Thorsten Schröder vom Chaos Computer Club (CCC) weist auf Twitter darauf hin, dass er drei Werkzeuge veröffentlicht hat, mit denen sich die Schwächen in der Software PC-Wahl ausnutzen lassen, die bei der kommenden Bundestagswahl eingesetzt wird. Zu den ersten Fragen, die der Sicherheitsforscher in so einem Fall immer zu hören bekommt, gehört diese: Warum machst du das? Bringst du andere damit nicht auf dumme Ideen?

Das ist auch dieses Mal so. Immerhin geht es um eine Software zur Übermittlung von Wahlergebnissen an die Landeswahlleiter, also letztlich um einen Weg, die Bundestagswahl zu stören. Der Informatiker Martin Tschirsich hatte im Juli entdeckt, dass sich PC-Wahl auf verschiedene Weise manipulieren lässt. Zusammen mit Schröder hat er die entsprechenden Anleitungen als Beispielcode geschrieben und ZEIT ONLINE hat darüber berichtet.

Die Wahl ist deshalb nicht an sich gefährdet, auch nicht die korrekte Auszählung der Stimmen. Sollte es jemandem gelingen, die elektronische Übertragung zu manipulieren, würde es Wahlhelfern und Wahlleitern auffallen. Aber im Extremfall könnte es eine Weile dauern, bis die richtigen Ergebnisse feststehen und so lange könnten sich die falschen verbreiten. Was sie angesichts der zahlreichen medialen und sonstigen Kanäle zweifellos tun würden. Das könnte das Vertrauen der Deutschen in die Integrität des Wahlsystems oder gar die Demokratie an sich beschädigen, was schlimm genug wäre.

Notwendiger Druck auf die Anbieter

Hackern wie Schröder und Tschirsich, aber auch Medien wie ZEIT ONLINE, die solche Schwächen offenlegen, wird immer wieder vorgeworfen, sie selbst setzten das Vertrauen der Bürger aufs Spiel. Ihnen wird unterstellt, andere durch ihre Veröffentlichungen zu kriminellen Handlungen anzustiften.

Solchen Vorwürfen tritt der CCC entgegen, aus drei Gründen: "Mit einem sogenannten proof of concept heben wir erstens die Problematik von der theoretischen auf eine praktische Ebene", sagt Schröder. "So können wir leichter belegen, dass unsere Behauptungen stimmen."

Das helfe zweitens den Herstellern der betroffenen Produkte, die Lücken nachzuvollziehen und zu schließen, sagt Linus Neumann, einer der Sprecher des CCC. Und drittens "erhöht es den Druck auf sie, endlich aktiv zu werden".

Abwiegeln, negieren, leugnen

Das ist nötig, wenn die Firmen nach der ersten, nicht öffentlichen Konfrontation erst einmal abwiegeln, negieren, leugnen. Wenn sie das Problem kleinreden oder gar nicht reagieren. Schröder kennt das aus Erfahrung: "Manche nehmen erst einmal eine Verteidigungshaltung ein." Auch vote iT, der Hersteller von PC-Wahl, hat das versucht. Noch einen Tag vor der Veröffentlichung der ersten Medienberichte hatte die Firma in einer E-Mail an Spiegel Online behauptet, in PC-Wahl seien "sicherheitsrelevante Schwachstellen nicht vorhanden" und man habe auch keine entsprechenden Hinweise bekommen.

ZEIT ONLINE hatte den Entwickler und Co-Geschäftsführer Volker Berninger aber bereits am 27. Juli telefonisch auf die Sicherheitslücken angesprochen. Zu diesem Zeitpunkt hatte auch schon das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kontakt zu vote iT aufgenommen.

"Security by obscurity" ist kein zeitgemäßes Konzept

Entscheidend ist, dass es eine solche nicht öffentliche Vorwarnung gibt. Im Bereich der IT-Sicherheit heißt das responsible disclosure – verantwortungsvolle Offenlegung. Wer Sicherheitslücken findet, informiert den Hersteller und gibt ihm Zeit, sie zu beheben. Erst danach geht er an die Öffentlichkeit.

Manchmal entscheiden sich die Entdecker von Schwachstellen für die schärfere Variante – full disclosure genannt. Sie wenden sich sofort an Medien und damit die Öffentlichkeit und zwingen das Unternehmen zum schnellen Handeln im Sinne der Kunden.

Alternativ verzichten sie auf eine Veröffentlichung und kassieren dafür eine Belohnung vom Hersteller, bug bounty genannt. Viele Technikunternehmen bieten so etwas an, wobei die Belohnung aus einer lobenden Erwähnung auf der Website bestehen kann oder aus mehreren Hunderttausend Dollar.

Auch nach den Updates waren nicht alle Schwächen beseitigt

Technik, die bei Wahlen eingesetzt wird, sollte in dieser Hinsicht transparent sein. Vertrauen in sie entsteht nicht durch Geheimhaltung des Quellcodes, das klammheimliche Beseitigen von Schwächen oder dadurch, sie nur zu kaschieren, sondern durch überprüfbare Verbesserungen. Security by obscurity, Sicherheit durch Verschleierung, ist kein zeitgemäßes Konzept.

Wie wichtig Transparenz im aktuellen Fall ist, beschreibt der CCC in seinem Untersuchungsbericht. Zwar seien die Schwachstellen auf Servern beseitigt und neue organisatorische Sicherheitsmaßnahmen für den Wahlabend vorgeschrieben worden. Aber "sämtliche durch mehrere Updates vorgenommenen technischen Gegenmaßnahmen in der Software selbst erwiesen sich bereits bei oberflächlicher Überprüfung als ungeeignet zur Beseitigung der gemeldeten Schwachstellen". Wenn der CCC also die entsprechenden Werkzeuge zur Verfügung stellt, können technische versierte Anwender selbst überprüfen, ob der Hersteller angemessen reagiert hat.

Natürlich profitieren Hacker und Medien von der Aufmerksamkeit, die sie für ihre Funde und Berichte erhalten. Den größeren Nutzen aber hat die informierte Öffentlichkeit.