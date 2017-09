Freie und geheime Wahlen, in denen jede Stimme gilt und transparent gezählt wird – sie sind das Herz der Demokratie. Wenn Bürger dem Wahlergebnis nicht trauen, dann vertrauen sie auch den Gewählten nicht. Die Wahl zu schützen, muss deshalb das höchste Ziel all derer sein, die für ihren Ablauf verantwortlich sind.

Seit Monaten behaupten alle zuständigen Behörden, die Bundestagswahl sei sicher. Denn anders als in den USA würden Wähler ihr Kreuz hierzulande auf einem Wahlzettel aus Papier machen. Das könne niemand in großem Stil fälschen.

Doch wer so argumentiert, denkt nicht weit genug. Die Kreuze selbst sind sicher. Aber was geschieht, nachdem die Stimmzettel ausgezählt werden?

Die Ergebnisse der Auszählung werden noch im Wahllokal in Computer eingegeben und per Software an die Landeswahlleiter übertragen. Dort werden sie zusammengerechnet und an den Bundeswahlleiter weitergeschickt. So entsteht das Ergebnis, das den Bürgern später als Ausgang der Bundestagswahl präsentiert wird und auf das sie vertrauen. Auf seiner Grundlage werden ein neues Parlament und eine neue Regierung gebildet.

Doch die Übertragungssoftware ist angreifbar. Ein 29 Jahre alter Informatiker aus Darmstadt hat das gerade bewiesen. Hacker hätten sie knacken, hätten Stimmen verändern und so Misstrauen gegen die Wahl säen können. Zwei Analytiker des Chaos Computer Clubs haben diese Ergebnisse bestätigt und weitere Schwachstellen entdeckt. Die in Deutschland am weitesten verbreitete Wahldatensoftware namens PC-Wahl ist so leicht zu manipulieren, dass ihr Einsatz geradezu fahrlässig erscheint.

"Gut geschützt" gegen Hacker? Nein

Getestet wurde das Programm oft. Die zuständigen Kommunen und Wahlleiter, die Statistischen Landesämter und Innenministerien haben jedoch nur geprüft, ob es die Stimmen richtig zählt. Die Frage, ob es technisch sicher ist, ob es gehackt werden kann, ob Mehrheiten verändert werden können, hat sie nie interessiert.

Selbst als im vergangenen Jahr bei den Abstimmungen in den USA, in Frankreich und in den Niederlanden aller Welt klar wurde, dass es Kräfte gibt, die versuchen, Wahlen zu manipulieren, wurde die deutsche Wahlsoftware nicht gründlich untersucht. Noch im Januar 2017 sagte der Bundeswahlleiter, alles sei sicher, die Bundestagswahl sei "gut geschützt" gegen Hackerangriffe.

Erst jetzt, da jemand den Behörden die Unsicherheit ihrer Computersysteme vor Augen führt, rühren sie sich. Als das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundeswahlleiter von den Sicherheitsmängeln erfuhren, entfalteten sie endlich fieberhafte Tätigkeit.

Ob die Wahl nun sicherer ist? Wohl nicht. Denn die Änderungen, die hastig an der Software vorgenommen wurden, lassen sich ebenfalls knacken. Auch das haben der Informatiker aus Darmstadt und die beiden CCC-Analysten bewiesen. Doch statt den Warnern nun Orden zu verleihen, wurden sie bedroht. Ein Statistisches Landesamt dachte laut darüber nach, sie wegen Eindringens in IT-Systeme anzuzeigen.

Verstoß gegen das IT-Sicherheitsgesetz

Dabei sind es die Betreiber der Computersysteme, die eigentlich angezeigt werden müssten. Haben sie mit ihrem Verhalten doch gegen das IT-Sicherheitsgesetz verstoßen. Das seit 2015 geltende Gesetz schreibt vor: "Betreiber kritischer Infrastrukturen sind verpflichtet, (…) angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, (…) zu treffen." Dass die Technik der Bundestagswahl eine kritische Infrastruktur ist, wird niemand bezweifeln.

Das Gesetz fordert, solche Sicherungsmaßnahmen müssten dem Stand der Technik entsprechen. Doch nicht einmal die Wahlsoftware selbst entspricht dem Stand der Technik. "Oldtimer" nennt sie der Chaos Computer Club.

Statt offensiv für die Sicherheit dieser Infrastruktur zu sorgen, überließ man es den einzelnen Städten und Gemeinden, diese Technik zu installieren. Jede Kommune muss für sich entscheiden, welche Software sie anschafft und wie viel Geld sie dafür ausgeben will. In manchen Ländern helfen die Statistikbehörden dabei, eine Lösung zu finden, in anderen nicht. In manchen werden die Wahlprogramme selbst programmiert, in anderen werden sie von landeseigenen Firmen entwickelt oder von externen Unternehmen gekauft. Es gibt nicht einmal Vorgaben, wie gründlich solche Programme getestet und zertifiziert werden müssen. Auch keine Vorschrift, die fordert, dass unabhängige Stellen die Programme überprüfen müssen. Am Ende lautet dann das Passwort, dass die Systeme schützen soll, so wie in Hessen "test".



Diese Ignoranz setzt sich immer noch fort. In den Niederlanden gab es 2016 ähnliche Sicherheitsmängel bei der dort verwendeten Wahlsoftware namens IVU.elect. Die niederländische Regierung hatte das Programm daraufhin aus dem Verkehr gezogen und seinen Einsatz bei Wahlen verboten. In Deutschland aber wird IVU.elect bei der Bundestagswahl trotzdem zum Einsatz kommen. Das Land Brandenburg nutzt es, um seine Ergebnisse an den Bundeswahlleiter zu schicken.