Die Verantwortlichen für die Bundestagswahl wussten schon seit vielen Monaten, dass die vorläufigen Ergebnisse manipuliert werden könnten, weil eine für die Abwicklung der Wahl wichtige Software unsicher ist. Das geht aus einer Antwort des Innenministeriums auf Fragen des Linkspartei-Abgeordneten Jan Korte hervor, die ZEIT ONLINE vorliegt. Doch obwohl die Behörden die Mängel des Programms kannten, wurde kaum etwas unternommen, um das Problem zu lösen. 

Anfang September hatten ZEIT ONLINE und DIE ZEIT bekannt gemacht, dass die Software PC-Wahl gehackt werden kann. Martin Tschirsich, ein junger Informatiker aus Darmstadt, hatte sich schon im Juli Zugang zu dem Programm verschaffen können, obwohl das eigentlich ausgeschlossen sein sollte. Er fand diverse schwere Mängel in der Software. Der Chaos Computer Club bestätigte diese Ergebnisse anschließend und entdeckte weitere Probleme. Doch erst nachdem ZEIT ONLINE auf das Problem aufmerksam gemacht hatte, begannen die Wahlleiter und der Hersteller der Software, zu handeln.

Aus der Antwort des Innenministeriums geht nun hervor, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) spätestens im März wusste, dass PC-Wahl gefährliche Lücken hat. In "intensiver Zusammenarbeit mit den zuständigen Bundes- und Landeswahlleiterinnen und Landeswahlleitern und dem Hersteller" hat das BSI demnach am 31. März Empfehlungen ausgesprochen, um das "Sicherheitsniveau bei der Übermittlung vorläufiger Wahlergebnisse mit der genannten Software" zu verbessern. (Siehe dazu auch den Nachtrag am Ende des Textes.)

BSI forderte früh Schutzmaßnahmen

Mit PC-Wahl werden die Ergebnisse am Wahlabend gesammelt und weitergeleitet. PC-Wahl ist nicht das einzige Programm, das dafür in deutschen Kommunen im Einsatz ist, aber die Software ist am weitesten verbreitet. Einige Gemeinden nutzen sie auch, um ihre lokalen Wahlergebnisse im Internet zu veröffentlichen.

Die Lücken in diesem Programm gefährden das Endergebnis der Bundestagswahl nicht. Da die Stimmzettel nach der Wahl aufgehoben und mehrfach überprüft werden, ist es kaum möglich, das Ergebnis in großem Umfang zu verändern. Die Fehler in der Software betreffen nur die vorläufigen Ergebnisse, die am Wahlabend selbst veröffentlicht werden. Doch schon das ist bedrohlich. Würden diese Ergebnisse heimlich verändert, könnte es die Bürger stark verunsichern und Zweifel an der Wahl schüren.

Diese Sorge hatten offenbar auch das Innenministerium und das BSI. Daher forderte das Bundesamt schon im März vom PC-Wahl-Hersteller vote iT "den Einsatz kryptografischer Schutzmaßnahmen". So sollten "ungewollte Veränderungen an der Software oder an den Wahldaten" schnell erkannt werden können.

Der Hersteller programmierte daraufhin eine neue Version, in die er eine Art Verschlüsselung einbaute. "Es gab tatsächlich zwei Updates des Herstellers, welche jedoch nicht verbindlich und zudem auch nicht geeignet waren, die Authentizität der übertragenen Wahldaten sicherzustellen", sagt Informatiker Tschirsich. Er verfolgt noch immer, welche Maßnahmen der Hersteller und die Wahlleiter treffen. Seiner Einschätzung nach waren die entsprechenden Versuche bislang nicht wirklich geeignet, die Software sicherer zu machen.