINE und DIE ZEIT zeigten, dass die Software nicht sicher ist; sie kann angegriffen werden.

Die inzwischen drei Versuche des Herstellers, das Programm mit Hilfe von Updates sicherer zu machen, seien erfolglos gewesen, sagt Linus Neumann, einer der Sprecher des CCC. "Das größte Einfallstor für Angreifer ist nicht wirksam beseitigt." Um das zu ändern, hat der Club nun selbst Code geschrieben, der die Lücke schließt. Er spendet die Programmteile dem Hersteller. Hier finden sich die entsprechenden Dateien.

PC-Wahl wird von Gemeinden in ganz Deutschland seit vielen Jahren bei Wahlen auf allen demokratischen Ebenen eingesetzt, ob nun ein Bürgermeister oder der Bundestag gewählt werden sollen. Es ist eines der wenigen Programme dazu auf dem Markt und erleichtert den Verantwortlichen die komplexe Organisation. Denn Wahlen mögen zwar für diejenigen, die ihr Kreuz auf einem Zettel machen, einfach aussehen. Im Hintergrund aber müssen diverse Gesetze, Verordnungen und Vorgaben korrekt umgesetzt, viele organisatorische Probleme gelöst werden. PC-Wahl gelingt das, daher ist es noch immer im Einsatz, obwohl die Software in ihrer Struktur bereits 30 Jahre alt ist.

Wie ein Dortmunder Informatiker und zwei Analysten des CCC zeigten, ist die Architektur des Programms allerdings überholt. Es bietet dadurch für Angreifer viele Lücken und Mängel, die sie ausnutzen können, um im schlimmsten Fall die Auszählung am Wahlabend zu manipulieren. Das würde die Wahl letztlich nicht gefährden, auch nicht die korrekte Auszählung der Stimmen. Ein erfolgreicher Manipulationsversuch würde Wahlhelfern und Wahlleitern früher oder später auffallen. Aber im Extremfall könnte es ziemlich lange dauern, bis die richtigen Ergebnisse feststehen und so lange könnten sich die falschen Zahlen verbreiten und für Chaos sorgen.

Updates werden nicht überprüft

Das größte Problem an PC-Wahl ist der Updateprozess. Damit alle Gemeinden ihre Stimmen an die richtige Stelle schicken, stellt der Hersteller für jede Wahl neue Programmversionen zur Verfügung. Diese müssen die Gemeinden herunterladen und auf ihren Rechnern installieren. Der CCC konnte jedoch in seiner Analyse zeigen, dass er in diesen Prozess der Aktualisierung eingreifen und so den Gemeinden gefälschte Programmversionen unterschieben könnte. Möglich ist das, weil die Updatepakete bislang nicht digital signiert wurden. Das bedeutet, die PC-Wahl-Version in der Gemeinde prüft nicht, ob das Update, das sie bekommt, auch wirklich vom Hersteller stammt. Diese Schwäche könnten Angreifer nutzen, um so letztlich die Stimmenverhältnisse am Wahlabend zu verändern, ohne dass es den Wahlleitern sofort auffallen würde.

Der Hersteller war vor der Veröffentlichung über die Funde informiert worden und hat in den vergangenen Wochen versucht, Signaturen einzubauen, um die Updates zu sichern. Nach Ansicht des CCC ist ihm das aber nur mangelhaft gelungen. "Resigniert stellen wir nun fest, dass es dem Hersteller nicht nur am Willen, sondern an Kompetenz und inzwischen auch an der notwendigen Zeit fehlt, seine Probleme nachhaltig in den Griff zu bekommen", sagt Neumann.

Das bislang letzte Update von PC-Wahl ist am 13. September fertig gestellt und den Gemeinden, die das Programm nutzen, zugänglich gemacht worden. Darin ist nun zwar eine Art Signaturprozess enthalten, um zu belegen, dass die korrekte Datei installiert wird. Doch lässt sich auch diese Signatur umgehen. Man habe den Mechanismus noch am gleichen Abend dechiffrieren und erneut eigenen Code einschleusen können, schreibt der Club in einer Mitteilung. Als Beleg veröffentlichte er ein entsprechendes Video.

Der Hersteller habe nicht nur bei der Implementierung der Signaturfunktion Fehler gemacht. Er fordere auch von den Verantwortlichen in den Gemeinden, dass sie von Hand prüfen sollen, ob das Update signiert ist. "Er wälzt es auf die Nutzer ab", sagt Neumann. Moderne Betriebssysteme bieten Standardmechanismen für genau solche Signaturen von Softwareupdates. Wer sich eine neue Windows-Version herunterlädt, muss nirgendwo nachschauen, ob es die korrekte ist, das erledigt das Programm selbst.

Kritische Software sollte offen sein

Daher spende der CCC nun einen für PC-Wahl einfach zu übernehmenden Mechanismus für signierte Updates. Der benötige keine händische Überprüfung der Signatur und könne einfach in die Software integriert werden. Das Ganze sei außerdem "Open-Source-Software, wie es sich für hochkritische Wahlsoftware gehören sollte".

Denn auch das ist eine Kritik der CCC-Analysten: Die Sicherheitsstrategie des Herstellers bestand vor allem darin, dass kein Unbefugter den vollständigen Code von PC-Wahl sehen sollte. Doch das ist nicht sonderlich sicher, wie der Informatiker Martin Tschirsich zeigte, der entscheidende Passwörter im Internet fand und so problemlos Zugang zum eigentlich geheimen Code bekam. Daher ist es besser, wenn Software für heikle Prozesse offen ist und jeder sie überprüfen kann. Im besten Fall werden Probleme so schnell entdeckt und behoben.