Thorsten Schröder vom Chaos Computer Club (CCC) weist auf Twitter darauf hin, dass er drei Werkzeuge veröffentlicht hat, mit denen sich die Schwächen in der Software PC-Wahl ausnutzen lassen, die bei der kommenden Bundestagswahl eingesetzt wird. Zu den ersten Fragen, die der Sicherheitsforscher in so einem Fall immer zu hören bekommt, gehört diese: Warum machst du das? Bringst du andere damit nicht auf dumme Ideen?

Das ist auch dieses Mal so. Immerhin geht es um eine Software zur Übermittlung von Wahlergebnissen an die Landeswahlleiter, also letztlich um einen Weg, die Bundestagswahl zu stören. Der Informatiker Martin Tschirsich hatte im Juli entdeckt, dass sich PC-Wahl auf verschiedene Weise manipulieren lässt. Zusammen mit Schröder hat er die entsprechenden Anleitungen als Beispielcode geschrieben und ZEIT ONLINE hat darüber berichtet.

Die Wahl ist deshalb nicht an sich gefährdet, auch nicht die korrekte Auszählung der Stimmen. Sollte es jemandem gelingen, die elektronische Übertragung zu manipulieren, würde es Wahlhelfern und Wahlleitern auffallen. Aber im Extremfall könnte es eine Weile dauern, bis die richtigen Ergebnisse feststehen und so lange könnten sich die falschen verbreiten. Was sie angesichts der zahlreichen medialen und sonstigen Kanäle zweifellos tun würden. Das könnte das Vertrauen der Deutschen in die Integrität des Wahlsystems oder gar die Demokratie an sich beschädigen, was schlimm genug wäre.

Notwendiger Druck auf die Anbieter

Hackern wie Schröder und Tschirsich, aber auch Medien wie ZEIT ONLINE, die solche Schwächen offenlegen, wird immer wieder vorgeworfen, sie selbst setzten das Vertrauen der Bürger aufs Spiel. Ihnen wird unterstellt, andere durch ihre Veröffentlichungen zu kriminellen Handlungen anzustiften.

Solchen Vorwürfen tritt der CCC entgegen, aus drei Gründen: "Mit einem sogenannten proof of concept heben wir erstens die Problematik von der theoretischen auf eine praktische Ebene", sagt Schröder. "So können wir leichter belegen, dass unsere Behauptungen stimmen."

Das helfe zweitens den Herstellern der betroffenen Produkte, die Lücken nachzuvollziehen und zu schließen, sagt Linus Neumann, einer der Sprecher des CCC. Und drittens "erhöht es den Druck auf sie, endlich aktiv zu werden".

Abwiegeln, negieren, leugnen

Das ist nötig, wenn die Firmen nach der ersten, nicht öffentlichen Konfrontation erst einmal abwiegeln, negieren, leugnen. Wenn sie das Problem kleinreden oder gar nicht reagieren. Schröder kennt das aus Erfahrung: "Manche nehmen erst einmal eine Verteidigungshaltung ein." Auch vote iT, der Hersteller von PC-Wahl, hat das versucht. Noch einen Tag vor der Veröffentlichung der ersten Medienberichte hatte die Firma in einer E-Mail an Spiegel Online behauptet, in PC-Wahl seien "sicherheitsrelevante Schwachstellen nicht vorhanden" und man habe auch keine entsprechenden Hinweise bekommen.

ZEIT ONLINE hatte den Entwickler und Co-Geschäftsführer Volker Berninger aber bereits am 27. Juli telefonisch auf die Sicherheitslücken angesprochen. Zu diesem Zeitpunkt hatte auch schon das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kontakt zu vote iT aufgenommen.